HTML+ActiveX=Spy ?

[nDeedy]

Moinsen. Sorry für einen Schweren Topic, ich wusste aber nicht wie ich mein Proble, sonst beschreiben soll

Und zwar. Ich rege mich grade über meinen Informatik Lehrer auf.
Er meint man könnte an eine HTML Seite einen ActiveX Script binden der ohnedes Wissens des Users z.b. ne Email Adresse ausspieonieren kann!
Also entweder hat er falsche Informationen oder Windows ist eine einzigste Sicherheitslücke. Denn wenn man so ne email ausspionieren kann, kann man dann mit nur einer Ausführung einen simplen Seite den vollen UZugriff auf den Inhalt einer Festplatte haben, oder versteh ich das falsch?

Profis ihr seid gefragt.

Ich habe mich zwar nie mit ActiveX auseinander gesetzt (eher html, php etc), aber wozu gibt es dann Trojaner etc, wenn es so leicht gehen soll?

Ich hoffe mir kann da einer helfen

 

[Sven Mintel]

Da ist eigentlich alles möglich... wenn man einen lässt.

Wenn man seine Sicherheitseinstellungen im IE dermassen runterschraubt, dass man auch unsichere ActiveX-Objekte ausführen lässt, ist das ausspionieren der E-Mail sicher die geringste Gefahr, die einen erwartet.... aber wer macht das schon....

 

[xxenon]

Also soweit ich weiß stellt Active-X schon eine Bedrohung dar. Wenn es im Internet Explorer aktiviert ist, hat man theoretisch Zugriff auf die komplette Festplatte. Zumindestens war das früher mal so. Bei aktuellen Browsern bzw. Netscape/Mozilla und Opera wird glaub ich sowieso kein Active-X unterstützt?!


regards...

 

[nDeedy]

also ich halte es für eine frechheuit von Microsoft sowqs zu machen, ich meine dann kann ja jeder depp machen was er will

Und wieder kommt das Fazit raus, dass Microsoft einfach alles für n macht

[edit]
hmm, hab da selber was zu dem Thema gefunden hier sit der link

>> Click <<

quelle: Selfhtml

 

[Sven Mintel]

Naja.... ganz so schlimm ists ja nun auch net

Es gibt sichere und unsichere ActiveX-Objekte.
Zu den sicheren gehört bspw. alles, was man allgemeinhin als Plugin bezeichnet....Flash-Player, AcrobatReader,Mediaplayer usw.
Diese erlauben idR. nix, was nicht koscher ist.

Die unsicheren ActiveX-Objekte.... die erlauben allerdings vollen Zugriff aufs System....da geht alles, was ihr auch selbst am Rechner machen könnt.... allerdings sind diese normalerweise deaktiviert.... aus diesem Grund gibts im IE zwei verschiedene Einstellmöglichkeiten für sichere und für unsichere ActiveX-Objekte.

Soweit ich das sehe, liegt das wirkliche Sicherheitsrisiko im IE eher beim <object>-Tag, da es über diesen möglich ist/war(je nach Update)...
Skripte auf ein System zu bringen und auszuführen, welche unter Verwendung der unsicheren ActiveX-Objekte laufen und so einigen Budenzauber veranstalten können....
Das ist in der Tat recht einfach... eine Quasi-Anleitung dazu findet man z.B.beim Heise-Browsercheck, ich hab damit schon nen paar Bekannten nen gehörigen Schreck eingejagt

Probleme mit dem <object>-Tag hat aber nicht nur der IE...z.B. hat meines Wissens Adobe derartig unlösbare Sicherheitsprobleme mit <object> und dem hauseigenen SVG-Viewer, dass
die neueren Versionen des Viewers nur noch SVG-Dateien verarbeiten, wenn sie per <embed> eingebunden werden.