Handhabung von Internetbrowsern unter Beachtung von Sicherheitsproblemen Lehrgang 18. 12. 2001 Elgin Lorenz, URZ Inhalt : 1. Die wichtigsten Möglichkeiten der Arbeit mit Browsern HTTP E-Mail FTP News 2. Netscape Communicator 4.7x Installation Konfiguration Bedienung 3. Microsoft Internet Explorer 5.5 Installation Konfiguration Bedienung 4. Security 1. Möglichkeiten der Arbeit mit Browsern HTTP : HTTP (Hypertext Transfer Protocol) ist wohl die gebräuchlichste Anwendung von InternetBrowsern. HTTP ist das Übertragungsprotokoll, das zur Übermittlung von WWW (World Wide Web) - Seiten über das Internet verwendet wird. WWW-Seiten liegen im HTML-Format (Hypertext Markup Language) vor und können von Internetbrowsern wie Netscape Communicator und Microsoft Internet Explorer dargestellt werden. Aufbau einer entsprechenden Internetadresse : http://www.tu-cottbus.de ( Der zentrale WWW-Server der BTU. ) (Protokoll://Server/Verzeichnis/Dokument) FTP : FTP (File Transfer Protocol ) ist ein Dienst, der die Übertragung von Dateien zwischen zwei Rechnern über das Internet oder auch zwischen lokalen Rechnern ermöglicht. Die Einwahl auf dem entfernten Rechner erfolgt entweder über eine Zugangskennung (Login und Passwort) oder anonym (Anonymous FTP), meist mit dem Login-Kennzeichen FTP und der Angabe einer gültigen E-Mail-Adresse als Zugang. Sogenannte FTP-Server stellen Daten zum Herunterladen (DOWNLOAD) zur Verfügung bzw. bieten die Möglichkeit, Dateien zur Verfügung zu stellen (UPLOAD). Möglichkeiten des Verbindungsaufbaus zu einem FTP-Server : 1. Die Kommandozeile : Start --> Ausführen --> Eingabe des Kommandos „ftp ftp.tu-cottbus.de“ 2. Aufruf der Adresse eines FTP-Servers mit einem Browser : ftp://ftp.tu-cottbus.de ( Dies ist der zentrale FTP-Server der BTU. ) (Protokoll://Server/Verzeichnis/Dokument) 3. Spezielle FTP-Clients E-Mail: Electronic Mail, darunter wird das Versenden und Empfangen elektronischer Nachrichten verstanden. Eingesetzte Protokolle : SMTP (Simple Mail Transfer Protocol) zum Versenden von E-Mail , POP (Post Office Protocol) und IMAP (Internet Mail Access Protocol) zum Abholen von E-Mail von einem Mailserver. Der zentrale Mailserver der BTU heißt Mailserv.TU-Cottbus.De. Die Arbeitsweise und Konfiguration dieses Servers ist auf der folgenden WWW-Seite des URZ erläutert : http://www.rz.tu-cottbus.de/urz/support/mail News : Online – Diskussionsforen, bei denen die Teilnehmer über bestimmte Themen Gedanken austauschen. Diskussionsrunden zu einem bestimmten Thema heißen Newsgroups, einzelne Beiträge News oder Postings. News werden von Newsservern verwaltet. Der zentrale Newsserver der BTU heißt News.TU-Cottbus.De . Aufbau der Bezeichnung einer Newsgroup : de.comp.security.misc (deutschsprachiges Forum, Thema Computer, Untergruppe Sicherheit und hier Verschiedenes) 2 2. Netscape Communicator 4.7x Installation des Netscape Communicator : Start Ausführen : User : ftp Password : E-Mail-Adresse (z.B. [email protected]) cd pub/net/netscape/communicator/english/4.7x/windows/windows95_or_nt/complete_install/ bin get cc... Dieses nimmt einige Zeit in Anspruch, da mehr als 20 MB über das Netz zu transportieren sind. bye Das Archiv ist nun auf dem Rechner vorhanden. Mit Doppelklick auf die Datei wird die Installation gestartet. Folgende Schritte sind auszuführen : - Bestätigung des Hinweises, dass alle Windows-Programme zu beenden sind („Next“) - Bestätigung der Akzeptanz der Lizenzbedingungen („Yes“) 3 - Angabe des Verzeichnisses, in das der Netscape Communicator installiert werden soll – hier kann das standardmäßig voreingestellte Verzeichnis übernommen werden, oder es kann durch Klick auf „Browse“ ein anderes Verzeichnis gewählt werden. - Danach : „Next“. Sollte das Verzeichnis noch nicht existieren, wird das Installationsprogramm fragen, ob das Verzeichnis erstellt werden soll. - Weitere Abfragen sind beliebig zu beantworten : - In welchen Programmordner soll das Programm installiert werden ? Standard : es wird eine neue Programmgruppe erstellt, die Einstellung sollte so übernommen werden. 4 - Sind die Einstellungen so in Ordnung ? Wenn ja : Install ! 5 Wichtigste Bestandteile des Netscape Communicator : Navigator Messenger Composer (Anzeigen von Internetseiten) (E-Mail-Agent) (Erstellen von InternetSeiten) Konfiguration des Netscape Communicator : Der neu installierte Netscape Communicator wird mit (Doppelklick auf das neu entstandene Icon auf dem Bildschirm bzw. Start Programme Netscape Communicator Navigator gestartet. Startbildschirm : 6 Die in Klammern stehenden Begriffe stellen die deutschen Bezeichnungen des jeweiligen Menüpunktes dar. Einstellungen werden unter Edit (Bearbeiten) Preferences (Einstellungen) vorgenommen. Navigator: Menüpunkt Appearance (Gesamtbild): Hier lässt sich einstellen, mit welchen Komponenten der Netscape Communicator starten soll ... ... das Erscheinungsbild von Schrift, Links und Hintergrund sowie das Erscheinungsbild der Schaltflächen. Startseite einstellen : Diese Einstellung ist beliebig wählbar, hier ein Beispiel : Navigator starts with : „Home Page“ (Navigator startet mit : „Home Page“) Navigator Location (Adresse) : http://www.tu-cottbus.de 7 Languages (Sprachen) : Wer möchte, kann hier eine Sprache, in der die Webseiten bevorzugt erscheinen sollen, wenn die Möglichkeit dazu besteht (mehrsprachig vorgehaltene Seiten), angeben. Applications (Anwendungen) : Hier kann eingestellt werden, welche Anwendung mit welchem Dateityp verbunden werden soll, z.B. soll ein HTML-Dokument mit dem Netscape Navigator geöffnet werden : 8 ... oder eine Excel-Tabelle (Dateiendung .xls) wird mit MS Excel geöffnet : Smart Browsing : Sicherheitsrelevante Einstellung. Dies ist eine Option, mit der festgelegt wird, ob besuchte WWW-Seiten an einen bestimmten WWW-Server übermittelt werden sollen. Dies richtet zwar keinen direkten Schaden an, kann aber dazu dienen, Benutzerverhalten zu analysieren, beispielweise um gezielt Werbung zu versenden. Es wird empfohlen, diese Einstellungen nicht zu aktivieren. 9 Mail & Newsgroups (Mail und Diskussionsforen) : Identity (Identität) : Your Name (Ihr Name) Vorname und Name Email address (E-Mail-Adresse) : Ihre E-Mail-Adresse ( hier : [email protected]) Reply-to address (Rückantwortadresse) : Nicht nötig, nur wenn sie anders ist als die angegebene EMail-Adresse Signature File (Unterschriftsdatei) : Signatur-Datei, deren Inhalt immer automatisch die Mail unterschreibt, muß nicht angegeben werden Mail Servers (Mailserver) : (Informationen über den Mail-Service der BTU sind auf dieser WWW-Seite des URZ einzusehen: http://www.rz.tu-cottbus.de/urz/support/mail/ ) Incoming Mail Servers (Server für eingehende Mail) : z.B Mailserv.TU-Cottbus.De Outgoing Mail (SMTP) Server (Server für ausgehende Mail) : z.B. Mailserv.TU-Cottbus.De Local Mail Directory (Lokales Mail Verzeichnis) : Das ist das Verzeichnis, in dem die E-Mails abgelegt werden. Die Einstellung kann beliebig auf ein anderes Verzeichnis geändert werden, die vorgegebenen Einstellungen können auch beibehalten werden. 