Lehrgang --- Internet – Browser --

Werbung
Handhabung von Internetbrowsern
unter Beachtung von Sicherheitsproblemen
Lehrgang 18. 12. 2001
Elgin Lorenz, URZ
Inhalt :
1. Die wichtigsten Möglichkeiten der Arbeit mit Browsern
HTTP
E-Mail
FTP
News
2. Netscape Communicator 4.7x
Installation
Konfiguration
Bedienung
3. Microsoft Internet Explorer 5.5
Installation
Konfiguration
Bedienung
4. Security
1.
Möglichkeiten der Arbeit mit Browsern
HTTP :
HTTP (Hypertext Transfer Protocol) ist wohl die gebräuchlichste Anwendung von InternetBrowsern. HTTP ist das Übertragungsprotokoll, das zur Übermittlung von WWW (World Wide
Web) - Seiten über das Internet verwendet wird. WWW-Seiten liegen im HTML-Format (Hypertext
Markup Language) vor und können von Internetbrowsern wie Netscape Communicator und
Microsoft Internet Explorer dargestellt werden.
Aufbau einer entsprechenden Internetadresse :
http://www.tu-cottbus.de ( Der zentrale WWW-Server der BTU. )
(Protokoll://Server/Verzeichnis/Dokument)
FTP :
FTP (File Transfer Protocol ) ist ein Dienst, der die Übertragung von Dateien zwischen zwei
Rechnern über das Internet oder auch zwischen lokalen Rechnern ermöglicht.
Die Einwahl auf dem entfernten Rechner erfolgt entweder über eine Zugangskennung (Login und
Passwort) oder anonym (Anonymous FTP), meist mit dem Login-Kennzeichen FTP und der
Angabe einer gültigen E-Mail-Adresse als Zugang.
Sogenannte FTP-Server stellen Daten zum Herunterladen (DOWNLOAD) zur Verfügung bzw.
bieten die Möglichkeit, Dateien zur Verfügung zu stellen (UPLOAD).
Möglichkeiten des Verbindungsaufbaus zu einem FTP-Server :
1. Die Kommandozeile :
Start --> Ausführen --> Eingabe des Kommandos „ftp ftp.tu-cottbus.de“
2. Aufruf der Adresse eines FTP-Servers mit einem Browser :
ftp://ftp.tu-cottbus.de ( Dies ist der zentrale FTP-Server der BTU. )
(Protokoll://Server/Verzeichnis/Dokument)
3. Spezielle FTP-Clients
E-Mail:
Electronic Mail, darunter wird das Versenden und Empfangen elektronischer Nachrichten
verstanden.
Eingesetzte Protokolle : SMTP (Simple Mail Transfer Protocol) zum Versenden von E-Mail , POP
(Post Office Protocol) und IMAP (Internet Mail Access Protocol) zum Abholen von E-Mail von einem
Mailserver.
Der zentrale Mailserver der BTU heißt Mailserv.TU-Cottbus.De. Die Arbeitsweise und Konfiguration
dieses Servers ist auf der folgenden WWW-Seite des URZ erläutert :
http://www.rz.tu-cottbus.de/urz/support/mail
News :
Online – Diskussionsforen, bei denen die Teilnehmer über bestimmte Themen Gedanken
austauschen.
Diskussionsrunden zu einem bestimmten Thema heißen Newsgroups, einzelne Beiträge News
oder Postings. News werden von Newsservern verwaltet. Der zentrale Newsserver der BTU heißt
News.TU-Cottbus.De .
Aufbau der Bezeichnung einer Newsgroup :
de.comp.security.misc
(deutschsprachiges Forum, Thema Computer, Untergruppe Sicherheit und hier Verschiedenes)
2
2. Netscape Communicator 4.7x
Installation des Netscape Communicator :
Start  Ausführen :
User : ftp
Password : E-Mail-Adresse (z.B. [email protected])
cd pub/net/netscape/communicator/english/4.7x/windows/windows95_or_nt/complete_install/
bin
get cc...
Dieses nimmt einige Zeit in Anspruch, da mehr als 20 MB über das Netz zu transportieren sind.
bye
Das Archiv ist nun auf dem Rechner vorhanden. Mit Doppelklick auf die Datei wird die Installation gestartet.
Folgende Schritte sind auszuführen :
- Bestätigung des Hinweises, dass alle Windows-Programme zu beenden sind („Next“)
- Bestätigung der Akzeptanz der Lizenzbedingungen („Yes“)
3
- Angabe des Verzeichnisses, in das der Netscape Communicator installiert werden soll – hier kann das
standardmäßig voreingestellte Verzeichnis übernommen werden, oder es kann durch Klick auf „Browse“ ein
anderes Verzeichnis gewählt werden.
- Danach : „Next“. Sollte das Verzeichnis noch nicht existieren, wird das Installationsprogramm fragen, ob das
Verzeichnis erstellt werden soll.
- Weitere Abfragen sind beliebig zu beantworten :
- In welchen Programmordner soll das Programm installiert werden ? Standard : es wird eine neue Programmgruppe erstellt, die Einstellung sollte so übernommen werden.
4
- Sind die Einstellungen so in Ordnung ?
Wenn ja : Install !
5
Wichtigste Bestandteile des Netscape Communicator : Navigator
Messenger
Composer
(Anzeigen von Internetseiten)
(E-Mail-Agent)
(Erstellen von InternetSeiten)
Konfiguration des Netscape Communicator :
Der neu installierte Netscape Communicator wird mit (Doppelklick auf das neu entstandene Icon auf dem
Bildschirm bzw. Start  Programme  Netscape Communicator  Navigator gestartet.
Startbildschirm :
6
Die in Klammern stehenden Begriffe stellen die deutschen Bezeichnungen des jeweiligen Menüpunktes dar.
Einstellungen werden unter Edit (Bearbeiten)  Preferences (Einstellungen) vorgenommen.
Navigator:
Menüpunkt Appearance (Gesamtbild):
Hier lässt sich einstellen, mit welchen Komponenten der Netscape Communicator starten soll ...
... das Erscheinungsbild von Schrift, Links und Hintergrund sowie
das Erscheinungsbild der Schaltflächen.
Startseite einstellen : Diese Einstellung ist beliebig wählbar, hier ein Beispiel :
Navigator starts with : „Home Page“ (Navigator startet mit : „Home Page“)
Navigator  Location (Adresse) : http://www.tu-cottbus.de
7
Languages (Sprachen) :
Wer möchte, kann hier eine Sprache, in der die Webseiten bevorzugt
erscheinen sollen, wenn die Möglichkeit dazu besteht (mehrsprachig
vorgehaltene Seiten), angeben.
Applications (Anwendungen) : Hier kann eingestellt werden, welche Anwendung mit welchem Dateityp
verbunden werden soll, z.B. soll ein HTML-Dokument mit dem Netscape
Navigator geöffnet werden :
8
... oder eine Excel-Tabelle (Dateiendung .xls) wird mit MS Excel geöffnet :
Smart Browsing :
Sicherheitsrelevante Einstellung. Dies ist eine Option, mit der festgelegt wird, ob besuchte
WWW-Seiten an einen bestimmten WWW-Server übermittelt werden sollen. Dies richtet
zwar keinen direkten Schaden an, kann aber dazu dienen, Benutzerverhalten zu
analysieren, beispielweise um gezielt Werbung zu versenden. Es wird empfohlen, diese
Einstellungen nicht zu aktivieren.
9
Mail & Newsgroups (Mail und Diskussionsforen) :
Identity (Identität) :
Your Name (Ihr Name) Vorname und Name
Email address (E-Mail-Adresse) : Ihre E-Mail-Adresse ( hier : [email protected])
Reply-to address (Rückantwortadresse) : Nicht nötig, nur wenn sie anders ist als die angegebene EMail-Adresse
Signature File (Unterschriftsdatei) : Signatur-Datei, deren Inhalt immer automatisch die Mail
unterschreibt, muß nicht angegeben werden
Mail Servers (Mailserver) :
(Informationen über den Mail-Service der BTU sind auf dieser WWW-Seite des URZ einzusehen:
http://www.rz.tu-cottbus.de/urz/support/mail/ )
Incoming Mail Servers (Server für eingehende Mail) : z.B Mailserv.TU-Cottbus.De
Outgoing Mail (SMTP) Server (Server für ausgehende Mail) : z.B. Mailserv.TU-Cottbus.De
Local Mail Directory (Lokales Mail Verzeichnis) : Das ist das Verzeichnis, in dem die E-Mails abgelegt
werden. Die Einstellung kann beliebig auf ein anderes
Verzeichnis
geändert
werden,
die
vorgegebenen
Einstellungen können auch beibehalten werden.
