JavaScript

JavaScript:
JavaScript wurde von Netscape zunächst unter dem Code-Namen "mocha", dann unter dem Namen "Live-Script" entwickelt. Zunächst hat man sich dabei an der Programmiersprache Java von Sun orientiert, später wurde als endgültiger Namen leider JavaScript gewählt, was zu der falschen Annahme verleitet, Java und JavaScript hätten außer dem Namen irgend etwas gemeinsam ... alles klar ? :-)
Ja? Gut, damit es nicht zu einfach bleibt, bezeichnet Microsoft das eigens entwickelte Javascript als "JScript" ...

Falls Du auf die Schnelle wissen möchtest, wie so ein HTML-Code oder ein Javascript aussieht, klicke einfach auf irgendeine Webseite mit der rechten Maustaste und wähle "Quelltext anzeigen". Mozilla- und Netscape-Benutzer haben es noch einfacher: sie drücken STRG-U.

Was Du siehst, ist der HTML-Code der Seite. Solltest Du irgendwo <script language="JavaScript"> lesen, so hast Du ein Javascript entdeckt und alle folgenden Zeilen bis zu </script> stellen den Javascript Code dar. Diese Skripts werden ausgeführt, falls im Browser Javascript aktiviert ist , ansonsten werden sie einfach ignoriert.

Guru Tipps zur rechten Maustaste:

Auf einigen Homepages erscheint bei Rechts-Klicks ein Hinweis, das Rechts-Klicken sei dort nicht erlaubt . Dies soll verhindern, dass man erfährt, woher die verwendeten Javascripts geklaut wurden... öh... oder warum auch immer ! ;->

Diese Meldungen sind selbst auch nur Javascript!
Also schalte Dein Javascript aus , klicke rechts und ... Bingo! :-)

Und hier noch einige Guru Tricks als Bonus: G-))

red ball Alle Browser : Gib in der URL-Zeile Deines Browsers mal statt der reinen Adresse (z.B.) folgendes ein:
view-source:http://www.gurusheaven.de/security/javascript.htm (<-- oder hier klicken!).
Die URL (=Seite) wird dann geöffnet, ohne den HTML Code zu interpretieren, somit kannst Du den Source Code lesen!
red ball Netscape : Verwende die Tastenkombination STRG-U . Dies funktioniert auch hervoragend, falls Du den Netscape Messenger als Mailprogramm verwendest, um die SMTP-Header (den "Quelltext") einer Mail zu sehen!
red ball Internet Explorer :
1.) Drücke und halte die rechte Maustaste
2.) Bestätige die langweilige Javascript-Fehlermeldung mit ENTER
3.) Jetzt die rechte Maustaste loslassen. Bingo! G-)



Was kann man nun alles mit Javascript machen ?

Javascript erweitert die Möglichkeiten, die reines HTML zur Verfügung stellt, enorm. Einige "harmlose" Effekte kann man in Guru's Heaven im Bereich Humor bewundern. Weiterhin sind z.B. Laufschriften, nervige PopUp-Fenster oder das Ausspionieren von Benutzerdaten prima möglich.

Uuuups!! Ausspionieren? Mich?

Ja, auch Dich!

Du fragst Dich, was man schon gross über Dich wissen kann, während Du online bist ?

==> Teste Deine Anonymität! <==

Diese Seite demonstriert Dir an eindrucksvollen Beispielen, was man mit Javascript so alles über Dich rausfinden kann. Dabei kommt es nicht so sehr darauf an, dass restlos jede dargestellte Information für exakt Deine Browserversion ein Ergebnis liefert. Browserfeatures wechseln häufig und es ist zeitlich kaum möglich, die Skripte auf dem Stand zu halten.

Zusammenfassend ist festzustellen, dass JavaScript mehr Informationen offenbart als Dir lieb ist.

Nun basiert jedoch inzwischen so gut wie jede Webseite in irgend einer Weise auf Javascript, sogar Guru's Heaven ;-)

Wie kann ich mich also schützen und trotzdem komfortabel mit JavaScript surfen ?

Das Geheimnis liegt in der Kontrolle über JavaScript-Abfragen!

red ball Für die Seitendarstellung oder zur Navigation notwendige Daten werden durchgelassen.

red ball Allzu neugierige Scripts werden blockiert oder modifiziert.

Wie ist das möglich ?

Installation und Konfiguration von Proxomitron

red ball Lade Dir den genialen Freeware HTTP-Proxy Proxomitron in der jeweils aktuellen Version herunter. Ich empfehle die Standard Edition. Entpacke das Archiv in ein eigenes Verzeichnis.
red ball

Trage nun in Deinem Browser unter Proxyeinstellungen den Proxy localhost und den Port 8080 ein.

