ActiveX
Ihre aktuelle Einstellung:
| Aufruf sicherer ActiveX-Controls |
| Aufruf unsicherer ActiveX-Controls |
Microsofts ActiveX-Technologie ist im Bereich Web-Browser am ehesten mit den Plug-Ins aus der Mozilla-/ Firefox-/ Netscape-Welt zu vergleichen. Das Steuerelement spielt dabei im Internet-Explorer beispielsweise Multimedia-Dateien ab, die der Web-Server bereitstellt. Ist das entsprechende ActiveX-Control bereits auf dem Rechner installiert, wird es von Windows gestartet und mit den Daten gefüttert. Andernfalls kann der Browser das Control auch automatisch aus dem Internet laden.
Ein ActiveX-Control kann auf beliebige Ressourcen des Rechners zugreifen und somit auch beliebigen Schaden anrichten. Der Internet Explorer unterscheidet zwischen signierten und unsignierten Controls. Ein signiertes Control wurde vom Hersteller mit einer digitalen Unterschrift versehen. Ist diese intakt, kann der Benutzer sicher sein, dass das Steuerelement vom Inhaber des verwendeten Zertifikats erstellt und nachträglich nicht verändert wurde. Eine Garantie, dass das ActiveX-Control keinen Schaden anrichtet, hat er damit jedoch nicht. In den Default-Einstellungen fragt der Internet Explorer den Anwender bei signierten ActiveX-Controls, ob er sie herunterladen und installieren darf; unsignierte Controls lädt er nicht.
Des weiteren gibt es die Möglichkeit, via JScript oder VBS (meist lokal installierte) ActiveX-Controls zu aktivieren und zu steuern (wie es auch der Test oben demonstriert). Die Sicherheitseinstellungen unterscheiden hierbei zwischen Controls "die sicher für Scripting sind" und solchen ohne diese Klassifizierung. Die Einstufung "Sicher für Scripting" nimmt der Hersteller vor, wenn er der Überzeugung ist, dass das Control keinen Schaden anrichten kann. Es gibt allerdings bereits mehrere Beispiele, bei denen sich im Nachhinein herausgestellt hat, dass diese Einschätzung falsch war.
Dieses Risiko ist nicht zu unterschätzen. Hat nämlich eine Web-Seite ein zusätzliches ActiveX-Control installiert – beispielsweise um einen Virencheck des Rechners durchzuführen – können später auch andere, potenziell bösartige Web-Seiten dieses Control aufrufen und fernsteuern.
ActiveX-Controls dienen häufig dazu, den Funktionsumfang des Internet Explorer zu erweitern. Realaudio- oder Quicktime-Player können so ihre Multimedia-Dateien direkt im IE-Fenster abspielen. Außerdem bieten Firmen Serviceleistungen wie Online-Virenscans über ActiveX-Controls an. Die Missbrauchsmöglickeiten sind jedoch gewaltig. Benutzer, die Wert auf Sicherheit legen, sollten deshalb alle Optionen mit ActiveX deaktivieren oder zumindest auf "Eingabeaufforderung" stellen.
Der Internet Explorer kann ebenfalls als ActiveX-Control zum Einsatz kommen. So nutzt beispielsweise Outlook Express das IE-Control zur Anzeige von HTML-Mails. Hierfür kommen ebenfalls die Einstellungen der in Outlook Express ausgewählten Sicherheitszone des IE zur Anwendung.