10
Danach muss noch der Server für eingehende Mail konfiguriert werden:
Incoming Mail Server (Server für eingehende Mail)  Eingetragenen Server markieren  Edit (Bearbeiten) :
Registerkarte General (Allgemein) :
Server-Typ : POP3 oder IMAP : Das URZ empfiehlt den Einsatz des IMAP-Protokolls. IMAP überträgt im
Gegensatz zu POP die Login-Daten einschließlich Passwort verschlüsselt über das Netz, das POP – Protokoll
würde es im Klartext übertragen
 IMAP (Internet Mail Access Protocol) auswählen
User Name (Benutzername für Mailserver) : Loginkennzeichen
11
ACHTUNG : Niemals Passworte speichern ! Wenn Sie Ihr Passwort abspeichern, so müssen Sie davon
ausgehen, dass es an irgendeiner Stelle auf Ihrer Festplatte abgelegt und somit unter Umständen für andere
zugreifbar sein könnte. Auch Passworte, die in verschlüsselter Form abgespeichert werden, sind unsicher!
Es gibt Programme, die in der Lage sind, Passworte zu entschlüsseln.
Bitte besuchen Sie zu diesem Thema auch unsere Webseite
http://www.rz.tu-cottbus.de/urz/security/passwd.html
Abfragezeit für Mails ist standardmäßig auf 15 min eingestellt, dies kann so bleiben.
Newsgroup Servers (Newsgroupserver) : News.TU-Cottbus.De oder
Maust.TU-Cottbus.De , Port 119 ist Standard und kann so bleiben
Es sollten noch einige erweiterte Einstellungen vorgenommen werden :
Advanced (Erweitert) :
Wichtige sicherheitsrelevante Einstellungen sind hierbei, Java und Javascript zu deaktivieren. Java und
Javascript sind Programmiersprachen, die für die Gestaltung von Webseiten genutzt werden. Mit ihrer Hilfe
kann auch böswilliger Code programmiert und auf die Webseite gebracht werden, die der Internet-Surfer
besucht. Auf diese Art und Weise kann die Festplatte des Nutzers ausspioniert werden, es können beliebige
Kommandos auf dem Rechner des Nutzers ausgeführt werden oder es können Dateien manipuliert werden.
Derartige Programme (sogenannte Exploits) sind ausreichend im Internet zu finden. Jemand, der es darauf
anlegt, muß diese Programme nicht einmal selbst schreiben, ein einfaches Laden aus dem Internet reicht aus.
Einziger ausreichender Schutz vor derartigen Aktivitäten ist das Ausschalten von Java und Javascript.
Ebenso sollten Cookies verboten werden. Dies sind kleine Protokolldateien, die dazu dienen, die
Surfgewohnheiten des Nutzers zu erforschen. Sie werden auf der Festplatte des Nutzers abgelegt und fragen
gleichzeitig ab, ob schon andere Cookies vorliegen. So können ebenso wie bei „Smart Browsing“
Benutzerprofile erstellt und teilweise zwischen Servern ausgetauscht werden, um diese Informationen
beispielsweise für Werbezwecke zu nutzen. Cookies können allerdings nicht nur negativ sein. Manche werden
dafür genutzt, Server an das Verhalten von Nutzern anzupassen, indem aus den Cookies abgelesen wird, was
der Nutzer gemacht hat. Wem der Gedanke allerdings nicht angenehm ist, dass sein Verhalten in irgendeiner
Weise von irgend jemandem erforscht wird, sollte keine Cookies erlauben.
12
Proxy – Konfiguration :
Ein Proxy ist in diesem Fall ein Rechner, der die Seiten des Internets zwischenspeichert. Hat ein Nutzer im
Netz den Proxy eingeschaltet, wird jede Seite, die er besucht, auf dem Proxy gespeichert. Der nächste
Besucher dieser Seite erhält die Seite nicht aus dem Internet, sondern vom Proxy. Dies ist sehr nützlich, um
die Übertragungszeit zu verkürzen.
Manual Proxy Configuration (Manuelle Proxy-Konfiguration)
13
View (Anzeigen)
HTTP Proxy : www-cache.tu-cottbus.de , Port 80
No Proxy ( kein Proxy ) : tu-cottbus.de  für die Domäne TU-Cottbus.De wird kein Proxy genutzt.
Bedienung des Netscape Communicator :
1.
HTTP und FTP
In die Adresszeile wird der sogenannte URL (Uniform Ressource Locator), die Internet-Adresse der
gesuchten Seite, eingetragen.
14
Hierbei gibt es folgende Möglichkeiten :
http://www.tu-cottbus.de für den Zugriff auf WWW-Seiten
ftp://ftp.tu-cottbus.de für den Zugriff auf einen FTP-Server
file://c:\... <Pfad zur lokalen Datei> für den Zugriff für eine Datei auf dem lokalen Rechner ( z.B. ein HTMLDokument – dies ist die Hypertext Markup Language, in der WWW-Seiten verfasst werden)
Bedeutung der Schaltflächen in der Navigations-Symbolleiste :
Back (Zurück) :
Zurück zur vorhergehenden Seite. Wenn man die linke Maustaste gedrückt hält
und die Maus nicht vom Back-Button wegbewegt, werden mehrere zuletzt
besuchte Seiten angezeigt. Man kann sich so mit der Maus auch mehrere
Seiten zurück bewegen.
15
Forward (Vor) :
Reload (Neu Laden) :
Home (Anfang) :
Search (Suchen) :
Netscape :
Print (Drucken) :
Security (Sicherheit) :
Stop (Stop) :
Die umgekehrte Funktion.
Hiermit erhält man immer die neueste Version einer Webseite: Sollte sich der
Inhalt einer Webseite geändert haben, während man damit arbeitet, wird mit
Reload immer die neueste Version und nicht die auf der Festplatte
zwischengespeicherte (gecachte) Version geladen.
Hiermit gelangt man zu der Seite, die man in den Einstellungen als Anfangsseite
angegeben hat.
Verbindet den Nutzer mit der Suchfunktion von Netscape. Hiermit kann man
Internetseiten nach bestimmten Stichworten durchsuchen lassen. Es handelt
sich um eine sogenannte Suchmaschine.
Leitet den Nutzer zu weiteren interessanten Seiten im Internet
Druckt die angezeigte Internetseite
Zeigt an, ob die ausgewählte Internetseite verschlüsselt übertragen wurde.
Sofern das der Fall ist, kann man sich die Zertifikate sowie die zertifizierende
Instanz des angewählten Webservers anzeigen lassen. Mehr Informationen
zum Thema Verschlüsselung und Zertifizierung kann man den
Lehrgangsunterlagen „Verschlüsselung und Zertifizierung“ unter
http://www.rz.tu-cottbus.de/urz/security/sup_secu_index.html
entnehmen.
Unterbricht das Laden der ausgewählten Internetadresse, wenn man es sich
anders überlegt oder sich ein Tippfehler in der URL eingeschlichen hat .
Verweise auf weiterführende Seiten werden als Hyperlinks oder einfach Links bezeichnet. Sie leiten den
Nutzer auf weitere Internetseiten auf dem Server oder an andere Server weiter. Links sind meist besonders
gekennzeichnet, z.B. unterstrichen und andersfarbig, und nachdem sie von dem Nutzer besucht worden
sind, in einer weiteren Farbe dargestellt.
Bedeutung der Schaltfläche Bookmarks (Lesezeichen) :
Wenn man eine Internetadresse findet, die man für so wichtig hält, dass sie auch zu einem späteren
Zeitpunkt von Bedeutung sein könnte, kann man ein sogenanntes Lesezeichen setzen. Hierzu klickt man
auf diese Schaltfläche und danach auf „Add Bookmark“ (Lesezeichen hinzufügen). Nun erscheint die
Internetseite unter ihrem Titel unter der Schaltfläche „Bookmarks“. Mit „Edit Bookmarks“ kann man sie in
einen bestimmten Ordner unterhalb der Bookmarks verschieben, ihren Titel ändern oder das Bookmark
löschen. Will man wieder auf die entsprechende Internetseite gelangen, klickt man einfach auf „Bookmarks“
und danach auf die entsprechende Zeile in dem Menü.

Bedeutung der wichtigsten Menüpunkte in der Menüleiste :
File (Datei) :
- Öffnen eines neuen Navigator-Fensters, Schreiben einer neuen Nachricht u.a.
- Öffnen einer speziellen URL oder lokalen Datei, dies wird jedoch meist in der Adreßzeile gemacht
- Sichern der Webseite auf der lokalen Festplatte
- Versenden der WWW-Seite als E-Mail
- „Edit Page“ öffnet den so genannten Composer, den im Netscape Communicator enthaltenen Editor für
WWW-Seiten, um damit die Seite zu bearbeiten und danach eventuell auf der lokalen Festplatte
abzuspeichern
- Die Menüpunkte „Page Setup“, „Print Preview“ und „Print“ dienen zur Einstellung von Druckoptionen, zur
Seitenvorschau und zum Druck der Seite.
- Offline/Online trennt oder stellt die Verbindung mit dem Netz wieder her – das dient dem Sparen von
Telefonkosten, wenn man ein z.B. ein längeres Dokument lesen und danach wieder online arbeiten will.
Edit (Bearbeiten) :
-
-
Cut (Ausschneiden), Copy (Kopieren) und Paste (Einfügen) schneiden markierten Text aus, kopieren
markierten Text in die Zwischenablage oder fügen ausgeschnittenen oder kopierten Text wieder ein,
wobei die Funktionen Cut und Paste nur im Composer aktiv sind
Select all (Alles markieren) markiert den gesamten Inhalt der Seite.