10 Danach muss noch der Server für eingehende Mail konfiguriert werden: Incoming Mail Server (Server für eingehende Mail) Eingetragenen Server markieren Edit (Bearbeiten) : Registerkarte General (Allgemein) : Server-Typ : POP3 oder IMAP : Das URZ empfiehlt den Einsatz des IMAP-Protokolls. IMAP überträgt im Gegensatz zu POP die Login-Daten einschließlich Passwort verschlüsselt über das Netz, das POP – Protokoll würde es im Klartext übertragen IMAP (Internet Mail Access Protocol) auswählen User Name (Benutzername für Mailserver) : Loginkennzeichen 11 ACHTUNG : Niemals Passworte speichern ! Wenn Sie Ihr Passwort abspeichern, so müssen Sie davon ausgehen, dass es an irgendeiner Stelle auf Ihrer Festplatte abgelegt und somit unter Umständen für andere zugreifbar sein könnte. Auch Passworte, die in verschlüsselter Form abgespeichert werden, sind unsicher! Es gibt Programme, die in der Lage sind, Passworte zu entschlüsseln. Bitte besuchen Sie zu diesem Thema auch unsere Webseite http://www.rz.tu-cottbus.de/urz/security/passwd.html Abfragezeit für Mails ist standardmäßig auf 15 min eingestellt, dies kann so bleiben. Newsgroup Servers (Newsgroupserver) : News.TU-Cottbus.De oder Maust.TU-Cottbus.De , Port 119 ist Standard und kann so bleiben Es sollten noch einige erweiterte Einstellungen vorgenommen werden : Advanced (Erweitert) : Wichtige sicherheitsrelevante Einstellungen sind hierbei, Java und Javascript zu deaktivieren. Java und Javascript sind Programmiersprachen, die für die Gestaltung von Webseiten genutzt werden. Mit ihrer Hilfe kann auch böswilliger Code programmiert und auf die Webseite gebracht werden, die der Internet-Surfer besucht. Auf diese Art und Weise kann die Festplatte des Nutzers ausspioniert werden, es können beliebige Kommandos auf dem Rechner des Nutzers ausgeführt werden oder es können Dateien manipuliert werden. Derartige Programme (sogenannte Exploits) sind ausreichend im Internet zu finden. Jemand, der es darauf anlegt, muß diese Programme nicht einmal selbst schreiben, ein einfaches Laden aus dem Internet reicht aus. Einziger ausreichender Schutz vor derartigen Aktivitäten ist das Ausschalten von Java und Javascript. Ebenso sollten Cookies verboten werden. Dies sind kleine Protokolldateien, die dazu dienen, die Surfgewohnheiten des Nutzers zu erforschen. Sie werden auf der Festplatte des Nutzers abgelegt und fragen gleichzeitig ab, ob schon andere Cookies vorliegen. So können ebenso wie bei „Smart Browsing“ Benutzerprofile erstellt und teilweise zwischen Servern ausgetauscht werden, um diese Informationen beispielsweise für Werbezwecke zu nutzen. Cookies können allerdings nicht nur negativ sein. Manche werden dafür genutzt, Server an das Verhalten von Nutzern anzupassen, indem aus den Cookies abgelesen wird, was der Nutzer gemacht hat. Wem der Gedanke allerdings nicht angenehm ist, dass sein Verhalten in irgendeiner Weise von irgend jemandem erforscht wird, sollte keine Cookies erlauben. 12 Proxy – Konfiguration : Ein Proxy ist in diesem Fall ein Rechner, der die Seiten des Internets zwischenspeichert. Hat ein Nutzer im Netz den Proxy eingeschaltet, wird jede Seite, die er besucht, auf dem Proxy gespeichert. Der nächste Besucher dieser Seite erhält die Seite nicht aus dem Internet, sondern vom Proxy. Dies ist sehr nützlich, um die Übertragungszeit zu verkürzen. Manual Proxy Configuration (Manuelle Proxy-Konfiguration) 13 View (Anzeigen) HTTP Proxy : www-cache.tu-cottbus.de , Port 80 No Proxy ( kein Proxy ) : tu-cottbus.de für die Domäne TU-Cottbus.De wird kein Proxy genutzt. Bedienung des Netscape Communicator : 1. HTTP und FTP In die Adresszeile wird der sogenannte URL (Uniform Ressource Locator), die Internet-Adresse der gesuchten Seite, eingetragen. 14 Hierbei gibt es folgende Möglichkeiten : http://www.tu-cottbus.de für den Zugriff auf WWW-Seiten ftp://ftp.tu-cottbus.de für den Zugriff auf einen FTP-Server file://c:\... <Pfad zur lokalen Datei> für den Zugriff für eine Datei auf dem lokalen Rechner ( z.B. ein HTMLDokument – dies ist die Hypertext Markup Language, in der WWW-Seiten verfasst werden) Bedeutung der Schaltflächen in der Navigations-Symbolleiste : Back (Zurück) : Zurück zur vorhergehenden Seite. Wenn man die linke Maustaste gedrückt hält und die Maus nicht vom Back-Button wegbewegt, werden mehrere zuletzt besuchte Seiten angezeigt. Man kann sich so mit der Maus auch mehrere Seiten zurück bewegen. 15 Forward (Vor) : Reload (Neu Laden) : Home (Anfang) : Search (Suchen) : Netscape : Print (Drucken) : Security (Sicherheit) : Stop (Stop) : Die umgekehrte Funktion. Hiermit erhält man immer die neueste Version einer Webseite: Sollte sich der Inhalt einer Webseite geändert haben, während man damit arbeitet, wird mit Reload immer die neueste Version und nicht die auf der Festplatte zwischengespeicherte (gecachte) Version geladen. Hiermit gelangt man zu der Seite, die man in den Einstellungen als Anfangsseite angegeben hat. Verbindet den Nutzer mit der Suchfunktion von Netscape. Hiermit kann man Internetseiten nach bestimmten Stichworten durchsuchen lassen. Es handelt sich um eine sogenannte Suchmaschine. Leitet den Nutzer zu weiteren interessanten Seiten im Internet Druckt die angezeigte Internetseite Zeigt an, ob die ausgewählte Internetseite verschlüsselt übertragen wurde. Sofern das der Fall ist, kann man sich die Zertifikate sowie die zertifizierende Instanz des angewählten Webservers anzeigen lassen. Mehr Informationen zum Thema Verschlüsselung und Zertifizierung kann man den Lehrgangsunterlagen „Verschlüsselung und Zertifizierung“ unter http://www.rz.tu-cottbus.de/urz/security/sup_secu_index.html entnehmen. Unterbricht das Laden der ausgewählten Internetadresse, wenn man es sich anders überlegt oder sich ein Tippfehler in der URL eingeschlichen hat . Verweise auf weiterführende Seiten werden als Hyperlinks oder einfach Links bezeichnet. Sie leiten den Nutzer auf weitere Internetseiten auf dem Server oder an andere Server weiter. Links sind meist besonders gekennzeichnet, z.B. unterstrichen und andersfarbig, und nachdem sie von dem Nutzer besucht worden sind, in einer weiteren Farbe dargestellt. Bedeutung der Schaltfläche Bookmarks (Lesezeichen) : Wenn man eine Internetadresse findet, die man für so wichtig hält, dass sie auch zu einem späteren Zeitpunkt von Bedeutung sein könnte, kann man ein sogenanntes Lesezeichen setzen. Hierzu klickt man auf diese Schaltfläche und danach auf „Add Bookmark“ (Lesezeichen hinzufügen). Nun erscheint die Internetseite unter ihrem Titel unter der Schaltfläche „Bookmarks“. Mit „Edit Bookmarks“ kann man sie in einen bestimmten Ordner unterhalb der Bookmarks verschieben, ihren Titel ändern oder das Bookmark löschen. Will man wieder auf die entsprechende Internetseite gelangen, klickt man einfach auf „Bookmarks“ und danach auf die entsprechende Zeile in dem Menü. Bedeutung der wichtigsten Menüpunkte in der Menüleiste : File (Datei) : - Öffnen eines neuen Navigator-Fensters, Schreiben einer neuen Nachricht u.a. - Öffnen einer speziellen URL oder lokalen Datei, dies wird jedoch meist in der Adreßzeile gemacht - Sichern der Webseite auf der lokalen Festplatte - Versenden der WWW-Seite als E-Mail - „Edit Page“ öffnet den so genannten Composer, den im Netscape Communicator enthaltenen Editor für WWW-Seiten, um damit die Seite zu bearbeiten und danach eventuell auf der lokalen Festplatte abzuspeichern - Die Menüpunkte „Page Setup“, „Print Preview“ und „Print“ dienen zur Einstellung von Druckoptionen, zur Seitenvorschau und zum Druck der Seite. - Offline/Online trennt oder stellt die Verbindung mit dem Netz wieder her – das dient dem Sparen von Telefonkosten, wenn man ein z.B. ein längeres Dokument lesen und danach wieder online arbeiten will. Edit (Bearbeiten) : - - Cut (Ausschneiden), Copy (Kopieren) und Paste (Einfügen) schneiden markierten Text aus, kopieren markierten Text in die Zwischenablage oder fügen ausgeschnittenen oder kopierten Text wieder ein, wobei die Funktionen Cut und Paste nur im Composer aktiv sind Select all (Alles markieren) markiert den gesamten Inhalt der Seite. Search Page (Seite durchsuchen) sucht in der aufgerufenen Internetseite nach Stichworten. 