Das sieht für den
Internet Explorer
so aus:
In Mozilla
stellst du den
Proxy hier ein:

Solltest Du damit nicht klarkommen, starte Proxomitron.exe. Die automatisch erscheinende Welcome-Seite bietet Dir einen Link zu einer ausführlicheren Installationsanleitung auf Michael Bürschgens Proxomitron Support Seiten.

red ball Starte spätestens jetzt Proxomitron. Dadurch wird Dein Port 8080 geöffnet, von dem Dein Browser seit dem letzten Schritt die Webseiten erwartet.
red ball

Du bist theoretisch schon fast fertig, testen wir doch gleich mal, ob es schon klappt:

Klicke auf Logfenster und rufe dann im Browser eine weitere Seite auf. Falls Du nun im Logfenster den HTTP-Datenstrom mitlesen kannst, hast Du alles richtig gemacht! :-)

red ball

Nun müssen wir noch zwei der wichtigsten Sicherheits-Einstellungen manuell setzen oder zumindest kontrollieren:

Klicke im Proxomitron auf Headerfilter (nicht: Seitenfilter). Aktiviere nun "Referer: Hide where we've been (Out)".

Nach einem Klick auf OK wird der sicherheitskritische HTTP header "Referer", der jedem Webserver mitteilt, von welcher Seite aus und mit welchen Suchwörtern wir dort hingelangt sind, ersetzt durch die URL des Zielservers selbst. Das bedeutet, jeder Server (oder Webmaster <g>), der den HTTP header "Referer" auswertet, glaubt, Du kämst von seiner eigenen Seite, was ein wesentlicher Schritt zur Verhinderung des gläsernen Surfers ist.

Überprüfung und Beweis, dass der HTTP Header Referer Filter funktioniert:

Weil das vielleicht nicht ganz einfach zu verstehen ist, sehen wir uns das an einem Beispiel an. Wir sind jetzt auf der Javascript-Seite, aktivieren das Proxomitron-Logfenster und rufen die Anonymitäts-Test-Seite auf:

+++GET 253+++
GET /security/anonymitäts_test.htm HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */*
Referer: http://www.gurusheaven.de/security/anonymitäts_test.htm
Accept-Language: de
If-Modified-Since: Fri, 28 Jun 2002 20:04:02 GMT
If-None-Match: "1500012-60a0-3d1cc132"
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) (www.proxomitron.de)
Host: www.gurusheaven.de
Connection: keep-alive
Accept-encoding: gzip, deflate
+++CLOSE 253+++

Die rote Zeile würde ohne Proxomitron verraten, wo wir herkommen (also z.B. von der Javascript-Seite oder einem anderen Server). Dies kann man prüfen, in dem man Proxomitron auf Bypass stellt.

red ball

Würdest Du Dich nun auf die Anonymitäts-Test-Seite wagen, würde diese geniale Seite Dir immer noch anzeigen, von wo Du kommst !
Wie ist das möglich ?

Sie nutzt eine weitere Möglichkeit, den Referer abzufragen, nämlich mit JavaScript! Und dagegen tun wir jetzt etwas! Klicke im Proxomitron auf Seitenfilter (nicht: Headerfilter). Aktiviere nun "JS: Hide Browser's Referrer from JS v.1.1" und bestätige mit OK.

Achtung: Noch nicht den Anonymitäts-Test durchführen, siehe unten!

 

red ball Mit einem Klick auf die grüne Diskette speichern wir die eben gemachten Einstellungen in default.cfg
red ball

Nun müssen wir noch dafür sorgen, dass Proxomitron bei jeder Anmeldung automatisch gestartet wird, indem wir eine Referenz darauf in die Autostartgruppe stellen:

Je nach Umgebung liegt Deine Autostartgruppe z.B. im Ordner
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

Du kannst nun entweder Proxomitron.exe dort mit der rechten (!!!) Maustaste hineinziehen und wählen: "Verknüpfun(en) hier erstellen" oder Du beginnst im Autostart-Ordner mit einem Rechtsklick-->Neu-->Verknüpfung und klickst Dich durch ...

Du bist natürlich jetzt gespannt, ob Du nun wirklich ohne Referer surfst ! Doch bevor Du testest, beachte bitte:

Lösche bitte unbedingt Deinen Browser-Cache, sonst siehst Du gespeicherte (alte) Ergebnisse! Selbst den Browser zu schliessen und zu öffnen genügt bei IE nicht !

Internet Explorer: Extras-->Internet Optionen-->Allgemein-->"Dateien löschen" (etwa in der Mitte).
Mozilla/Netscape: Bearbeiten --> Einstellungen --> Erweitert --> Cache --> Cache löschen

Gratuliere ! Du hast es geschafft (und ich auch <g>) !

Nun viel Spass beim Testen auf der Anonymitäts-Test-Seite und ...

Happy surfing! Hiermit bist Du nochmals herzlich eingeladen, Beiträge aller Art dazu im Forum zu posten!

Guru divider

Es gilt der vom Hauptmenu aus erreichbare Disclaimer von Guru's Heaven.

Ich distanziere ich mich ausdrücklich von jeglichen Seiten und deren Inhalten, auf die direkt oder indirekt verwiesen wird. Alle Inhalte geben die persönliche Meinung des Autors wieder. Der Autor hält die Inhalte für richtig und ist bestrebt, mit deren Nennung anderen zu helfen, kann Irrtümer jedoch nicht ausschliessen. Jegliche Haftung des Autors, die in direktem oder indirektem Zusammenhang mit den genannten Inhalten steht, ist ausgeschlossen.

Siehst Du keine Frames oder nicht die von Guru's Heaven ?
Hier, gelangst Du zur Hauptseite von Guru's Heaven!