Search Page (Seite durchsuchen) sucht in der aufgerufenen Internetseite nach Stichworten.
16
-
Search Internet (Internet durchsuchen) ruft die Netscape-Internet-Suchfunktionen auf.
Preferences (Einstellungen) konfiguriert den NC wie vorher besprochen.
View (Ansicht) :
-
Mittels „Show“ Ein- und Ausschalten der Symbol- und Navigationsleisten
Reload (Neu laden) : Laden der letzten Version der aktuell angezeigten Seite
Page Source (Seitenquelltext anzeigen) : Zeigt den HTML-Quelltext der Seite an
Go (Gehe) :
Bewegen innerhalb der schon bei dieser Sitzung oder bei vorherigen Sitzungen ausgewählten Adressen
(History).
Communicator :
Bewegen innerhalb der Bestandteile des NC.
Help (Hilfe) :
diverse Hilfefunktionen
2. E-Mail
Das Netscape – E-Mail-Programm wird durch „Communicator“  “Messenger“ oder durch Klicken
Briefsymbol rechts unten im Navigatorfenster gestartet.
das
Der Netscape Messenger bietet von sich aus mehrere Ordner für die E-Mails an.
Inbox :
Unsent Messages :
Drafts :
Templates :
Trash :

Neu angekommene E-Mails
Nachrichten, die schon neu geschrieben wurden, aber dann doch nicht gesendet
wurden, kann Netscape zum späteren Senden hier speichern.
ebenso
Vorlagen für Nachrichten – z.B. bestimmte Formatierungen, die nicht für jede Nachricht
neu erstellt werden sollen.
Papierkorb, enthält vorläufig gelöschte Nachrichten.
Bedeutung der Schaltflächen :
17
Get Messages (Nachrichten abrufen) :
New Message (Neue Nachricht) :
Reply (Antwort) :
Reply all (Antwort an alle) :
Forward (Weiterleiten) :
File (Ablegen) :
Next (Nächste) :
Print (Drucken) :
Delete (Löschen) :
Stop (Stop) :

Holt neue Nachrichten vom Server, sie gelangen in den Folder
„Inbox“
Erstellen und Versenden einer neuen Nachricht
Beantworten einer E-Mail
Senden einer Antwort an alle diejenigen, an die die Nachricht
gesendet wurde, nicht nur an den Absender
Nachrichten können an weitere Empfänger einfach weitergeschickt
werden
Abspeichern der ausgewählten Nachricht in einem anderen Ordner
Bewegen zur nächsten ungelesenen Nachricht
Drucken der Nachricht
Aktuelle Nachricht wird in den Papierkorb verschoben
Unterbrechen des Ladens einer E-Mail
Die Bedeutung der wichtigsten Punkte der Menüleiste :
File (Datei) :
New (Neu) :
Öffnen eines neuen Navigator – Fensters oder einer neuen EMail
New Folder (Neuer Ordner) :
Anlegen eines neuen Ordners zum Ablegen der E-Mails
Save as (Speichern unter) :
Hiermit kann man empfangene E-Mails als Dateien abspeichern
bzw. selbst erstellte E-Mails als Vorlagen, sogenannte
Templates, abspeichern, um sie später nochmals zu verwenden.
Get Messages (Neue Nachrichten abrufen) : Entspricht der Schaltfläche „Get Messages“
Empty Trash (Papierkorb leeren) :
Werden E-Mails im Netscape Messenger gelöscht, so gelangen
sie zunächst in den Ordner Trash (Papierkorb). Mit dieser
Funktion werden sie endgültig gelöscht.
Edit (Bearbeiten) :
Undo (Rückgängig) :
Redo (Wiederherstellen) :
Cut, Copy, Paste
(Ausschneiden, Kopieren, Einfügen) :
Rückgängigmachen der letzten Arbeitsschritte
Der umgekehrte Schritt
Select (Markieren) :
Markieren von Nachrichten zur weiteren Bearbeitung
Find, Find again (Finden) :
Suchen von Zeichenketten innerhalb der aktuellen Mail
Search Messages
(Nachrichten durchsuchen) :
Preferences (Einstellungen) :
Funktionen wie aus einem Textverarbeitungsprogramm zum
Zwischenspeichern von Text in der Zwischenablage
Dieser Menüpunkt dient dem Auffinden von Nachrichten. Alle
Bestandteile der Nachrichten ( Betreff-Zeile (Subject), Absender,
Nachrichtentext, ...) können hierbei nach bestimmten
Stichpunkten durchsucht werden, es kann auch der zu
durchsuchende Ordner ausgewählt werden
Über diesen Menüpunkt können dieselben Einstellungen
vorgenommen werden wie unter Netscape Navigator  Edit 
Preferences
18
View (Ansicht) :
Sort (Sortieren) :
Hiermit können die Nachrichten in den einzelnen Ordnern nach
bestimmten Kriterien sortiert werden, z.B. nach dem Datum, dem
Absender, der Größe, dem Betreff. Ein sehr nützlicher Punkt ist
hierbei, dass auch nach dem Thread, d.h. nach dem Faden
sortiert werden kann. Es bedeutet, dass Mails als
zusammengehörig angesehen werden, die Antworten auf
Nachrichten und Antworten auf diese Antworten sind – es
entsteht praktisch eine Baumstruktur.
Go (Gehe) :
Hiermit bewegt man sich innerhalb der Nachrichtenfenster. Man kann aber auch genauso gut mit der Maus
innerhalb der Fenster agieren.
Message (Nachricht) :
Hier findet man hauptsächlich die Funktionen wieder, die bereits auf den Schalflächen vorhanden
sind :
New (Neue Nachricht), Reply (Antwort), Reply to all (Antwort an alle), Forward (Vor).
Weitere Funktionen :
Move (Verschieben) :
Nachricht in einen anderen Ordner verschieben
Copy (Kopieren) :
Nachricht in einen anderen Ordner kopieren
Add to addressbook:
(Ins Adressbuch einfügen)
der Absender wird dem Adreßbuch hinzugefügt. Dies kann
man auch tun, indem man einfach mit der Maus auf den
Absender der Nachricht klickt.
Communicator :
Auch hier entspricht das Menü dem im Netscape Navigator.
Senden einer Nachricht : New (Neue Nachricht), Reply (Antwort), Reply to all (Antwort an alle), Forward
(Weiterleiten):
19
Die wichtigsten Funktionen in diesem Fenster sind :
Die Empfängerzeile :
To (An) :
In diese Zeile wird die Adresse des Empfängers eingetragen. Sie ist nur leer, wenn eine neue
Nachricht erzeugt wird. Bei allen anderen Funktionen steht als Empfänger der ursprüngliche
Absender der Nachricht bereits dort.
CC :
Soll die Mail nicht nur an einen, sondern als „Kopie“ an weitere Empfänger gesendet werden,
können diese in die CC-Zeile eingetragen werden.
BCC .
Dies ist eine „Blind Copy“. Soll ein weiterer Empfänger der Nachricht eingetragen werden, von
dem die anderen Empfänger nicht wissen sollen, dass er die Nachricht ebenfalls empfängt, so
kann er in diese Zeile eingetragen werden.
Die Subject- (Betreff) – Zeile :
Hier wird der Titel der Mail (Betreff, Subject) eingetragen. Sie kann aber auch freigelassen
werden.
Schreibfläche : Die große freie Fläche soll den Text der Mail enthalten.
Die Schaltflächen :
Send (Senden) :
Sendet die Mail ab.
Quote (Anführen) :
Setzen von Markierungszeichen
Address (Adresse) :
Mit dieser Schaltfläche wird das Adreßbuch aufgerufen. Aus dem Adreßbuch kann
direkt die Empfängeradresse (wahlweise für To, CC oder BCC) entnommen werden,
vorausgesetzt, dass sie vorher bereits mit der Funktion „Dem Adreßbuch hinzufügen“
dort eingetragen wurde.
Attach (Anfügen) :
Hiermit ist es möglich, der Mail eine Datei oder eine WWW-Seite anzufügen. Diese
kommt als sogenanntes Attachement an.
Options (Optionen) :
Gibt an, ob die Mail signiert, verschlüsselt oder sowohl als auch gesendet werden
soll
20
Spelling (Rechtschreibprüfung) :
Entspricht der Rechtschreibprüfung in einem Textverarbeitungsprogramm. Es kann
die gewünschte Sprache oder ein benutzerdefiniertes Wörterbuch angegeben
werden.
Save (Sichern):
Speichern der Mail als Datei, Template (Vorlage) oder Draft zum späteren
Versenden.
Print (Drucken) :
Drucken der neuen Nachricht
Security (Sicherheit) :
Arbeit mit Zertifikaten. Hier soll nochmals auf die Lehrgangsunterlagen
„Verschlüsselung und Zertifizierung“ unter
http://www.rz.tu-cottbus.de/urz/security/sup_secu_index.html
hingewiesen werden.