16 - Search Internet (Internet durchsuchen) ruft die Netscape-Internet-Suchfunktionen auf. Preferences (Einstellungen) konfiguriert den NC wie vorher besprochen. View (Ansicht) : - Mittels „Show“ Ein- und Ausschalten der Symbol- und Navigationsleisten Reload (Neu laden) : Laden der letzten Version der aktuell angezeigten Seite Page Source (Seitenquelltext anzeigen) : Zeigt den HTML-Quelltext der Seite an Go (Gehe) : Bewegen innerhalb der schon bei dieser Sitzung oder bei vorherigen Sitzungen ausgewählten Adressen (History). Communicator : Bewegen innerhalb der Bestandteile des NC. Help (Hilfe) : diverse Hilfefunktionen 2. E-Mail Das Netscape – E-Mail-Programm wird durch „Communicator“ “Messenger“ oder durch Klicken Briefsymbol rechts unten im Navigatorfenster gestartet. das Der Netscape Messenger bietet von sich aus mehrere Ordner für die E-Mails an. Inbox : Unsent Messages : Drafts : Templates : Trash : Neu angekommene E-Mails Nachrichten, die schon neu geschrieben wurden, aber dann doch nicht gesendet wurden, kann Netscape zum späteren Senden hier speichern. ebenso Vorlagen für Nachrichten – z.B. bestimmte Formatierungen, die nicht für jede Nachricht neu erstellt werden sollen. Papierkorb, enthält vorläufig gelöschte Nachrichten. Bedeutung der Schaltflächen : 17 Get Messages (Nachrichten abrufen) : New Message (Neue Nachricht) : Reply (Antwort) : Reply all (Antwort an alle) : Forward (Weiterleiten) : File (Ablegen) : Next (Nächste) : Print (Drucken) : Delete (Löschen) : Stop (Stop) : Holt neue Nachrichten vom Server, sie gelangen in den Folder „Inbox“ Erstellen und Versenden einer neuen Nachricht Beantworten einer E-Mail Senden einer Antwort an alle diejenigen, an die die Nachricht gesendet wurde, nicht nur an den Absender Nachrichten können an weitere Empfänger einfach weitergeschickt werden Abspeichern der ausgewählten Nachricht in einem anderen Ordner Bewegen zur nächsten ungelesenen Nachricht Drucken der Nachricht Aktuelle Nachricht wird in den Papierkorb verschoben Unterbrechen des Ladens einer E-Mail Die Bedeutung der wichtigsten Punkte der Menüleiste : File (Datei) : New (Neu) : Öffnen eines neuen Navigator – Fensters oder einer neuen EMail New Folder (Neuer Ordner) : Anlegen eines neuen Ordners zum Ablegen der E-Mails Save as (Speichern unter) : Hiermit kann man empfangene E-Mails als Dateien abspeichern bzw. selbst erstellte E-Mails als Vorlagen, sogenannte Templates, abspeichern, um sie später nochmals zu verwenden. Get Messages (Neue Nachrichten abrufen) : Entspricht der Schaltfläche „Get Messages“ Empty Trash (Papierkorb leeren) : Werden E-Mails im Netscape Messenger gelöscht, so gelangen sie zunächst in den Ordner Trash (Papierkorb). Mit dieser Funktion werden sie endgültig gelöscht. Edit (Bearbeiten) : Undo (Rückgängig) : Redo (Wiederherstellen) : Cut, Copy, Paste (Ausschneiden, Kopieren, Einfügen) : Rückgängigmachen der letzten Arbeitsschritte Der umgekehrte Schritt Select (Markieren) : Markieren von Nachrichten zur weiteren Bearbeitung Find, Find again (Finden) : Suchen von Zeichenketten innerhalb der aktuellen Mail Search Messages (Nachrichten durchsuchen) : Preferences (Einstellungen) : Funktionen wie aus einem Textverarbeitungsprogramm zum Zwischenspeichern von Text in der Zwischenablage Dieser Menüpunkt dient dem Auffinden von Nachrichten. Alle Bestandteile der Nachrichten ( Betreff-Zeile (Subject), Absender, Nachrichtentext, ...) können hierbei nach bestimmten Stichpunkten durchsucht werden, es kann auch der zu durchsuchende Ordner ausgewählt werden Über diesen Menüpunkt können dieselben Einstellungen vorgenommen werden wie unter Netscape Navigator Edit Preferences 18 View (Ansicht) : Sort (Sortieren) : Hiermit können die Nachrichten in den einzelnen Ordnern nach bestimmten Kriterien sortiert werden, z.B. nach dem Datum, dem Absender, der Größe, dem Betreff. Ein sehr nützlicher Punkt ist hierbei, dass auch nach dem Thread, d.h. nach dem Faden sortiert werden kann. Es bedeutet, dass Mails als zusammengehörig angesehen werden, die Antworten auf Nachrichten und Antworten auf diese Antworten sind – es entsteht praktisch eine Baumstruktur. Go (Gehe) : Hiermit bewegt man sich innerhalb der Nachrichtenfenster. Man kann aber auch genauso gut mit der Maus innerhalb der Fenster agieren. Message (Nachricht) : Hier findet man hauptsächlich die Funktionen wieder, die bereits auf den Schalflächen vorhanden sind : New (Neue Nachricht), Reply (Antwort), Reply to all (Antwort an alle), Forward (Vor). Weitere Funktionen : Move (Verschieben) : Nachricht in einen anderen Ordner verschieben Copy (Kopieren) : Nachricht in einen anderen Ordner kopieren Add to addressbook: (Ins Adressbuch einfügen) der Absender wird dem Adreßbuch hinzugefügt. Dies kann man auch tun, indem man einfach mit der Maus auf den Absender der Nachricht klickt. Communicator : Auch hier entspricht das Menü dem im Netscape Navigator. Senden einer Nachricht : New (Neue Nachricht), Reply (Antwort), Reply to all (Antwort an alle), Forward (Weiterleiten): 19 Die wichtigsten Funktionen in diesem Fenster sind : Die Empfängerzeile : To (An) : In diese Zeile wird die Adresse des Empfängers eingetragen. Sie ist nur leer, wenn eine neue Nachricht erzeugt wird. Bei allen anderen Funktionen steht als Empfänger der ursprüngliche Absender der Nachricht bereits dort. CC : Soll die Mail nicht nur an einen, sondern als „Kopie“ an weitere Empfänger gesendet werden, können diese in die CC-Zeile eingetragen werden. BCC . Dies ist eine „Blind Copy“. Soll ein weiterer Empfänger der Nachricht eingetragen werden, von dem die anderen Empfänger nicht wissen sollen, dass er die Nachricht ebenfalls empfängt, so kann er in diese Zeile eingetragen werden. Die Subject- (Betreff) – Zeile : Hier wird der Titel der Mail (Betreff, Subject) eingetragen. Sie kann aber auch freigelassen werden. Schreibfläche : Die große freie Fläche soll den Text der Mail enthalten. Die Schaltflächen : Send (Senden) : Sendet die Mail ab. Quote (Anführen) : Setzen von Markierungszeichen Address (Adresse) : Mit dieser Schaltfläche wird das Adreßbuch aufgerufen. Aus dem Adreßbuch kann direkt die Empfängeradresse (wahlweise für To, CC oder BCC) entnommen werden, vorausgesetzt, dass sie vorher bereits mit der Funktion „Dem Adreßbuch hinzufügen“ dort eingetragen wurde. Attach (Anfügen) : Hiermit ist es möglich, der Mail eine Datei oder eine WWW-Seite anzufügen. Diese kommt als sogenanntes Attachement an. Options (Optionen) : Gibt an, ob die Mail signiert, verschlüsselt oder sowohl als auch gesendet werden soll 20 Spelling (Rechtschreibprüfung) : Entspricht der Rechtschreibprüfung in einem Textverarbeitungsprogramm. Es kann die gewünschte Sprache oder ein benutzerdefiniertes Wörterbuch angegeben werden. Save (Sichern): Speichern der Mail als Datei, Template (Vorlage) oder Draft zum späteren Versenden. Print (Drucken) : Drucken der neuen Nachricht Security (Sicherheit) : Arbeit mit Zertifikaten. Hier soll nochmals auf die Lehrgangsunterlagen „Verschlüsselung und Zertifizierung“ unter http://www.rz.tu-cottbus.de/urz/security/sup_secu_index.html hingewiesen werden. Stop Hält den momentan laufenden Prozeß (z.B. das Laden einer E-Mail ) an. VIREN UND WÜRMER : Ein sehr aktuelles Thema sind derzeit Computerviren und Computerwürmer. In den letzten Jahren hat es sich herauskristallisiert, dass diese Schädlinge sich hauptsächlich über E-Mail-Attachements verbreiten. Dies funktioniert