JavaScript kann die Welt vor dem Untergang retten

Mit Hilfe des Firefox-Addons NoScript surfe ich seit Jahren weitgehend JavaScript-frei. Weil die meisten Seiten auch ohne JavaScript gut nutzbar sind. Und weil aus Nutzersicht JavaScript meistens vollkommen überflüssig ist.

Doch dank eines Besuchs auf dem Restaurantbewertungsportal yelp.de weiß ich jetzt: JavaScript “kann die Welt eigenhändig vor dem Untergang retten“. Glauben Sie nicht? Hier der Screenshot (mobile Version):

javascript osbn open source javascript

Wie JavaScript die Welt rettet? Bleibt offen, keine Ahnung. Dass JavaScript Seiten “fesch” macht? Ansichtssache. Woher JavaScript wissen soll, dass ich einen schlechten Tag habe? Ein Rätsel mit 1001 Unbekannten.

Wir dürfen getrost davon ausgehen, dass Durchschnittsnutzer Lieschen Müller und Otto Meier von JavaScript keine Ahnung haben. Und dass sie nach der Erklärung von yelp.de…

“Wusttest du schon das JavaScript folgendes macht?”

… irgendwie glauben, dass JavaScript irgendein harmloser Brimborium ist, der zu einem “besseren Surferlebnis” führt. Die Erklärung, die Yelp hier abgibt, ist (Disclaimer – jetzt wird es spekulativ:) im besten Fall einfach nur gedankenloser Schwachsinn (“Hey, Praktikant: Mach mal irgendwas für unsere JavaScript-ist-abgeschaltet-Landing-Page“). Im Resultat ist diese Erklärung, was JavaScript macht, auf jeden Fall eine totale verharmlosende Irreführung des unbedarften Nutzers.

Ist JavaScript denn nun Teufelswerk? In den allermeisten Fällen ist der Einsatz von JavaScript vollkommen harmlos. Und mit ziemlicher Sicherheit auch auf der Seite von yelp.de. Trotzdem gehört der Einsatz von JavaScript zu den Szenarien, die immer wieder große Probleme bei der Sicherheit hervorrufen. Stellvertretend für viele andere Seiten, die die Problematik rund um JavaScript beschreiben, zitiere ich hier mal das Bundesamt für Sicherheit in der Informationstechnik BSI:

Ein solches Sicherheitsrisiko kann vom JScript/JavaScript-Interpreter selbst ausgehen. Ist dieser fehlerhaft programmiert, entstehen Sicherheitslücken, die Angreifer ausnutzen können. Im schlimmsten Fall erhält ein Außenstehender vollständigen Zugriff auf den Rechner.

Ebenfalls kritisch sind einige Möglichkeiten, mit JScript/JavaScript-Elementen den Anwender zu täuschen. So können ganze Eingabefenster von vertrauenswürdigen Webseiten simuliert werden, wodurch beispielsweise Benutzernamen, Passwort oder andere sensible Daten wie Kreditkarteninformationen abgefangen und übertragen werden können.

Das Problem ist bei yelp.de ist jetzt nicht nur die totale Desinformation des unbedarften Nutzers. Das Problem ist auch nicht der wahrscheinlich vollkommen harmlose Code auf Yelp.

Das Problem ist, dass solche Seiten (weil sie ohne JavaScript zu 100% unbenutzbar sind) den Nutzer dazu zwingen, JavaScript freizuschalten. Und nur die wenigsten werden sich auf eine feineinstellende Lösung wie NoScript einlassen. Oder JavaScript nach dem Besuch von Yelp wieder abschalten.

Solche Seiten sorgen dafür, dass die meisten Nutzer JavaScript grundsätzlich freischalten, denn das ist für viele eine Frage der Bequemlichkeit.

Die abertausenden von Seiten, die nach dem Besuch von yelp.de angesurft werden, die sind die eigentliche Gefahr. Übrigens: Auch bei Netz10 läuft ein kleines Stück JavaScript, nämlich Piwik, das mir einen kleinen Einblick in das Besucherverhalten (von Nutzern mit freigeschaltetem JavaScript) erlaubt. Der Unterschied ist, dass ein Besucher (egal ob mit oder ohne JavaScript) zu 100% denselben Inhalt präsentiert bekommt.

Es ist mir egal, ob Sie JavaScript hier blockieren oder nicht. Ich tue es auf Ihren Seiten auch. Aus Überzeugung.

Nicht nur aus Sicherheitsgründen, sondern auch, weil aktiviertes JavaScript auf vielen kommerziellen Seiten mit einem Datenstriptease einhergeht und diese Daten systematisch ausgewertet werden, neu verknüpft und kommerziell (und anderweitig) durch Profilbildung ausgebeutet werden können.

Wer sich also selbst zur willenlosen Datenmelkkuh degradieren will, der muss nur JavaScript dauerhaft, überall und gedankenlos freischalten, schon ist man im Club. Und das Sicherheitsrisiko ist auch gleich mit an Bord. Selbstausbeutung 2.0.

Betreiber von Webseiten, bei denen ohne JavaScript rein gar nichts geht, die sollten mal den Admin wechseln. Das, was da “programmiert” wird, ist nämlich eigentlich gar kein Programmcode. Es ist eine Krankheit, die einen eigenen Eintrag in der Pschyrembel verdient hat.

Comments

Comments are closed