Stop
Hält den momentan laufenden Prozeß (z.B. das Laden einer E-Mail ) an.
VIREN UND WÜRMER :
Ein sehr aktuelles Thema sind derzeit Computerviren und Computerwürmer. In den letzten Jahren hat es sich
herauskristallisiert, dass diese Schädlinge sich hauptsächlich über E-Mail-Attachements verbreiten. Dies
funktioniert folgendermaßen :
Man erhält eine E-Mail mit einem interessant klingenden Subject, z.B. EARN MORE MONEY oder INTERNET
FOR FREE oder gar ILOVEYOU.
Der Mail ist ein Attachement angehängt, ein MS Word-Dokument, eine MS Excel-Tabelle, ein MS Access File,
ein Visual Basic Script, ein angeblicher Bildschirmschoner. Man öffnet das Attachement, und der Virus wird
aktiv. Er nistet sich auf dem Computer ein. Beispielsweise könnte er zunächst für seine Vermehrung sorgen,
indem er sich an sämtliche Adressen des Adreßbuches selbst verschickt, auch an die, die eigentlich MailingListen sind, natürlich mit der Absenderadresse des tatsächlichen Nutzers. Danach macht er sich an der
Festplatte zu schaffen, verändert Dateien (z.B. die normal.dot in MS Word, die Datei, die für alle neuen WordDokumente genutzt wird, und infiziert damit jedes neue MS Word-Dokument), oder er löscht Dateien, er
könnte auch eine Hintertür (Backdoor) installieren, die Passworte ablauscht.
Seien Sie bitte hiermit ausdrücklich gewarnt :
Öffnen Sie NIEMALS ein E-Mail-Attachement, dessen Herkunft Sie nicht genau kennen. Rufen Sie zur Not den
Absender der E-Mail an und vergewissern Sie sich. Falls Sie Systemadministrator sind: Informieren Sie alle
Ihre Nutzer.
Lassen Sie von Ihrem Mail-Programm keine Mails oder Attachements automatisch öffnen.
Löschen Sie E-Mails, die verdächtige Attachements enthalten, deren Inhalt für Sie völlig unklar ist und deren
Absender Sie nicht kennen.
Speichern Sie zur Not das Attachement auf Ihrer Festplatte ab, ohne es zu öffnen, und testen Sie es mit einem
Virenscanner.
Haben Sie stets einen aktuellen Virenscanner zu laufen. Fragen Sie Ihren Systemadministrator danach.
(Sollten Sie der Administrator sein : Wenden Sie sich bitte an das URZ.)
Manche Viren (z.B. Nimda) verbreiten sich bereits durch bloßen Web-Surfen. Hier hilft nur, aktuelle Patches
für den jeweiligen Browser zu installieren und Scripting-Funktionen abzuschalten.
Weitere aktuelle Beispiele für Viren und Würmer : SirCam, BadTrans, Goner
3. News
News werden wie E-Mails behandelt.
Nach Eintrag des richtigen News-Servers in den Netscape-Einstellungen kann man den Netscape Messenger
wie gewohnt öffnen.
Es müßte hier genau wie die anderen Mailfolder der Newsserver erscheinen.
21
Klicken Sie mit der RECHTEN Maustaste auf „News.TU-Cottbus.De“.
Nun können Sie durch Doppelklick Ihre Newsgroups auswählen, z.B. de.comp.security.misc.
Nach dem Doppelklick sollte ein Häkchen in den ausgewählten Newsgroups erscheinen :
Klicken Sie nun „OK“, und die Newsgroup wird in Ihren Messenger geladen. Sie können die News nun genau
wie E-Mails lesen. Es können auch News-Server zugefügt werden, wieder gelöscht werden, je nachdem, für
welches Themengebiet man sich interessiert.
22
23
3. Microsoft Internet Explorer 5.5
Installation des Internet Explorer :
Start  Ausführen :
User : ftp
Password : E-Mail-Adresse (z.B. [email protected])
cd pub/pc/win32/internet_explorer/
bin
get ie55.exe
Dieses nimmt einige Zeit in Anspruch, da ca. 77MB über das Netz zu transportieren sind.
bye
Die Datei ie55.exe liegt nun lokal vor. Durch Doppelklick ein Programm gestartet, das die benötigten Dateien in
einen Ordner, der frei wählbar ist, extrahiert :
24
...nach dem Entpacken :
Auswahl von „Installation von Internet Explorer
Stimmen Sie den Lizenzbedingungen zu ( Klick in „Ich stimme dem Vertag zu“ )  Weiter .
Im folgenden Dialogfenster sollte „Browser anpassen“ ausgewählt werden, weil hier der Pfad für den Internet
Explorer sowie die zu installierenden Komponenten selbst ausgewählt werden können :
25
Weiter ...
Hier kann der Pfad geändert werden (es kann natürlich auch die Standardeinstellung übernommen werden)...
... und es sollte noch der Mailclient „Outlook Express“ als zusätzliche Komponente installiert werden.
„Weiter“ startet die Installation. Das Setup Programm informiert laufend über den Stand der Installation.
Des weiteren wird ein Neustart notwendig:
26
Nach dem Neustart wird die Installation vervollständigt.
Konfiguration des Internet Explorer :
Der neu installierte Internet Explorer wird mit (Doppelklick auf das neu entstandene Icon auf dem Bildschirm
bzw. Start  Programme  Internet Explorer gestartet.
Start des Internet Connection Wizard :
Letzte Option auswählen .
27
Der Internetzugang soll über das lokale Netzwerk erfolgen :
Der Proxyserver soll auch hier manuell eingetragen werden :
... auch hier müssen die Einstellungen so aussehen :
28
... und kein Proxy für die Domäne TU-Cottbus.De :
Die Abfrage „Möchten Sie ein E-Mail-Konto einrichten ?” ist mit „Ja“ zu beantworten.
Es soll ein „Neues Internet E-Mail-Konto“ erstellt werden.
Im nächsten Fenster sind Vor- und Nachname einzutragen, und im darauffolgenden die gültige E-Mail-Adresse.
Auch hier ist ein Posteingangs- und ein Postausgangsserver wie auch beim Netscape Messenger zu wählen,
z.B. Mailserv.TU-Cottbus.De. Ebenso wird auch hier die Auswahl des IMAP-Protokolls empfohlen.
Die nächste Einstellung enthält bereits den Kontonamen. ACHTUNG : Auch hier bitte niemals das Passwort
abspeichern !
29
... „ Fertigstellen “. Nun sollte der Internet Explorer mit dem Startbildschirm starten :
Weitere Konfiguration :
„Extras“  “ Internetoptionen “ :
30
Registerkarte „Allgemein“
Einstellen der Startseite
Möglichkeiten : Einstellen von Hand durch Eintrag in das Adressfeld, Nutzung der aktuellen Seite, eine
voreingestellte Standardseite oder eine leere Seite :
Temporäre Internetdateien :
Hier kann die Art und Weise festgelegt werden, wie bereits aufgerufene WWW-Seiten behandelt werden sollen.
„Dateien löschen“ löscht alle im Ordner „Temporäre Internet Files“ enthaltenen Seiten sofort. Unter
„Einstellungen“ kann dem Internet Explorer mitgeteilt werden, wann Seiten aktualisiert werden sollen, wieviel
Speicherplatz temporäre Internetdateien einnehmen dürfen, wo sie gespeichert werden sollen, und es kann
angezeigt werden, welche Dateien und Objekte bereits geladen wurden.
Verlauf :
Dies beschreibt die Handhabung der so genannten History, eine Liste aller besuchten WWW-Seiten, die in der
URL-Zeile des Internet Explorer vorgehalten werden. Es kann konfiguriert werden, wie lange die History
gespeichert werden soll, und sie kann mit der Schaltfläche „Verlauf leeren“ gelöscht werden.
Die Schaltflächen „Farben“, „Schriftarten“, „Sprachen“ und „Eingabehilfen“ dienen zur Konfiguration des
Erscheinungsbildes des Internet Explorer.
Registerkarte „Sicherheit“
Diese Registerkarte dient zur genauen Konfiguration der Sicherheitseinstellungen für den Internet Explorer.
31
Auch hier gilt als wichtigste Regel, wie schon beim Netscape Communicator beschrieben, die Abschaltung der
aktiven Inhalte wie Java, Javascript sowie hier auch des ActiveX von Microsoft.
Eine genaue und ausführliche Beschreibung des Sicherheitsmodells des Internet Explorer sowie der
Einstellungen unter diesem Menüpunkt hat der Verlag Heinz Heise unter der URL
http://www.heise.de/ct/browsercheck
beschrieben, deren Inhalt unter dem Punkt „4. Security“ in diesen Unterlagen zu finden ist.
Registerkarte „Inhalt“
„Inhaltsratgeber“ : Möglichkeit des Abblockens bestimmter WWW-Seiten
Möglichkeit der Filterung von Sites bezüglich ihres Inhaltes :
32
Möglichkeit des generelles Blockens oder Zulassens von Sites :
Beim Zugriff auf eine solche „nicht gebilligte Site“ erhält der Nutzer folgende Mitteilung :
33
Das Kennwort musste beim Aktivieren der Einstellungen für die Filterung vergeben werden. Nur mit diesem
Kennwort ist es möglich, die Einstellungen nochmals zu verändern.