folgendermaßen : Man erhält eine E-Mail mit einem interessant klingenden Subject, z.B. EARN MORE MONEY oder INTERNET FOR FREE oder gar ILOVEYOU. Der Mail ist ein Attachement angehängt, ein MS Word-Dokument, eine MS Excel-Tabelle, ein MS Access File, ein Visual Basic Script, ein angeblicher Bildschirmschoner. Man öffnet das Attachement, und der Virus wird aktiv. Er nistet sich auf dem Computer ein. Beispielsweise könnte er zunächst für seine Vermehrung sorgen, indem er sich an sämtliche Adressen des Adreßbuches selbst verschickt, auch an die, die eigentlich MailingListen sind, natürlich mit der Absenderadresse des tatsächlichen Nutzers. Danach macht er sich an der Festplatte zu schaffen, verändert Dateien (z.B. die normal.dot in MS Word, die Datei, die für alle neuen WordDokumente genutzt wird, und infiziert damit jedes neue MS Word-Dokument), oder er löscht Dateien, er könnte auch eine Hintertür (Backdoor) installieren, die Passworte ablauscht. Seien Sie bitte hiermit ausdrücklich gewarnt : Öffnen Sie NIEMALS ein E-Mail-Attachement, dessen Herkunft Sie nicht genau kennen. Rufen Sie zur Not den Absender der E-Mail an und vergewissern Sie sich. Falls Sie Systemadministrator sind: Informieren Sie alle Ihre Nutzer. Lassen Sie von Ihrem Mail-Programm keine Mails oder Attachements automatisch öffnen. Löschen Sie E-Mails, die verdächtige Attachements enthalten, deren Inhalt für Sie völlig unklar ist und deren Absender Sie nicht kennen. Speichern Sie zur Not das Attachement auf Ihrer Festplatte ab, ohne es zu öffnen, und testen Sie es mit einem Virenscanner. Haben Sie stets einen aktuellen Virenscanner zu laufen. Fragen Sie Ihren Systemadministrator danach. (Sollten Sie der Administrator sein : Wenden Sie sich bitte an das URZ.) Manche Viren (z.B. Nimda) verbreiten sich bereits durch bloßen Web-Surfen. Hier hilft nur, aktuelle Patches für den jeweiligen Browser zu installieren und Scripting-Funktionen abzuschalten. Weitere aktuelle Beispiele für Viren und Würmer : SirCam, BadTrans, Goner 3. News News werden wie E-Mails behandelt. Nach Eintrag des richtigen News-Servers in den Netscape-Einstellungen kann man den Netscape Messenger wie gewohnt öffnen. Es müßte hier genau wie die anderen Mailfolder der Newsserver erscheinen. 21 Klicken Sie mit der RECHTEN Maustaste auf „News.TU-Cottbus.De“. Nun können Sie durch Doppelklick Ihre Newsgroups auswählen, z.B. de.comp.security.misc. Nach dem Doppelklick sollte ein Häkchen in den ausgewählten Newsgroups erscheinen : Klicken Sie nun „OK“, und die Newsgroup wird in Ihren Messenger geladen. Sie können die News nun genau wie E-Mails lesen. Es können auch News-Server zugefügt werden, wieder gelöscht werden, je nachdem, für welches Themengebiet man sich interessiert. 22 23 3. Microsoft Internet Explorer 5.5 Installation des Internet Explorer : Start Ausführen : User : ftp Password : E-Mail-Adresse (z.B. [email protected]) cd pub/pc/win32/internet_explorer/ bin get ie55.exe Dieses nimmt einige Zeit in Anspruch, da ca. 77MB über das Netz zu transportieren sind. bye Die Datei ie55.exe liegt nun lokal vor. Durch Doppelklick ein Programm gestartet, das die benötigten Dateien in einen Ordner, der frei wählbar ist, extrahiert : 24 ...nach dem Entpacken : Auswahl von „Installation von Internet Explorer Stimmen Sie den Lizenzbedingungen zu ( Klick in „Ich stimme dem Vertag zu“ ) Weiter . Im folgenden Dialogfenster sollte „Browser anpassen“ ausgewählt werden, weil hier der Pfad für den Internet Explorer sowie die zu installierenden Komponenten selbst ausgewählt werden können : 25 Weiter ... Hier kann der Pfad geändert werden (es kann natürlich auch die Standardeinstellung übernommen werden)... ... und es sollte noch der Mailclient „Outlook Express“ als zusätzliche Komponente installiert werden. „Weiter“ startet die Installation. Das Setup Programm informiert laufend über den Stand der Installation. Des weiteren wird ein Neustart notwendig: 26 Nach dem Neustart wird die Installation vervollständigt. Konfiguration des Internet Explorer : Der neu installierte Internet Explorer wird mit (Doppelklick auf das neu entstandene Icon auf dem Bildschirm bzw. Start Programme Internet Explorer gestartet. Start des Internet Connection Wizard : Letzte Option auswählen . 27 Der Internetzugang soll über das lokale Netzwerk erfolgen : Der Proxyserver soll auch hier manuell eingetragen werden : ... auch hier müssen die Einstellungen so aussehen : 28 ... und kein Proxy für die Domäne TU-Cottbus.De : Die Abfrage „Möchten Sie ein E-Mail-Konto einrichten ?” ist mit „Ja“ zu beantworten. Es soll ein „Neues Internet E-Mail-Konto“ erstellt werden. Im nächsten Fenster sind Vor- und Nachname einzutragen, und im darauffolgenden die gültige E-Mail-Adresse. Auch hier ist ein Posteingangs- und ein Postausgangsserver wie auch beim Netscape Messenger zu wählen, z.B. Mailserv.TU-Cottbus.De. Ebenso wird auch hier die Auswahl des IMAP-Protokolls empfohlen. Die nächste Einstellung enthält bereits den Kontonamen. ACHTUNG : Auch hier bitte niemals das Passwort abspeichern ! 29 ... „ Fertigstellen “. Nun sollte der Internet Explorer mit dem Startbildschirm starten : Weitere Konfiguration : „Extras“ “ Internetoptionen “ : 30 Registerkarte „Allgemein“ Einstellen der Startseite Möglichkeiten : Einstellen von Hand durch Eintrag in das Adressfeld, Nutzung der aktuellen Seite, eine voreingestellte Standardseite oder eine leere Seite : Temporäre Internetdateien : Hier kann die Art und Weise festgelegt werden, wie bereits aufgerufene WWW-Seiten behandelt werden sollen. „Dateien löschen“ löscht alle im Ordner „Temporäre Internet Files“ enthaltenen Seiten sofort. Unter „Einstellungen“ kann dem Internet Explorer mitgeteilt werden, wann Seiten aktualisiert werden sollen, wieviel Speicherplatz temporäre Internetdateien einnehmen dürfen, wo sie gespeichert werden sollen, und es kann angezeigt werden, welche Dateien und Objekte bereits geladen wurden. Verlauf : Dies beschreibt die Handhabung der so genannten History, eine Liste aller besuchten WWW-Seiten, die in der URL-Zeile des Internet Explorer vorgehalten werden. Es kann konfiguriert werden, wie lange die History gespeichert werden soll, und sie kann mit der Schaltfläche „Verlauf leeren“ gelöscht werden. Die Schaltflächen „Farben“, „Schriftarten“, „Sprachen“ und „Eingabehilfen“ dienen zur Konfiguration des Erscheinungsbildes des Internet Explorer. Registerkarte „Sicherheit“ Diese Registerkarte dient zur genauen Konfiguration der Sicherheitseinstellungen für den Internet Explorer. 