Vergitterte Fenster, Teil 2

Inhaltsverzeichnis

Teil 1 des Artikels

Eins der Sorgenkinder in Windows ist immer noch der Internet Explorer. Hier geht es mit Service Pack 2 richtig ans Eingemachte: Das Add-on-Management hat nun eine grafische Oberfläche spendiert bekommen. Dem stellt man eine Crash Detection zu Fehlersuche bei Abstürzen des Browsers zur Seite. Mit Add-ons lässt sich der Browser um neue Funktionen erweitern. Dies können sowohl ActiveX-Controls als auch Toolbars, Browsererweiterungen und Browser Helper Objects sein, etwa das Acrobat-Plug-in zum Lesen von PDF-Dokumenten. Viele Webserver bieten solche Zusätze bereits beim Besuch einer Seite an. Mit dem neuen Management können Anwender diese vom Internet Explorer nachladbaren Plug-ins besser kontrollieren, sowie deaktivieren und deinstallieren. Darüberhinaus zeigt das Management Add-ons an, etwa Ad- und Spyware, die sich bisher nur durch Einträge in der Registry verraten haben und unter Umständen das Surfverhalten des Benutzers ausspähen.

Die Add-on-Crash-Detection soll beim Absturz des Internet Explorers das verantwortliche Plug-in ausfindig machen. Anhand der Liste der geladenen Erweiterungen und dem Wert des Instruction Pointers zum Zeitpunkt des Crash identifiziert die Detection die fehlerträchtige Datei und zu welchem Add-on sie gehört. In einem Dialog kann der Anwender dann die Erweiterung deaktivieren, um weitere Abstürze zu verhindern.

Benimmregeln

Mit Service Pack 2 taucht in den Einstellungen des Internet Explorers auch erstmals der bislang wenig bekannte Begriff "Binärdateien" (Binary Behaviors) auf. Sie sind eine schnelle Alternative zu Skripten und kommunizieren als COM-Komponente mit dem Browser, um bestimmte Aufgaben zu erfüllen. Anders als Skripte laufen sie bisher in keiner Zone des Internet Explorers und unterliegen auch keinen Restriktionen, obwohl sie Zugriff auf das System im Kontext des angemeldeten Benutzers haben. Zukünftig kann der Anwender diese Binärdateien für jede Sicherheitszone aktivieren oder deaktivieren.

Damit ActiveX-Controls gegebenenfalls von anderen Webseiten mitbenutzt werden können, sind sie seit langem als "safe for scripting" und "safe for initialization" markierbar. Zudem konnte der Anwender für bestimmte Zonen ActiveX zulassen oder sperren. Leider funktionierte dieses Model auf Basis der aufgerufenen URL und der zugeordneten Zone nicht immer zuverlässig. Eine Reihe bekannter Angriffsarten nutzt diese Schwäche bereits aus. Microsoft hat das ActiveX-Sicherheitsmodell renoviert, sodass ein Objekt immer eindeutig einer URL zugeordnet ist.

Versucht eine Webseite ein neues ActiveX-Control in den Browser zu laden, so informiert ein Dialog den Anwender, über die Identität des "Publishers" des Controls und fragt ob es installiert werden soll. Auch wenn man dem nicht zustimmt, erscheint der Dialog bei jedem Besuch der Seite aufs neue. Bislang bietet der Dialog nur die Option, einem Publisher immer zu vertrauen. Dem fügt man nun die Option hinzu, einem Publisher immer zu mißtrauen. Ist sie aktiviert, blockiert der Internet Explorer dessen Controls ohne weitere Nachfragen.

Selbst wenn man die Webseite nicht verlässt, aber den ActiveX-Control-Dialog verneint, sind manche Webseiten hartnäckig und bieten immer wieder das selbe Control an. Unter Umständen kann das den Anwender dazu verleiten, doch "OK" zu klicken, um aus der Schleife herauszukommen. Mit Service Pack 2 ist nur noch eine einzige Nachfrage pro Control und Seite zugelassen. Mit dem neuen Schlüssel RunInvalidSignatures unterbindet der Internet Explorer standardmäßig die Installation von Controls mit fehlerhaften oder ungültigen digitalen Signaturen.

Auch wenn Microsoft die Java Virtual Machine (JVM) eigentlich nicht mehr mit neueren Service Packs ausliefert, fügt Service Pack 2 eine Funktion hinzu, um sie explizit abzuschalten. Anwender die die JVM noch installiert haben, können sie nun explizit deaktivieren. Bisher gibt es im Internet Explorer nur die Option "Java deaktivieren", die aber auch die installierten JVMs anderer Hersteller abschaltet.