Die Registerkarte „Allgemein“ erlaubt die Konfiguration des Inhaltsratgebers :
„Zertifikate“ :
Zertifikate dienen der Erhöhung der Vertrauenswürdigkeit von WWW-Seiten, WWW-Servern,
zur Client-Authentifizierung sowie zur Verschlüsselung und digitalen Signatur von E-Mail.
Unter der WWW-Seite
34
http://www.rz.tu-cottbus.de/urz/support/security/
sind Informationen sowie ein Postscript-Dokument mit Lehrgangsunterlagen zum Thema
„Verschlüsselung und Zertifizierung“ zu finden, das die Problematik erklärt. Das URZ empfiehlt
ausdrücklich die Nutzung von Verschlüsselung und Zertifikaten.
Registerkarte „Verbindungen“ :
„Setup“ startet den schon beschriebenen „Internet Connection Wizard“.
So ist es beispielsweise möglich, DFÜ-Verbindungen einzurichten.
Weiterhin können LAN-Einstellungen einschließlich der Proxy-Einstellungen wie oben beschrieben konfiguriert
werden.
Registerkarte „Programme“ :
Es kann hier konfiguriert werden, welcher Dienst mit welchem Client aufgerufen werden soll.
Registerkarte „Erweitert“ :
Einstellungen, die nach persönlichem Geschmack verändert werden können. Vieles sollte vielleicht auch
ausprobiert werden.
Aber : Bitte unbedingt die im Punkt „4. Security“ beschriebenen sicherheitsrelevanten Einstellungen beachten !
Bedienung des Microsoft Internet Explorer :
Die Funktionen sind mitunter denen sehr ähnlich, die bereits beim Netscape Communicator (zukünftig mit NC
abgekürzt) beschrieben wurden. Deshalb wird in diesen Fällen lediglich darauf verwiesen.
35
1. HTTP und FTP
Die Adresszeile : Gleiche Funktion wie beim NC
Auch mit dem Internet Explorer können auf WWW-Seiten ( http://.... ), auf FTP-Server ( ftp://.... ) sowie auf
lokale Dateien ( file://... ) zugegriffen werden.
Bedeutung der Schaltflächen : (Diese Funktionen sind meist gleich denen des NC.)
Zurück :
Vor :
Abbrechen :
Aktualisieren :
Startseite :
Suchen :
Zur vorhergehenden Seite
Umgekehrte Funktion
Stop, unterbricht das Laden der eben ausgewählten URL
Neu laden, Laden der letzten Version der aktuellen Webseite
Laden der in den Einstellungen angegebenen Anfangsseite
Startet die Suchfunktion des Browsers zum Durchsuchen des Internet nach Stichworten -->
Start einer Suchmaschine
Favoriten :
entspricht der Bookmark- (Lesezeichen-) Funktion des NC. Klick auf die Schaltfläche teilt das
Browserfenster und macht die bisher angelegten Favoriten sichtbar. In dem neuen Fenster sind
die Seiten anwählbar.
Verlauf :
Mit dieser Schaltfläche kann man die bisher besuchten in der „History“ gespeicherten
Webseiten ebenfalls in einem geteilten Browserfenster sichtbar machen und anwählen.
Die in den letzten drei beschriebenen Schaltflächen geöffneten Einträge in einem zusätzlichen Browserfenster
sind durch Öffnen eines Kontextmenüs mit Klick auf die rechte Maustaste zu bearbeiten, da das Kontextmenü
nach dem Prinzip des Windows-Explorers funktioniert.
E-Mail :
Siehe Abschnitt E-Mail
Drucken :
Druckt die aktuell aufgerufene Seite
Bearbeiten :
Mittels eines zu wählenden Programms kann die Seite editiert werden, die Funktionalität ist
ähnlich der Funktion „Bearbeiten“ beim NC
Die kleinen Pfeile neben den Schaltflächen zeigen beim Klick darauf die Auswahlmöglichkeiten, die der Nutzer
für die jeweilige Schaltfläche hat.
Auswahl der bereits besuchten
Seiten
Auswahl der E-Mail-Funktion bzw. des
Programms für die Bearbeitung von Webseiten
36
 Bedeutung der wichtigsten Menüpunkte der Menüleiste :
Datei :
- Die Punkte „Neu“, „Öffnen“, „Bearbeiten“, „Speichern“, „Speichern unter ...“, „Seite einrichten“, „Drucken“,
„Seitenvorschau“ und „Senden“ entsprechen denen im NC.
- „Importieren/Exportieren“ ermöglicht, Favoriten (Lesezeichen oder Bookmarks) oder/und Cookies von anderen
oder in andere Internet-Anwendungen wie z.B. NC zu im- oder exportieren.
- „Eigenschaften“ liefert Informationen über das aktuell angezeigte Dokument.
- „Offlinebetrieb“ trennt die momentane Netzwerkverbindung. Dies ermöglicht, die aktuell angezeigte Seite
getrennt vom Netz ohne Zeit- und Kostendruck zu lesen. Durch erneutes Anklicken wird die Verbindung wieder
aktiviert.
Bearbeiten:
- Die Befehle unter diesem Menüpunkt entsprechen genau denen des NC.
Ansicht :
- Ein- und Ausschalten von Symbolleisten : Standardschaltflächen, Adressleiste, Links, Radio. Weiterhin besteht
hier die Möglichkeit der individuellen Anpassung der Schaltflächen
- Statusleiste : schaltet die Anzeige dieser Zeile ein und aus :
- Explorerleiste : Die Auswahlpunkte entsprechen den gleichnamigen Schaltflächen
- Wechseln zu : Bewegen innerhalb der bereits besuchten Seiten, entspricht den Schaltflächen „Vor“, „Zurück“
und „Verlauf“
- „Aktualisieren“ entspricht „Neu laden“
- „Schriftgrad“ und „Codierung“ regulieren das Erscheinungsbild der im Browser angezeigten Schrift
- „Quelltext anzeigen“ zeigt den HTML-Text der Seite an
- „Vollbild“ vergrößert das Browserfenster so, dass es den gesamten Bildschirm erfasst. Durch Klick auf die
beiden doppelten Fenster in der rechten oberen Bildschirmecke wird das Fenster wieder verkleinert.
Favoriten :
- Zu den Favoriten hinzufügen : Fügt die aktuell aufgerufene Seite den Favoriten zu.
- Favoriten verwalten : Dient der Organisation der gespeicherten Favoriten. Es besteht die Möglichkeit, Ordner
anzulegen und die gespeicherten Favoriten sinnvoll darin anzuordnen.
37
Einige nützliche WWW-Seiten sind bereits im unteren Teil des Menüs „Favoriten“ voreingestellt.
Extras :
Mail und News : ruft die entsprechenden Funktionen für die Handhabung von E-Mail und News auf
Windows Update : Führt den Nutzer zur Seite
http://windowsupdate.microsoft.com/ ,
von der aus Updates für Microsoft-Produkte gestartet werden können.
Verwandte Links anzeigen : zeigt themenverwandte Links zur aktuell aufgerufenen WWW-Seite an
Internetoptionen : Zur Konfiguration des IE , wie oben beschrieben.
2. E-Mail
Start der E-Mail-Funktionen durch Klick auf die Schaltfläche „E-Mail“ sowie den gewünschten Punkt des
Kontextmenüs bzw. auf „Extras“  „E-Mail“ und auch hier auf die gewünschte Funktion. Nun sollte das
Programm starten, das in den Internetoptionen als E-Mail-Client ausgewählt worden ist, in diesem Fall Outlook
Express. Ein E-Mail-Konto sollte bereits bei der Einrichtung des Internetzuganges eingerichtet worden sein.
Startbild von Outlook Express :
E-Mail lesen :
Auch in Outlook Express gibt es wie im NC voreingestellte Ordner.
Die eingehenden E-Mails liegen auf dem Server , z.B Mailserv.TU-Cottbus.De.
Server auswählen, und es erscheint ein Fenster, das den Nutzernamen für des Server bereits enthält, das
Passwort muss entsprechend obiger Konfiguration noch angegeben werden. Die Ordner mit den E-Mails
werden nun geladen, neue E-Mails befinden sich im Ordner „Posteingang“.
38
Wenn man eine E-Mail markiert und die rechte Maustaste betätigt, öffnet sich ein Kontextmenü, mit dem sich die
E-Mails bearbeiten lassen. Dies ist aber ebenso mit den Menüs der Menüleiste möglich.

Bedeutung der Schaltflächen :
Neue E-Mail, Antworten, Allen antworten, Weiterleiten, Drucken und Löschen entspricht den Schaltflächen des
NC. Mit einer Ausnahme : Der kleine Pfeil neben „Neue E-Mail“ bietet die Möglichkeit zur Auswahl von
„Briefpapier“, also eines Hintergrundbildes für die neue E-Mail.