31 Auch hier gilt als wichtigste Regel, wie schon beim Netscape Communicator beschrieben, die Abschaltung der aktiven Inhalte wie Java, Javascript sowie hier auch des ActiveX von Microsoft. Eine genaue und ausführliche Beschreibung des Sicherheitsmodells des Internet Explorer sowie der Einstellungen unter diesem Menüpunkt hat der Verlag Heinz Heise unter der URL http://www.heise.de/ct/browsercheck beschrieben, deren Inhalt unter dem Punkt „4. Security“ in diesen Unterlagen zu finden ist. Registerkarte „Inhalt“ „Inhaltsratgeber“ : Möglichkeit des Abblockens bestimmter WWW-Seiten Möglichkeit der Filterung von Sites bezüglich ihres Inhaltes : 32 Möglichkeit des generelles Blockens oder Zulassens von Sites : Beim Zugriff auf eine solche „nicht gebilligte Site“ erhält der Nutzer folgende Mitteilung : 33 Das Kennwort musste beim Aktivieren der Einstellungen für die Filterung vergeben werden. Nur mit diesem Kennwort ist es möglich, die Einstellungen nochmals zu verändern. Die Registerkarte „Allgemein“ erlaubt die Konfiguration des Inhaltsratgebers : „Zertifikate“ : Zertifikate dienen der Erhöhung der Vertrauenswürdigkeit von WWW-Seiten, WWW-Servern, zur Client-Authentifizierung sowie zur Verschlüsselung und digitalen Signatur von E-Mail. Unter der WWW-Seite 34 http://www.rz.tu-cottbus.de/urz/support/security/ sind Informationen sowie ein Postscript-Dokument mit Lehrgangsunterlagen zum Thema „Verschlüsselung und Zertifizierung“ zu finden, das die Problematik erklärt. Das URZ empfiehlt ausdrücklich die Nutzung von Verschlüsselung und Zertifikaten. Registerkarte „Verbindungen“ : „Setup“ startet den schon beschriebenen „Internet Connection Wizard“. So ist es beispielsweise möglich, DFÜ-Verbindungen einzurichten. Weiterhin können LAN-Einstellungen einschließlich der Proxy-Einstellungen wie oben beschrieben konfiguriert werden. Registerkarte „Programme“ : Es kann hier konfiguriert werden, welcher Dienst mit welchem Client aufgerufen werden soll. Registerkarte „Erweitert“ : Einstellungen, die nach persönlichem Geschmack verändert werden können. Vieles sollte vielleicht auch ausprobiert werden. Aber : Bitte unbedingt die im Punkt „4. Security“ beschriebenen sicherheitsrelevanten Einstellungen beachten ! Bedienung des Microsoft Internet Explorer : Die Funktionen sind mitunter denen sehr ähnlich, die bereits beim Netscape Communicator (zukünftig mit NC abgekürzt) beschrieben wurden. Deshalb wird in diesen Fällen lediglich darauf verwiesen. 35 1. HTTP und FTP Die Adresszeile : Gleiche Funktion wie beim NC Auch mit dem Internet Explorer können auf WWW-Seiten ( http://.... ), auf FTP-Server ( ftp://.... ) sowie auf lokale Dateien ( file://... ) zugegriffen werden. Bedeutung der Schaltflächen : (Diese Funktionen sind meist gleich denen des NC.) Zurück : Vor : Abbrechen : Aktualisieren : Startseite : Suchen : Zur vorhergehenden Seite Umgekehrte Funktion Stop, unterbricht das Laden der eben ausgewählten URL Neu laden, Laden der letzten Version der aktuellen Webseite Laden der in den Einstellungen angegebenen Anfangsseite Startet die Suchfunktion des Browsers zum Durchsuchen des Internet nach Stichworten --> Start einer Suchmaschine Favoriten : entspricht der Bookmark- (Lesezeichen-) Funktion des NC. Klick auf die Schaltfläche teilt das Browserfenster und macht die bisher angelegten Favoriten sichtbar. In dem neuen Fenster sind die Seiten anwählbar. Verlauf : Mit dieser Schaltfläche kann man die bisher besuchten in der „History“ gespeicherten Webseiten ebenfalls in einem geteilten Browserfenster sichtbar machen und anwählen. Die in den letzten drei beschriebenen Schaltflächen geöffneten Einträge in einem zusätzlichen Browserfenster sind durch Öffnen eines Kontextmenüs mit Klick auf die rechte Maustaste zu bearbeiten, da das Kontextmenü nach dem Prinzip des Windows-Explorers funktioniert. E-Mail : Siehe Abschnitt E-Mail Drucken : Druckt die aktuell aufgerufene Seite Bearbeiten : Mittels eines zu wählenden Programms kann die Seite editiert werden, die Funktionalität ist ähnlich der Funktion „Bearbeiten“ beim NC Die kleinen Pfeile neben den Schaltflächen zeigen beim Klick darauf die Auswahlmöglichkeiten, die der Nutzer für die jeweilige Schaltfläche hat. Auswahl der bereits besuchten Seiten Auswahl der E-Mail-Funktion bzw. des Programms für die Bearbeitung von Webseiten 36 Bedeutung der wichtigsten Menüpunkte der Menüleiste : Datei : - Die Punkte „Neu“, „Öffnen“, „Bearbeiten“, „Speichern“, „Speichern unter ...“, „Seite einrichten“, „Drucken“, „Seitenvorschau“ und „Senden“ entsprechen denen im NC. - „Importieren/Exportieren“ ermöglicht, Favoriten (Lesezeichen oder Bookmarks) oder/und Cookies von anderen oder in andere Internet-Anwendungen wie z.B. NC zu im- oder exportieren. - „Eigenschaften“ liefert Informationen über das aktuell angezeigte Dokument. - „Offlinebetrieb“ trennt die momentane Netzwerkverbindung. Dies ermöglicht, die aktuell angezeigte Seite getrennt vom Netz ohne Zeit- und Kostendruck zu lesen. Durch erneutes Anklicken wird die Verbindung wieder aktiviert. Bearbeiten: - Die Befehle unter diesem Menüpunkt entsprechen genau denen des NC. Ansicht : - Ein- und Ausschalten von Symbolleisten : Standardschaltflächen, Adressleiste, Links, Radio. Weiterhin besteht hier die Möglichkeit der individuellen Anpassung der Schaltflächen - Statusleiste : schaltet die Anzeige dieser Zeile ein und aus : - Explorerleiste : Die Auswahlpunkte entsprechen den gleichnamigen Schaltflächen - Wechseln zu : Bewegen innerhalb der bereits besuchten Seiten, entspricht den Schaltflächen „Vor“, „Zurück“ und „Verlauf“ - „Aktualisieren“ entspricht „Neu laden“ - „Schriftgrad“ und „Codierung“ regulieren das Erscheinungsbild der im Browser angezeigten Schrift - „Quelltext anzeigen“ zeigt den HTML-Text der Seite an - „Vollbild“ vergrößert das Browserfenster so, dass es den gesamten Bildschirm erfasst. Durch Klick auf die beiden doppelten Fenster in der rechten oberen Bildschirmecke wird das Fenster wieder verkleinert. Favoriten : - Zu den Favoriten hinzufügen : Fügt die aktuell aufgerufene Seite den Favoriten zu. - Favoriten verwalten : Dient der Organisation der gespeicherten Favoriten. Es besteht die Möglichkeit, Ordner anzulegen und die gespeicherten Favoriten sinnvoll darin anzuordnen. 37 Einige nützliche WWW-Seiten sind bereits im unteren Teil des Menüs „Favoriten“ voreingestellt. Extras : Mail und News : ruft die entsprechenden Funktionen für die Handhabung von E-Mail und News auf Windows Update : Führt den Nutzer zur Seite http://windowsupdate.microsoft.com/ , von der aus Updates für Microsoft-Produkte gestartet werden können. Verwandte Links anzeigen : zeigt themenverwandte Links zur aktuell aufgerufenen WWW-Seite an Internetoptionen : Zur Konfiguration des IE , wie oben beschrieben. 2. E-Mail Start der E-Mail-Funktionen durch Klick auf die Schaltfläche „E-Mail“ sowie den gewünschten Punkt des Kontextmenüs bzw. auf „Extras“ „E-Mail“ und auch hier auf die gewünschte Funktion. Nun sollte das Programm starten, das in den Internetoptionen als E-Mail-Client ausgewählt worden ist, in diesem Fall Outlook Express. Ein E-Mail-Konto sollte bereits bei der Einrichtung des Internetzuganges eingerichtet worden sein. Startbild von Outlook Express : E-Mail lesen : Auch in Outlook Express gibt es wie im NC voreingestellte Ordner. Die eingehenden E-Mails liegen auf dem Server , z.B Mailserv.TU-Cottbus.De. Server auswählen, und es erscheint ein Fenster, das den Nutzernamen für des Server bereits enthält, das Passwort muss entsprechend obiger Konfiguration noch angegeben werden. Die Ordner mit den E-Mails werden nun geladen, neue E-Mails befinden sich im Ordner „Posteingang“. 