| Bedeutung: |
Technologie zur interaktiven Steuerung von
Multimedia-Web-Seiten |
| Begriff: |
Abkürzung für engl. »active eXtensions« (=aktive
Erweiterungen) |
| Erläuterung: |
Von  Microsoft entwickelte Technologie, die Verbreitung von
Softwarekomponenten über das Internet ermöglicht. Im Unterschied zu den
plattformunabhängigen Java-Applets ist ein ActiveX-Steuerelement auf die Betriebssysteme Windows 9x und Windows NT beschränkt. |
| Viel gravierender als die fehlende
Plattformunabhängigkeit sind aber Sicherheitsbedenken: Im Gegensatz zu Java gewährt ActiceX Zugriffsrechte auf den Computer des Client. Das heißt konkret, ein einmal gestartetes
ActiveX-Programm kann so gut wie alles, was auch dem Benutzer möglich ist: zum Beispiel
Dateien lesen, schreiben, löschen oder deren Inhalt übers Netz versenden. Auch die
Infektion des Rechners mit Viren und das Einschleusen von Trojanische Pferde ist denkbar. |
| Zur Lösung bietet Microsoft einen
Herkunftsnachweis für ActiveX-Controls durch das Signieren mit AuthentiCode
an: AuthentiCode informiert den Benutzer vor dem Start eines ActiveX-Controls, daß eine
Person oder Firma dieses Programm signiert hat und es zwischenzeitlich nicht modifiziert
wurde. Dazu enthält das Control zwei zusätzliche Elemente, die beide über Public-Key-Verfahren erstellt werden. |
| 1. |
Das erste, eine digitale
Signatur, enthält eine Art Prüfsumme, mit deren Hilfe man jede Veränderung am
Programm feststellen kann. |
| 2. |
Mit Hilfe des öffentlichen Schlüssels
des Unterzeichners, der im zweiten Anhang enthalten ist, kann der Browser feststellen, wer
das ActiveX-Control signiert hat und überprüft ihn mit Hilfe eingebauter öffentlicher
Schlüssel der 'Certification Authority', von der die AuthentiCodes ausgestellt werden.
Zur Zeit sind aber nur der Internet Explorer 4x und der Netscape Communicator 4x in der
Lage, digitale Signaturen zu überprüfen. |
|
| Für den Benutzer ist das Verfahren
weitgehend transparent: Der Browser informiert ihn, daß eine entsprechend signierte
ActiveX-Komponente geladen wurde, und fragt - bei entsprechender Konfiguration - nach, ob
er dessen Ausführung gestattet soll oder nicht. Da die Zertifierungsinstanz den
jeweiligen Code aber nicht auf gefährliche Inhalte wie Viren und Trojanische Pferde
überprüft, sondern lediglich bestätigt, dass das ActiceX-Control signiert wurde, bleibt
das damit verbundene Risiko für den Benutzer aber weiterhin bestehen. |
| ActiveX-Controls sollte man daher nur
benützen, wenn man dem Signierer des Controls vertraut. AuthentiCode ist daher sicherlich
ein geeigneter Mechanismus für die Verwendung von ActiveX-Controls innerhalb eines
vertrauenswürdigen Intranet. Beim Surfen im Internet sollte man aber vorsichtig sein. |
 |
http://www.iks-jena.de/mitarb/lutz/security/activex.html
(Hinweise auf Sicherheitsmängel) |
| Siehe auch: |
Sandbox |