Senden/Empfangen : Es wird geprüft, ob neue E-Mails auf dem Server eingegangen sind oder ob im Ordner
„Postausgang“ (Outbox) abzusendende E-Mails eingegangen sind. Auch hier öffnet der
kleine Peil neben der Schaltfläche weitere Auswahlmöglichkeiten.
Adressen :
Öffnet das Adressbuch
Suchen :
Entspricht der Suchfunktion im NC, die E-Mails können nach wählbaren Kriterien
durchsucht werden.

Bedeutung der wichtigsten Punkte der Menüleiste :
(Hier sollen lediglich die Menüpunkte erklärt werden, die noch nicht zu einem früheren Zeitpunkt
angesprochen worden sind.)
Datei :
Ordner :
Verwaltet die lokalen Mail-Ordner
Importieren :
Importiert Adressbücher, Nachrichten oder Kontoeinstellungen aus anderen Anwendungen
Exportieren : Exportiert Adressbücher oder Nachrichten für andere Anwendungen
Identität und Identität wechseln : Aufruf des Profils eines anderen Nutzers bzw. Verwaltung von Nutzerprofilen
Eigenschaften : Verwaltung der Konto- und Servereinstellungen
Bearbeiten :
Keine Besonderheiten, alle Menüpunke sind selbsterklärend.
Ansicht :
Aktuelle Ansicht :
Hier kann ausgewählt werden, welche Nachrichten angezeigt werden sollen (alle,
gelesene, die zuletzt vom Server übertragenen). „Aktuelle Ansicht anpassen“ und
„Ansichten definieren“ dienen der benutzerdefinierten Anpassung von Ansichten. Näheres
dazu ist in der MS Outlook Hilfe zu erfahren.
39
Sortieren nach :
Spalten :
selbsterklärend
Es kann konfiguriert werden, welche Spalten mit welchen Eigenschaften der E-Mail
angezeigt werden sollen und welche nicht.
Layout, Schriftgrad und Zeichensatz dienen zur Konfiguration des Erscheinungsbildes von Outlook Express.
Vorherige, Nächste und Wechseln zu Ordner dienen zum Bewegen innerhalb der Ordner.
Aktualisieren :
Neue E-Mails vom Server laden.
Extras :
Regeln :
Konten :
Optionen :
Hier können Regeln für die Verwaltung von E-Mails und Newsnachrichten erstellt werden
ENTSCHEIDENDER NACHTEIL : Das Erstellen von E-Mail-Regeln sowie das Blockieren
von E-Mails funktioniert nicht für IMAP-Konten ! – Vielleicht in der nächsten Version ?
Hinzufügen, Bearbeiten und Entfernen von Konten
Weitere Möglichkeiten der Konfiguration des Outlook Express
E-Mail schreiben :
Diese Funktion wird entweder durch die Schaltflächen „Neue E-Mail“, „Antworten“, „Allen Antworten“ und
„Weiterleiten“ bzw. durch die Menüpunkte „Nachricht“ und den entsprechenden Unterpunkt aufgerufen. Neue
Nachrichten können wie schon beschrieben mit so genanntem „Briefpapier“ versehen werden.
Die Funktionen der Schaltflächen und Menüpunkte sind weitgehend bereits beschrieben worden oder
entsprechen denen des NC.
3. News
Ein News-Konto muss zunächst erstellt werden. Dies geschieht mit Hilfe des Menüpunkte „Extras“  “Konten”
oder im Startfenster von MS Outlook Express. Im Fenster „Internetkonten“ muss die Registerkarte „News“
ausgewählt werden :
40
„Hinzufügen“ und nochmals „News“ auswählen.
Als nächstes wird man nach seinem Namen und der E-Mail-Adresse gefragt, beides sollte aber schon
eingetragen sein. Danach muss der gewünschte News-Server eingetragen werden :
Eine Anmeldung ist bei diesem Server nicht erforderlich. Danach : „Fertig stellen“.
Nun sollte der angegebene Server im Ordnerfenster von Outlook Express erschienen sein.
41
Outlook Express fragt, ob Newsgroups vom hinzugefügten Server geladen werden sollen. Dies kann man sofort
tun, es kann aber natürlich jederzeit später durch Klick auf „Newsgroups“ oder durch Markieren des
Servereintrags und Öffnen eines Kontextmenüs mit der rechten Maustaste sowie hier der Auswahl von
„Newsgroups“ erfolgen.
Das Abonnieren von Newsgroups geschieht so :
Newsgroup im Fenster „Newsgroup-Abonnements“ markieren und durch Doppelklick bzw. Klick auf
„Abonnieren“ auswählen. Sind alle gewünschten Newsgroups abonniert, mit „OK“ bestätigen.
42
Durch die Schaltfläche „Konto synchronisieren“ werden die News geladen. Wenn dies beendet ist, erscheinen
nach Doppelklick auf die Newsgroup wie in einem E-Mail-Fenster die News:
Sicherheitseinstellungen in Outlook und Outlook Express :
43
Eingehende Mails in einer geschützten Umgebung öffnen, um zu verhindern, dass der Inhalt von HTMLMails automatisch ausgeführt wird (sie könnten Scripte enthalten !) :
Die Standard-Zone ("Internet-Zone") sollte unbedingt auf "Restricted Sites" (Eingeschränkte Sites)
eingestellt werden, um die Punkte "Active Scripting", "Java " und "ActiveX" vollständig deaktivieren:
Beispiel Outlook
Beispiel Outlook Express
4. Security
Quelle dieses Kapitels ist die Website http://www.heise.de/ct/browsercheck .
44
Sicherheitslücken :
Java
JavaScript/JScript
Visual Basic Script (VBS)
ActiveX
Cookies
Das World Wide Web ist bunter und vielfältiger denn je - doch diese Vielfalt hat ihren Preis. Solange das Web
im Wesentlichen aus formatiertem Text mit eingebundenen Bildern bestand, war das Risiko beim Betrachten
der Seiten vergleichsweise gering. Mittlerweile kommen jedoch immer weniger Web-Sites ohne eingebaute
Skripte, menügesteuerte Java-Applets oder gar multimedial aufbereitete Präsentationen aus.
Durch diese große Bandbreite an Funktionen und die damit einhergehende Komplexität der Browser schleichen
sich immer wieder Programmierfehler ein. Diese beeinträchtigen teilweise die Funktionstüchtigkeit im täglichen
Gebrauch (z.B. stürzt der Browser beim Aufruf bestimmter Seiten immer wieder ab). Eine Reihe dieser 'Bugs'
genannten Fehler gefährden aber auch die Sicherheit des Rechners, auf dem der Browser läuft. Über speziell
präparierte Web-Seiten lassen sich dann Dateien auf der Festplatte lesen oder gar manipulieren oder Viren und
andere sogenannte Malware einschleusen.
Erweiterte Browser-Funktionen wie JavaScript, Java, ActiveX und Co erfordern es, dass fremder Code auf dem
Rechner der Besucher ausgeführt wird. Zwar gibt es diverse Sicherheitsmechanismen, die verhindern sollen,
dass solcher Code auf dem Rechner Schaden anrichtet. Doch immer wieder werden Sicherheitslücken
bekannt, die diese Einschränkungen aushebeln. Viele davon beruhen auf Programmierfehlern und lassen sich
durch Installation der aktuellen Browser-Patches beseitigen. Aber manche Risiken sind auch prinzipieller Natur
und lassen sich nur durch Deaktivieren der zugehörigen Optionen vermeiden.
Die richtige Browser-Konfiguration für alle Surfer gibt es nicht. Wer seinen Rechner nur zum Spielen benutzt und
nebenher ein wenig im Internet surfen will, hat niedrigere Ansprüche an dessen Sicherheit als jemand, der
darauf wichtige Firmenunterlagen speichert oder Online-Banking betreibt. Und wenn die persönliche LieblingsSite nur mit Java funktioniert, muss man eben abwägen, ob man zugunsten der Sicherheit ganz darauf
verzichten will, oder das damit verbundenen Risiko in Kauf nehmen will.
Bei der Suche nach Ihrem persönlichen Kompromiss helfen Ihnen die folgenden Seiten. Sie erläutern die
einzelnen Browser-Funktionen, demonstrieren deren Missbrauchspotenzial, und zeigen, wie man die
entsprechenden Funktionen an- oder abschaltet.
Java :
Java wurde von der Firma Sun als plattformübergreifende Programmiersprache entwickelt. Beim ihrem Einsatz
auf Web-Seiten lädt der Besucher ein kleines Java-Applet, das auf seinem Rechner abläuft. Häufig nutzen
Web-Designer solche Applets für zusätzliche Dienste, wie Laufbänder mit Newsticker-Meldungen oder drehbare
3D-Darstellungen, auf die man leicht verzichten kann. Aber auch komplexere Anwendungen beispielsweise mit
Datenbankabfragen, lassen sich in Java realisieren.