38 Wenn man eine E-Mail markiert und die rechte Maustaste betätigt, öffnet sich ein Kontextmenü, mit dem sich die E-Mails bearbeiten lassen. Dies ist aber ebenso mit den Menüs der Menüleiste möglich. Bedeutung der Schaltflächen : Neue E-Mail, Antworten, Allen antworten, Weiterleiten, Drucken und Löschen entspricht den Schaltflächen des NC. Mit einer Ausnahme : Der kleine Pfeil neben „Neue E-Mail“ bietet die Möglichkeit zur Auswahl von „Briefpapier“, also eines Hintergrundbildes für die neue E-Mail. Senden/Empfangen : Es wird geprüft, ob neue E-Mails auf dem Server eingegangen sind oder ob im Ordner „Postausgang“ (Outbox) abzusendende E-Mails eingegangen sind. Auch hier öffnet der kleine Peil neben der Schaltfläche weitere Auswahlmöglichkeiten. Adressen : Öffnet das Adressbuch Suchen : Entspricht der Suchfunktion im NC, die E-Mails können nach wählbaren Kriterien durchsucht werden. Bedeutung der wichtigsten Punkte der Menüleiste : (Hier sollen lediglich die Menüpunkte erklärt werden, die noch nicht zu einem früheren Zeitpunkt angesprochen worden sind.) Datei : Ordner : Verwaltet die lokalen Mail-Ordner Importieren : Importiert Adressbücher, Nachrichten oder Kontoeinstellungen aus anderen Anwendungen Exportieren : Exportiert Adressbücher oder Nachrichten für andere Anwendungen Identität und Identität wechseln : Aufruf des Profils eines anderen Nutzers bzw. Verwaltung von Nutzerprofilen Eigenschaften : Verwaltung der Konto- und Servereinstellungen Bearbeiten : Keine Besonderheiten, alle Menüpunke sind selbsterklärend. Ansicht : Aktuelle Ansicht : Hier kann ausgewählt werden, welche Nachrichten angezeigt werden sollen (alle, gelesene, die zuletzt vom Server übertragenen). „Aktuelle Ansicht anpassen“ und „Ansichten definieren“ dienen der benutzerdefinierten Anpassung von Ansichten. Näheres dazu ist in der MS Outlook Hilfe zu erfahren. 39 Sortieren nach : Spalten : selbsterklärend Es kann konfiguriert werden, welche Spalten mit welchen Eigenschaften der E-Mail angezeigt werden sollen und welche nicht. Layout, Schriftgrad und Zeichensatz dienen zur Konfiguration des Erscheinungsbildes von Outlook Express. Vorherige, Nächste und Wechseln zu Ordner dienen zum Bewegen innerhalb der Ordner. Aktualisieren : Neue E-Mails vom Server laden. Extras : Regeln : Konten : Optionen : Hier können Regeln für die Verwaltung von E-Mails und Newsnachrichten erstellt werden ENTSCHEIDENDER NACHTEIL : Das Erstellen von E-Mail-Regeln sowie das Blockieren von E-Mails funktioniert nicht für IMAP-Konten ! – Vielleicht in der nächsten Version ? Hinzufügen, Bearbeiten und Entfernen von Konten Weitere Möglichkeiten der Konfiguration des Outlook Express E-Mail schreiben : Diese Funktion wird entweder durch die Schaltflächen „Neue E-Mail“, „Antworten“, „Allen Antworten“ und „Weiterleiten“ bzw. durch die Menüpunkte „Nachricht“ und den entsprechenden Unterpunkt aufgerufen. Neue Nachrichten können wie schon beschrieben mit so genanntem „Briefpapier“ versehen werden. Die Funktionen der Schaltflächen und Menüpunkte sind weitgehend bereits beschrieben worden oder entsprechen denen des NC. 3. News Ein News-Konto muss zunächst erstellt werden. Dies geschieht mit Hilfe des Menüpunkte „Extras“ “Konten” oder im Startfenster von MS Outlook Express. Im Fenster „Internetkonten“ muss die Registerkarte „News“ ausgewählt werden : 40 „Hinzufügen“ und nochmals „News“ auswählen. Als nächstes wird man nach seinem Namen und der E-Mail-Adresse gefragt, beides sollte aber schon eingetragen sein. Danach muss der gewünschte News-Server eingetragen werden : Eine Anmeldung ist bei diesem Server nicht erforderlich. Danach : „Fertig stellen“. Nun sollte der angegebene Server im Ordnerfenster von Outlook Express erschienen sein. 41 Outlook Express fragt, ob Newsgroups vom hinzugefügten Server geladen werden sollen. Dies kann man sofort tun, es kann aber natürlich jederzeit später durch Klick auf „Newsgroups“ oder durch Markieren des Servereintrags und Öffnen eines Kontextmenüs mit der rechten Maustaste sowie hier der Auswahl von „Newsgroups“ erfolgen. Das Abonnieren von Newsgroups geschieht so : Newsgroup im Fenster „Newsgroup-Abonnements“ markieren und durch Doppelklick bzw. Klick auf „Abonnieren“ auswählen. Sind alle gewünschten Newsgroups abonniert, mit „OK“ bestätigen. 42 Durch die Schaltfläche „Konto synchronisieren“ werden die News geladen. Wenn dies beendet ist, erscheinen nach Doppelklick auf die Newsgroup wie in einem E-Mail-Fenster die News: Sicherheitseinstellungen in Outlook und Outlook Express : 43 Eingehende Mails in einer geschützten Umgebung öffnen, um zu verhindern, dass der Inhalt von HTMLMails automatisch ausgeführt wird (sie könnten Scripte enthalten !) : Die Standard-Zone ("Internet-Zone") sollte unbedingt auf "Restricted Sites" (Eingeschränkte Sites) eingestellt werden, um die Punkte "Active Scripting", "Java " und "ActiveX" vollständig deaktivieren: Beispiel Outlook Beispiel Outlook Express 4. Security Quelle dieses Kapitels ist die Website http://www.heise.de/ct/browsercheck . 44 Sicherheitslücken : Java JavaScript/JScript Visual Basic Script (VBS) ActiveX Cookies Das World Wide Web ist bunter und vielfältiger denn je - doch diese Vielfalt hat ihren Preis. Solange das Web im Wesentlichen aus formatiertem Text mit eingebundenen Bildern bestand, war das Risiko beim Betrachten der Seiten vergleichsweise gering. Mittlerweile kommen jedoch immer weniger Web-Sites ohne eingebaute Skripte, menügesteuerte Java-Applets oder gar multimedial aufbereitete Präsentationen aus. Durch diese große Bandbreite an Funktionen und die damit einhergehende Komplexität der Browser schleichen sich immer wieder Programmierfehler ein. Diese beeinträchtigen teilweise die Funktionstüchtigkeit im täglichen Gebrauch (z.B. stürzt der Browser beim Aufruf bestimmter Seiten immer wieder ab). Eine Reihe dieser 'Bugs' genannten Fehler gefährden aber auch die Sicherheit des Rechners, auf dem der Browser läuft. Über speziell präparierte Web-Seiten lassen sich dann Dateien auf der Festplatte lesen oder gar manipulieren oder Viren und andere sogenannte Malware einschleusen. Erweiterte Browser-Funktionen wie JavaScript, Java, ActiveX und Co erfordern es, dass fremder Code auf dem Rechner der Besucher ausgeführt wird. Zwar gibt es diverse Sicherheitsmechanismen, die verhindern sollen, dass solcher Code auf dem Rechner Schaden anrichtet. Doch immer wieder werden Sicherheitslücken bekannt, die diese Einschränkungen aushebeln. Viele davon beruhen auf Programmierfehlern und lassen sich durch Installation der aktuellen Browser-Patches beseitigen. Aber manche Risiken sind auch prinzipieller Natur und lassen sich nur durch Deaktivieren der zugehörigen Optionen vermeiden. Die richtige Browser-Konfiguration für alle Surfer gibt es nicht. Wer seinen Rechner nur zum Spielen benutzt und nebenher ein wenig im Internet surfen will, hat niedrigere Ansprüche an dessen Sicherheit als jemand, der darauf wichtige Firmenunterlagen speichert oder Online-Banking betreibt. Und wenn die persönliche LieblingsSite nur mit Java funktioniert, muss man eben abwägen, ob man zugunsten der Sicherheit ganz darauf verzichten will, oder das damit verbundenen Risiko in Kauf nehmen will. Bei der Suche nach Ihrem persönlichen Kompromiss helfen Ihnen die folgenden Seiten. Sie erläutern die einzelnen Browser-Funktionen, demonstrieren deren Missbrauchspotenzial, und zeigen, wie man die entsprechenden Funktionen an- oder abschaltet. Java : Java wurde von der Firma Sun als plattformübergreifende Programmiersprache entwickelt. Beim ihrem Einsatz auf Web-Seiten lädt der Besucher ein kleines Java-Applet, das auf seinem Rechner abläuft. Häufig nutzen Web-Designer solche Applets für zusätzliche Dienste, wie Laufbänder mit Newsticker-Meldungen oder drehbare 3D-Darstellungen, auf die man leicht verzichten kann. Aber auch komplexere Anwendungen beispielsweise mit Datenbankabfragen, lassen sich in Java realisieren. Die Java-Programme laufen dabei in einer so genannten Sandbox ab. Das bedeutet, die Applets laufen in einer in sich geschlossenen Umgebung, der Java Virtual Machine (JVM), die keinen Zugriff auf lokale Ressourcen wie Dateien oder Programme hat. Durch dieses Konzept ist Java eigentlich eine sichere Technologie -- leider schleichen sich auch bei der Implementierung der JVM gelegentlich Fehler ein, die zu Sicherheitslücken führen. Dann können spezielle Java-Applets beispielsweise doch auf lokale Dateien zugreifen. Ein Beispiel dafür ist Brown