Die Java-Programme laufen dabei in einer so genannten Sandbox ab. Das bedeutet, die Applets laufen in einer
in sich geschlossenen Umgebung, der Java Virtual Machine (JVM), die keinen Zugriff auf lokale Ressourcen
wie Dateien oder Programme hat. Durch dieses Konzept ist Java eigentlich eine sichere Technologie -- leider
schleichen sich auch bei der Implementierung der JVM gelegentlich Fehler ein, die zu Sicherheitslücken führen.
Dann können spezielle Java-Applets beispielsweise doch auf lokale Dateien zugreifen.
Ein Beispiel dafür ist Brown Orifice HTTPD, das einen Fehler in allen 4er-Versionen (bis einschließlich 4.74) des
Netscape Navigators ausnutzt, um einen Web-Server im Browser zu installieren. Über diesen Server kann dann
jedermann Dateien des betroffenen Rechners herunterladen. Außerdem kann der Server auch Zugang zu
geschützten Servern hinter einer Firewall herstellen. Auch der Internet Explorer ist von ähnlichen Bugs
betroffen.
Aufgrund der Plattformunabhängigkeit sind von solchen Bugs alle Betriebssysteme betroffen, die Java
unterstützen -und das sind nahezu alle. So läuft Brown Orifice auch mit der Linux-Version des Communicators.
Java kann in allen Browsern separat aktiviert bzw. deaktiviert werden.
Wenn Sie Netscape einsetzen, sollten Sie zu Version 4.75 wechseln und bis dahin Java ausschalten.
Benutzer des MS Internet Explorers sollten die Version der VM identifizieren, die auf Ihrem Rechner installiert ist
und das passende Update installieren.
JavaScript / Jscript :
JavaScript ist eine Interpreter-Sprache, die von Netscape entwickelt wurde. Die Microsoft-Variante heißt JScript.
Mit dem ähnlich klingenden Java hat JavaScript praktisch nichts zu tun, außer dass auch JavaScript auf dem
45
Rechner des Surfers ausgeführt wird. Insbesondere gibt es hier keine Sandbox, die Zugriffe auf lokale
Ressourcen abblockt. Mittlerweile gibt es einen Standard, mit dem Namen ECMA-Script, den Microsoft und
Netscape in Zukunft unterstützen wollen.
Auch für JavaScript gibt es eine Reihe von Anwendungsmöglichkeiten, die von Spielereien bis zu sinnvollen
Ergänzung einer Web-Seite reichen. Die am häufigsten anzutreffende Anwendung ist der Austausch von Bildern
beim Überfahren mit der Maus ("Mouse-Over-Effekt", "Hover-Buttons").
Viele Sites nutzen JavaScript, um Browser zu erkennen und deren Inkompatibilitäten abzufangen, oder zur
bequemeren Navigation. Eine wichtige Rolle spielt JavaScript auch bei Dynamic HTML (DHTML), das ohne
JavaScript nicht funktioniert.
Wenn sich beim Besuch einer Seite automatisch weitere Browser-Fenster öffnen, ist meist JavaScript im Spiel.
Es ist prinzipiell sehr einfach den Rechner durch Hunderte von zusätzlichen Fenstern lahm zu legen.
Die meisten der bekannt gewordenen Sicherheitslücken in Web-Browsern sind eng mit JavaScript verknüpft.
Wo es nicht Hauptgegenstand des Bugs ist, benötigt man es häufig, um die Sicherheitslücke ausnutzen zu
können.
Beispiele: Netscape, Internet Explorer
JavaScript kann in allen Browsern unabhängig von Java ein- oder ausgeschaltet werden (beim Internet Explorer
allerdings nur zusammen mit VBScript).
Visual Basic Script :
Visual Basic Script (VBS) ist die von Microsoft für clientseitiges Scripting vorgesehene Sprache und stellt eine
Untermenge der Funktionen von Visual Basic for Applications (VBA) bereit, der Makrosprache von Microsoft
Office.
VBS funktioniert nur mit dem Internet Explorer ab Version 4.0, andere Browser unterstützen VBS nicht. Im Web
wird es für Client-side Scripting kaum verwendet, meist erhält hier JavaScript/JScript den Vorzug. Dafür erfreut
es sich jedoch großer Beliebtheit bei Autoren von Viren und Würmern. Diese betten VBS-Code in HTML-Mails
ein, die E-Mail-Programme wie Outlook über den Internet Explorer anzeigen. Dabei wird auch der VBS-Code
ausgeführt, wenn die Sicherheitseinstellungen zu lasch sind. Außerdem können die E-Mails VBS auch als
Anhang enthalten, der wie bei ILOVEYOU erst durch Anklicken ausgeführt wird.
Beispiele für VBS-Viren und Würmer sind VBS/Loveletter (ILOVEYOU-Wurm) und VBS/Funny.
VBS lässt sich im Internet Explorer nur gemeinsam mit JScript unter der Option "Active Scripting" ein- oder
ausschalten.
ActiveX :
Microsofts ActiveX-Technologie ist im Bereich Web-Browser am ehesten mit den Plug-Ins des Netscape
Navigators zu vergleichen. Das Steuerelement spielt dabei im Internet Explorer beispielsweise MultimediaDateien ab, die der Web-Server bereitstellt. Ist das entsprechende ActiveX-Control bereits auf dem Rechner
installiert, wird es von Windows gestartet und mit den Daten gefüttert. Andernfalls kann der Browser das
Control auch automatisch aus Internet laden.
Ein ActiveX-Control kann auf beliebige Ressourcen des Rechners zugreifen und somit auch beliebigen Schaden
anrichten. Der Internet Explorer unterscheidet zwischen signierten und unsignierten Controls. Ein signiertes
Control wurde vom Hersteller mit einer digitalen Unterschrift versehen. Ist diese intakt, kann der Benutzer
sicher sein, dass das Steuerelement vom Inhaber des verwendeten Zertifikats erstellt und nachträglich nicht
verändert wurde. Eine Garantie, dass das ActiveX-Control keinen Schaden anrichtet, hat er damit jedoch nicht.
In den Default-Einstellungen lädt Internet Explorer nur signierte ActiveX-Controls und fragt den Anwender, ob er
diese installieren möchte.
Cookies :
Cookies sind kleine Datenschnipsel, die der Browser auf Anforderung durch einen Web-Server auf der
Festplatte ablegt. Sie enthalten - mehr oder weniger kodiert - Informationen, mit denen der Web-Server den
Besucher beim
nächsten Besuch oder auf den Folgeseiten wiedererkennen kann, meist eine Art
Identifikationscode (ID). Die Informationen, die der Server über den Besucher gesammelt hat, speichert er nicht
in Cookies, sondern mit der ID in einer Datenbank. Mit der nächsten Anfrage an den Server liefert der Browser
46
das Cookie automatisch mit, so dass dieser den Benutzer "wiedererkennen" kann. So sind beispielsweise viele
Online-Shops realisiert, bei denen der Besucher über mehrere Seiten hinweg seinen virtuellen Einkaufskorb
füllt. Auch viele der personalisierten Seiten auf Portalen arbeiten mit Cookies.
Natürlich können Firmen auf diesem Weg auch richtige Profile über die Vorlieben ihrer Benutzer erstellen.
Werbeagenturen wie DoubleClick verteilen mit ihren Anzeigenbannern Cookies auf Tausenden von Web-Sites.
So können sie die Surfgewohnheiten im großen Stil verfolgen. Cookies betreffen also nicht die Sicherheit,
sondern die Privatsphäre der Surfer.
Da inzwischen viele Web-Surfer Cookies abgeschaltet haben, mussten sich die werbetreibenden Datensammler
etwas neues einfallen lassen, das man nicht einfach abschalten kann oder wird. Wie diverse Web-Counter
bauen sie vermehrt kleine, 1x1 Pixel grosse transparente GIF-Dateien in die Seiten ein. Man nennt diese
Dateien "Web Bugs".
Man kann zwar den Browser so einstellen, dass er Cookies nur auf Nachfrage akzeptiert. In der Praxis
überfluten einen dann jedoch manche Sites mit so vielen dieser Dialogboxen, dass man mit dem Klicken gar
nicht hinterherkommt. Als Kompromiss kann man Cookies nur von Servern akzeptieren, deren Seiten man
gerade besucht oder die Cookies gelegentlich ausmisten (bei Internet Explorer in C:\Windows\Cookies, bei
Netscape "cookies.txt" im Netscape-Benutzerverzeichnis). Wer besonders auf seine Privatsphäre achtet,
schaltet die Annahme von Cookies generell ab.
Sicherheitseinstellungen des Browsers anpassen
Sicherheitseinstellungen von Netscape 4.7x :
Bearbeiten  Einstellungen ( Edit  Preferences ) :
Smart Browsing:
Beim Smart Browsing werden Benutzerdaten zu einem Netscape-Server übertragen und dort gespeichert. Aus
einer Datenbank auf einem Netscape-Server werden Websites mit ähnlichen Themen ausgesucht wie die Seite,
die Sie gerade besuchen. („What’s related“ )
Dies ist zwar kein Sicherheitsrisiko, jedoch eine Beeinträchtigung der Privatsphäre. Sie sollten daher Smart
Browsing deaktivieren, wenn Sie nicht möchten, dass Ihre Surf-Gewohnheiten bei Netscape/AOL gespeichert
werden
Internet Keywords:
Auch hier werden Benutzerdaten übertragen und möglicherweise gespeichert. Sie geben in das Adressfeld
Stichworte ein und der Browser überträgt diese an einen Netscape-Server, der aus einer Datenbank dazu
passende Websites heraussucht.