Orifice HTTPD, das einen Fehler in allen 4er-Versionen (bis einschließlich 4.74) des Netscape Navigators ausnutzt, um einen Web-Server im Browser zu installieren. Über diesen Server kann dann jedermann Dateien des betroffenen Rechners herunterladen. Außerdem kann der Server auch Zugang zu geschützten Servern hinter einer Firewall herstellen. Auch der Internet Explorer ist von ähnlichen Bugs betroffen. Aufgrund der Plattformunabhängigkeit sind von solchen Bugs alle Betriebssysteme betroffen, die Java unterstützen -und das sind nahezu alle. So läuft Brown Orifice auch mit der Linux-Version des Communicators. Java kann in allen Browsern separat aktiviert bzw. deaktiviert werden. Wenn Sie Netscape einsetzen, sollten Sie zu Version 4.75 wechseln und bis dahin Java ausschalten. Benutzer des MS Internet Explorers sollten die Version der VM identifizieren, die auf Ihrem Rechner installiert ist und das passende Update installieren. JavaScript / Jscript : JavaScript ist eine Interpreter-Sprache, die von Netscape entwickelt wurde. Die Microsoft-Variante heißt JScript. Mit dem ähnlich klingenden Java hat JavaScript praktisch nichts zu tun, außer dass auch JavaScript auf dem 45 Rechner des Surfers ausgeführt wird. Insbesondere gibt es hier keine Sandbox, die Zugriffe auf lokale Ressourcen abblockt. Mittlerweile gibt es einen Standard, mit dem Namen ECMA-Script, den Microsoft und Netscape in Zukunft unterstützen wollen. Auch für JavaScript gibt es eine Reihe von Anwendungsmöglichkeiten, die von Spielereien bis zu sinnvollen Ergänzung einer Web-Seite reichen. Die am häufigsten anzutreffende Anwendung ist der Austausch von Bildern beim Überfahren mit der Maus ("Mouse-Over-Effekt", "Hover-Buttons"). Viele Sites nutzen JavaScript, um Browser zu erkennen und deren Inkompatibilitäten abzufangen, oder zur bequemeren Navigation. Eine wichtige Rolle spielt JavaScript auch bei Dynamic HTML (DHTML), das ohne JavaScript nicht funktioniert. Wenn sich beim Besuch einer Seite automatisch weitere Browser-Fenster öffnen, ist meist JavaScript im Spiel. Es ist prinzipiell sehr einfach den Rechner durch Hunderte von zusätzlichen Fenstern lahm zu legen. Die meisten der bekannt gewordenen Sicherheitslücken in Web-Browsern sind eng mit JavaScript verknüpft. Wo es nicht Hauptgegenstand des Bugs ist, benötigt man es häufig, um die Sicherheitslücke ausnutzen zu können. Beispiele: Netscape, Internet Explorer JavaScript kann in allen Browsern unabhängig von Java ein- oder ausgeschaltet werden (beim Internet Explorer allerdings nur zusammen mit VBScript). Visual Basic Script : Visual Basic Script (VBS) ist die von Microsoft für clientseitiges Scripting vorgesehene Sprache und stellt eine Untermenge der Funktionen von Visual Basic for Applications (VBA) bereit, der Makrosprache von Microsoft Office. VBS funktioniert nur mit dem Internet Explorer ab Version 4.0, andere Browser unterstützen VBS nicht. Im Web wird es für Client-side Scripting kaum verwendet, meist erhält hier JavaScript/JScript den Vorzug. Dafür erfreut es sich jedoch großer Beliebtheit bei Autoren von Viren und Würmern. Diese betten VBS-Code in HTML-Mails ein, die E-Mail-Programme wie Outlook über den Internet Explorer anzeigen. Dabei wird auch der VBS-Code ausgeführt, wenn die Sicherheitseinstellungen zu lasch sind. Außerdem können die E-Mails VBS auch als Anhang enthalten, der wie bei ILOVEYOU erst durch Anklicken ausgeführt wird. Beispiele für VBS-Viren und Würmer sind VBS/Loveletter (ILOVEYOU-Wurm) und VBS/Funny. VBS lässt sich im Internet Explorer nur gemeinsam mit JScript unter der Option "Active Scripting" ein- oder ausschalten. ActiveX : Microsofts ActiveX-Technologie ist im Bereich Web-Browser am ehesten mit den Plug-Ins des Netscape Navigators zu vergleichen. Das Steuerelement spielt dabei im Internet Explorer beispielsweise MultimediaDateien ab, die der Web-Server bereitstellt. Ist das entsprechende ActiveX-Control bereits auf dem Rechner installiert, wird es von Windows gestartet und mit den Daten gefüttert. Andernfalls kann der Browser das Control auch automatisch aus Internet laden. Ein ActiveX-Control kann auf beliebige Ressourcen des Rechners zugreifen und somit auch beliebigen Schaden anrichten. Der Internet Explorer unterscheidet zwischen signierten und unsignierten Controls. Ein signiertes Control wurde vom Hersteller mit einer digitalen Unterschrift versehen. Ist diese intakt, kann der Benutzer sicher sein, dass das Steuerelement vom Inhaber des verwendeten Zertifikats erstellt und nachträglich nicht verändert wurde. Eine Garantie, dass das ActiveX-Control keinen Schaden anrichtet, hat er damit jedoch nicht. In den Default-Einstellungen lädt Internet Explorer nur signierte ActiveX-Controls und fragt den Anwender, ob er diese installieren möchte. Cookies : Cookies sind kleine Datenschnipsel, die der Browser auf Anforderung durch einen Web-Server auf der Festplatte ablegt. Sie enthalten - mehr oder weniger kodiert - Informationen, mit denen der Web-Server den Besucher beim nächsten Besuch oder auf den Folgeseiten wiedererkennen kann, meist eine Art Identifikationscode (ID). Die Informationen, die der Server über den Besucher gesammelt hat, speichert er nicht in Cookies, sondern mit der ID in einer Datenbank. Mit der nächsten Anfrage an den Server liefert der Browser 46 das Cookie automatisch mit, so dass dieser den Benutzer "wiedererkennen" kann. So sind beispielsweise viele Online-Shops realisiert, bei denen der Besucher über mehrere Seiten hinweg seinen virtuellen Einkaufskorb füllt. Auch viele der personalisierten Seiten auf Portalen arbeiten mit Cookies. Natürlich können Firmen auf diesem Weg auch richtige Profile über die Vorlieben ihrer Benutzer erstellen. Werbeagenturen wie DoubleClick verteilen mit ihren Anzeigenbannern Cookies auf Tausenden von Web-Sites. So können sie die Surfgewohnheiten im großen Stil verfolgen. Cookies betreffen also nicht die Sicherheit, sondern die Privatsphäre der Surfer. Da inzwischen viele Web-Surfer Cookies abgeschaltet haben, mussten sich die werbetreibenden Datensammler etwas neues einfallen lassen, das man nicht einfach abschalten kann oder wird. Wie diverse Web-Counter bauen sie vermehrt kleine, 1x1 Pixel grosse transparente GIF-Dateien in die Seiten ein. Man nennt diese Dateien "Web Bugs". Man kann zwar den Browser so einstellen, dass er Cookies nur auf Nachfrage akzeptiert. In der Praxis überfluten einen dann jedoch manche Sites mit so vielen dieser Dialogboxen, dass man mit dem Klicken gar nicht hinterherkommt. Als Kompromiss kann man Cookies nur von Servern akzeptieren, deren Seiten man gerade besucht oder die Cookies gelegentlich ausmisten (bei Internet Explorer in C:\Windows\Cookies, bei Netscape "cookies.txt" im Netscape-Benutzerverzeichnis). Wer besonders auf seine Privatsphäre achtet, schaltet die Annahme von Cookies generell ab. Sicherheitseinstellungen des Browsers anpassen Sicherheitseinstellungen von Netscape 4.7x : Bearbeiten Einstellungen ( Edit Preferences ) : Smart Browsing: Beim Smart Browsing werden Benutzerdaten zu einem Netscape-Server übertragen und dort gespeichert. Aus einer Datenbank auf einem Netscape-Server werden Websites mit ähnlichen Themen ausgesucht wie die Seite, die Sie gerade besuchen. („What’s related“ ) Dies ist zwar kein Sicherheitsrisiko, jedoch eine Beeinträchtigung der Privatsphäre. Sie sollten daher Smart Browsing deaktivieren, wenn Sie nicht möchten, dass Ihre Surf-Gewohnheiten bei Netscape/AOL gespeichert werden Internet Keywords: Auch hier werden Benutzerdaten übertragen und möglicherweise gespeichert. Sie geben in das Adressfeld Stichworte ein und der Browser überträgt diese an einen Netscape-Server, der aus einer Datenbank dazu passende Websites heraussucht. 47 Java, Javascript und Cookies : Java: Sicherheitsbewusste Surfer sollten zumindest bei Versionen bis 4.74 Java deaktivieren. Andernfalls ist über ein Java-Applet, das einen Webserver im Browser installiert, Lesezugriff auf lokale Dateien möglich. JavaScript: Wer auf JavaScript verzichten kann, sollte es deaktivieren. Dabei sind eventuell einige Komforteinbußen hinzunehmen, dafür fallen damit viele der bekannten Sicherheitslöcher im Communicator weg, die durch Programmierfehler entstanden sind. Allerdings funktionieren dann auch die Online-Hilfe und Style-Sheets (CSS) nicht mehr. JavaScript in Mail und News: Für Mail und News ist JavaScript eigentlich unnötig und nur ein potenzielles Sicherheitsrisiko. Angriffe über JavaScript in Mails oder Newsgroup-Postings sind durchaus möglich und auch schon vorgekommen. Daher kann man JavaScript seit Version 4.5 für Mail und News separat abschalten. Das sollten Sie auch dann tun, wenn Sie JavaScript fürs Web eingeschaltet lassen. Cookies : Cookies sind mehr eine Frage der Privatsphäre als ein Sicherheitsrisiko. Wenn es Sie stört, dass Anbieter Profile über Ihre Web-Gewohnheiten anlegen könnten, sollten Sie Cookies ganz ausschalten oder zumindest die Warnung aktivieren. Als Kompromiss können Sie Cookies ganz ablehnen, die auch an andere Server weiterverteilt werden. Für Cookies, die nur für den Server bestimmt sind, der das Cookie gesetzt hat, aktivieren Sie die Warnung und entscheiden dann von Fall zu Fall. Alternativ können Sie dubiose Einträge aus der Datei "cookies.txt" im Netscape-Benutzerverzeichnis regelmäßig entfernen. Um nur sitzungsbasierte Cookies zu gestatten, die nicht auf der Fetsplatte landen, kann man die Cookies-Datei mit einem Schreibschutz versehen. Auf Betriebssystemen, die das nicht unterstützen, legt man statt dessen ein gleichnamiges Verzeichnis an. Dann akzeptiert der Browser Cookies, so dass beispielsweise Online-Shops reibungslos funktionieren. Nach dem Beenden des Programms sind die Cookies ebenfalls weg. 48 Smart Update: Sie sollten die manuelle Bestätigung aktivieren oder diese Funktion ganz ausschalten. Andernfalls können PlugIns und Browser-Updates unbemerkt installiert werden. Dies könnte auch zu einem Angriff genutzt werden. Es sind allerdings bisher noch keine Beispiele dafür bekannt geworden. Sicherheitseinstellungen des IE 5.x : 49 Kurze Einführung : Das Sicherheitsmodell des Internet Explorers Im Sicherheitsmodell des Internet Explorers wird jeder Web-Server, den Sie besuchen, einer Zone zugeordnet. Browser benutzt dann jeweils die für diese Zone eingestellten Sicherheitsvorgaben. So ist es möglich, nur auf besonders vertrauenswürdigen Servern, beispielsweise im lokalen Intranet, Funktionen zu aktivieren, deren generelle Freigabe zu riskant wären. Der Internet Explorer unterscheidet vier Zonen. Die Internet-Zone Hier sind zunächst alle Sites untergebracht, die nicht einer der drei anderen Zonen zugeordnet sind. Die lokale Intranet-Zone Zu dieser Zone gehören neben einem eventuell vorhandenen Intranet auch lokale Dateien. Standardmäßig ist niedrige Sicherheit voreingestellt. Über den Menüpunkt Sites können Sie zusätzliche Server in die Zone aufnehmen. Vertrauenswürdige Sites In diese Zone können Sie Websites aufnehmen, bei denen Sie sich sicher sind, dass die Betreiber Ihr Vertrauen verdienen. Wem Sie dieses Vertrauen schenken, müssen Sie letztlich selbst entscheiden, Sie sollten jedoch sparsam damit umgehen. Für diese Zone können Sie einige Sicherheitseinstellungen etwas lockern, um die Funktionen der Websites voll nutzen zu können. Eingeschränkte Sites Hier fügen Sie Websites ein, bei denen Sie zumindest den Verdacht haben, die Betreiber könnten versuchen, Daten auf Ihrem Rechner auszuspionieren oder Ihren Browser zum Absturz zu bringen. Für diese Zone sollten Sie die maximale Sicherheit einstellen. Stellen Sie zunächst für alle Zonen die im Folgenden empfohlenen hohen Sicherheitsoptionen ein und passen Sie diese an, wenn die damit verbundenen Einschränkungen die Benutzung von wichtigen Sites zu sehr behindert. Öffnen der Sicherheitseinstellungen : Extras Internetoptionen und hier die Registerkarte Sicherheit. Wählen Sie die Internet-Zone. 50 Die Sicherheitsstufe steht standardmäßig auf „Mittel“, klicken Sie nun auf „Stufe anpassen“ 51 ActiveX-Steuerelemente (Controls) sind ein beträchtliches Risiko, und sollten generell nur auf explizite Bestätigung des Benutzers geladen und gestartet werden. Das gilt auch für (eventuell lokale) Controls, die als "sicher" markiert sind. Unsignierte ActiveX-Controls kommen erst gar nicht in Frage. Cookies betreffen Ihre Privatsphäre. Sie ermöglichen es, Ihre Aktivtäten im Internet zu erfassen. Die erste Option bezieht sich auf Cookies, die permanent auf dem Rechner gespeichert werden (die Formulierung "die gespeichert sind" ist irreführend), die zweite bezieht sich auf temporäre Cookies, die nach dem Programmende verschwinden. 52 Wenn Sie die aktuellen Sicherheitsupdates für Java installiert haben, können Sie es bei der voreingestellten hohen Sicherheit belassen. Ansonsten sollten Sie Java deaktivieren. ActiveScripting enthält die Einstellungen für JScript und VBScript. Da Scripting das Ausnutzen von Sicherheitslücken häufig erst ermöglicht, sollten Sie es deaktivieren. Dadurch geht allerdings bei vielen Sites einiges an Funktionalität verloren. Die Option Eingabeaufforderung ist hier nicht praktikabel. Aktivieren Sie diese Warnhinweise also nur bei Einfügeoperationen und Scripting von Java-Applets, was recht selten vorkommt. Der Zugriff auf die Zwischenablage auf Scripten heraus stellt ein gewisses Risiko dar, das Sie durch die explizite Eingabeaufforderung unter Kontrolle halten können. Die Zwischenablage könnte vertrauliche Informationen aus anderen Applikationen enthalten. 53 Das Anlegen von Objekten auf dem Desktop sollten Sie nur in Ausnahmefällen zulassen. IFRAMES und Framesets, die verschiedene Websites in mehreren Frames darstellen (und damit die Herkunft der Seiten verbergen) sollten Sie nur in Ausnahmefällen zulassen. Hier gibt es viele Missbrauchsmöglichkeiten. Wenn Sie die Übermittlung unverschlüsselter Formulardaten deaktivieren, wird die Benutzung vieler Kontaktformulare und Suchmaschinen unmöglich. Über den Softwarechannel werden Programme auf Ihren Rechner übertragen, wenn Sie einen solchen Channel abonniert haben. Da Pogramme mit Viren infiziert sein oder Trojanische Pferde enthalten können, sollten Sie genau darauf achten, welche Programme auf Ihren Rechner gelangen und woher. Erweiterte Einstellungen des IE 5.0 anpassen : 54 Automatisches Update Sie sollten das automatische Update deaktivieren und nur bei Bedarf einschalten, wenn Sie im einzigen Browser-Fenster die Microsoft-Website aufgerufen haben, um den Internet Explorer zu aktualisieren. Andernfalls könnte Ihnen ein ungewolltes "Update" untergeschoben werden, das eine Hintertür zu Ihrem Rechner öffnet. Digitale Zertifikate Digitale Zertifikate kommen zum Einsatz, wenn Sie verschlüsselte Web-Sitzungen starten, erkennbar an der URL, die mit https: beginnt. Das kann der Webserver Ihrer Bank für das Online-Banking oder ein Online-Shop sein. Da hier äußerst vertrauliche Daten übertragen werden (Kreditkarten-Daten, PINs und TANs), sollten Sie auf die Gültigkeit der Zertifikate achten und die entsprechende Optionen im Internet Explorer aktivieren. 55