47
Java, Javascript und Cookies :
Java:
Sicherheitsbewusste Surfer sollten zumindest bei Versionen bis 4.74 Java deaktivieren. Andernfalls ist über ein
Java-Applet, das einen Webserver im Browser installiert, Lesezugriff auf lokale Dateien möglich.
JavaScript:
Wer auf JavaScript verzichten kann, sollte es deaktivieren. Dabei sind eventuell einige Komforteinbußen
hinzunehmen, dafür fallen damit viele der bekannten Sicherheitslöcher im Communicator weg, die durch
Programmierfehler entstanden sind. Allerdings funktionieren dann auch die Online-Hilfe und Style-Sheets (CSS)
nicht mehr.
JavaScript in Mail und News:
Für Mail und News ist JavaScript eigentlich unnötig und nur ein potenzielles Sicherheitsrisiko. Angriffe über
JavaScript in Mails oder Newsgroup-Postings sind durchaus möglich und auch schon vorgekommen. Daher
kann man JavaScript seit Version 4.5 für Mail und News separat abschalten. Das sollten Sie auch dann tun,
wenn Sie JavaScript fürs Web eingeschaltet lassen.
Cookies :
Cookies sind mehr eine Frage der Privatsphäre als ein Sicherheitsrisiko. Wenn es Sie stört, dass Anbieter
Profile über Ihre Web-Gewohnheiten anlegen könnten, sollten Sie Cookies ganz ausschalten oder zumindest
die Warnung aktivieren. Als Kompromiss können Sie Cookies ganz ablehnen, die auch an andere Server
weiterverteilt werden. Für Cookies, die nur für den Server bestimmt sind, der das Cookie gesetzt hat, aktivieren
Sie die Warnung und entscheiden dann von Fall zu Fall. Alternativ können Sie dubiose Einträge aus der Datei
"cookies.txt" im Netscape-Benutzerverzeichnis regelmäßig entfernen. Um nur sitzungsbasierte Cookies zu
gestatten, die nicht auf der Fetsplatte landen, kann man die Cookies-Datei mit einem Schreibschutz versehen.
Auf Betriebssystemen, die das nicht unterstützen, legt man statt dessen ein gleichnamiges Verzeichnis an.
Dann akzeptiert der Browser Cookies, so dass beispielsweise Online-Shops reibungslos funktionieren. Nach
dem Beenden des Programms sind die Cookies ebenfalls weg.
48
Smart Update:
Sie sollten die manuelle Bestätigung aktivieren oder diese Funktion ganz ausschalten. Andernfalls können PlugIns und Browser-Updates unbemerkt installiert werden. Dies könnte auch zu einem Angriff genutzt werden. Es
sind allerdings bisher noch keine Beispiele dafür bekannt geworden.
Sicherheitseinstellungen des IE 5.x :
49
Kurze Einführung :
Das Sicherheitsmodell des Internet Explorers
Im Sicherheitsmodell des Internet Explorers wird jeder Web-Server, den Sie besuchen, einer Zone zugeordnet.
Browser benutzt dann jeweils die für diese Zone eingestellten Sicherheitsvorgaben. So ist es möglich, nur auf
besonders vertrauenswürdigen Servern, beispielsweise im lokalen Intranet, Funktionen zu aktivieren, deren
generelle Freigabe zu riskant wären. Der Internet Explorer unterscheidet vier Zonen.
Die Internet-Zone
Hier sind zunächst alle Sites untergebracht, die nicht einer der drei anderen Zonen zugeordnet sind.
Die lokale Intranet-Zone
Zu dieser Zone gehören neben einem eventuell vorhandenen Intranet auch lokale Dateien. Standardmäßig ist
niedrige Sicherheit voreingestellt. Über den Menüpunkt Sites können Sie zusätzliche Server in die Zone
aufnehmen.
Vertrauenswürdige Sites
In diese Zone können Sie Websites aufnehmen, bei denen Sie sich sicher sind, dass die Betreiber Ihr
Vertrauen verdienen. Wem Sie dieses Vertrauen schenken, müssen Sie letztlich selbst entscheiden, Sie sollten
jedoch sparsam damit umgehen. Für diese Zone können Sie einige Sicherheitseinstellungen etwas lockern, um
die Funktionen der Websites voll nutzen zu können.
Eingeschränkte Sites
Hier fügen Sie Websites ein, bei denen Sie zumindest den Verdacht haben, die Betreiber könnten versuchen,
Daten auf Ihrem Rechner auszuspionieren oder Ihren Browser zum Absturz zu bringen. Für diese Zone sollten
Sie die maximale Sicherheit einstellen.
Stellen Sie zunächst für alle Zonen die im Folgenden empfohlenen hohen Sicherheitsoptionen ein und passen
Sie diese an, wenn die damit verbundenen Einschränkungen die Benutzung von wichtigen Sites zu sehr
behindert.
Öffnen der Sicherheitseinstellungen :
Extras  Internetoptionen und hier die Registerkarte Sicherheit.
Wählen Sie die Internet-Zone.
50
Die Sicherheitsstufe steht standardmäßig auf „Mittel“, klicken Sie nun auf „Stufe anpassen“
51
ActiveX-Steuerelemente (Controls) sind ein beträchtliches Risiko, und sollten generell nur auf explizite
Bestätigung des Benutzers geladen und gestartet werden. Das gilt auch für (eventuell lokale) Controls, die als
"sicher" markiert sind. Unsignierte ActiveX-Controls kommen erst gar nicht in Frage.
Cookies betreffen Ihre Privatsphäre. Sie ermöglichen es, Ihre Aktivtäten im Internet zu erfassen. Die
erste Option bezieht sich auf Cookies, die permanent auf dem Rechner gespeichert werden (die
Formulierung "die gespeichert sind" ist irreführend), die zweite bezieht sich auf temporäre Cookies, die nach
dem Programmende verschwinden.
52
Wenn Sie die aktuellen Sicherheitsupdates für Java installiert haben, können Sie es bei der voreingestellten
hohen Sicherheit belassen. Ansonsten sollten Sie Java deaktivieren.
ActiveScripting enthält die Einstellungen für JScript und VBScript. Da Scripting das Ausnutzen von
Sicherheitslücken häufig erst ermöglicht, sollten Sie es deaktivieren. Dadurch geht allerdings bei vielen Sites
einiges an Funktionalität verloren. Die Option Eingabeaufforderung ist hier nicht praktikabel. Aktivieren Sie
diese Warnhinweise also nur bei Einfügeoperationen und Scripting von Java-Applets, was recht selten
vorkommt. Der Zugriff auf die Zwischenablage auf Scripten heraus stellt ein gewisses Risiko dar, das Sie durch
die explizite Eingabeaufforderung unter Kontrolle halten können. Die Zwischenablage könnte vertrauliche
Informationen aus anderen Applikationen enthalten.
53
Das Anlegen von Objekten auf dem Desktop sollten Sie nur in Ausnahmefällen zulassen.
IFRAMES und Framesets, die verschiedene Websites in mehreren Frames darstellen (und damit die Herkunft
der Seiten verbergen) sollten Sie nur in Ausnahmefällen zulassen. Hier gibt es viele Missbrauchsmöglichkeiten.
Wenn Sie die Übermittlung unverschlüsselter
Formulardaten deaktivieren, wird die Benutzung vieler
Kontaktformulare und Suchmaschinen unmöglich.
Über den Softwarechannel werden Programme auf Ihren Rechner übertragen, wenn Sie einen solchen Channel
abonniert haben. Da Pogramme mit Viren infiziert sein oder Trojanische Pferde enthalten können, sollten Sie
genau darauf achten, welche Programme auf Ihren Rechner gelangen und woher.
Erweiterte Einstellungen des IE 5.0 anpassen :
54
Automatisches Update
Sie sollten das automatische Update deaktivieren und nur bei Bedarf einschalten, wenn Sie im einzigen
Browser-Fenster die Microsoft-Website aufgerufen haben, um den Internet Explorer zu aktualisieren.
Andernfalls könnte Ihnen ein ungewolltes "Update"
untergeschoben werden, das eine Hintertür zu Ihrem
Rechner öffnet.
Digitale Zertifikate
Digitale Zertifikate kommen zum Einsatz, wenn Sie verschlüsselte Web-Sitzungen starten, erkennbar an der
URL, die mit https: beginnt. Das kann der Webserver Ihrer Bank für das Online-Banking oder ein Online-Shop
sein. Da hier äußerst vertrauliche Daten übertragen werden (Kreditkarten-Daten, PINs und TANs), sollten Sie
auf die Gültigkeit der Zertifikate achten und die entsprechende Optionen im Internet Explorer aktivieren.
55
Herunterladen