Browser

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Browser-Beispiel

Ein Browser, ist ein Programm zur Darstellung von Internetseiten. In der einfachsten Form ermöglicht ein Browser die Funktionen: "vor und zurück" und die direkte Ansteuerung von Internetseiten über Links oder die Eingabe der URL (Uniform Resource Locator). Zwischenzeitlich sind viele Zusatzfunktionen und Zusatztools, wie Plugins und Add-ons, dazu gekommen.

Geschichte/Zusammenfassung

Zunächst wurde neben der reinen Textdarstellung bei der Übertragung ein Interpret für die Darstellung und Verknüpfung von Inhalten gesucht. Dazu wurde in den frühen 1990er Jahren am CERN der erste Browser entwickelt[1].

In der weiteren Geschichte wurde die Entwicklung der Browser von der Firma Netscape vorangetrieben. Die Firma Microsoft koppelte Ihren Browser, den Internet Explorer, an das Betriebssystem Windows. In der Folge wurde dies zwar gerichtlich untersagt, aber Microsoft hatte mit dem Internet Explorer eine starke Marktposition erreicht. Erst durch die Entwicklung von Firefox, Opera oder neuerdings Google Chrome, die mit neuen Funktionen und Bedienkonzepten dem Internet Explorer Marktanteile abgenommen haben, kam wieder Bewegung in den Markt[2].


Web Architektur

HTTP (HyperText Transfer Protocol) ist das Hauptprotokoll des Internets. Die W3C (World Wide Web Consortium) arbeitet am XML-Protokoll und einer SOAP-Architektur für die Dienstenutzung im Internet. SSL ist dabei eine Erweiterung zur Absicherung der Verbindung (landläufig auch als https bezeichnet).

Neben der Verabschiedung von Protokollen ist eines der wesentlichen Aufgaben des W3C die Erarbeitung von neuen Standards für den Umgang von Internetseiten. Diese werden in den Browsern umgesetzt.

HTML (Hypertext Markup Language) und CSS (Cascading Style Sheets) sind zwei Haupttechniken, um Webseiten in Browsern darzustellen. HTML liefert dabei die Struktur, CSS das Layout für die verschiedenen Geräte. Mit Graphik und Scripting sind HTML und CSS die Grundelemente der Darstellung.

HTML

HTML ist eine Beschreibungssprache der Struktur von Webseiten. Onlineseiten können mit Kopfzeilen, Überschriften, Text, Tabellen, Listen, Photos etc verstehen werden. Informationen können miteinander über Seiteninhalte (Hyperlinks) verknüpft werden. Online Service, Suchmaschinen, Reservationen, Bestellungen, Videoclips und Sound Clips werden direkt in die Struktur eingebunden. Über Erweiterungen versuchen Softwareentwickler/Hersteller von Browsern Alleinstellungsmerkmale zu erreichen.

Das aktuelle Working Draft[3] der Version 5 von HTML 5 wurde von der W3C veröffentlicht.

CSS

CSS beschreibt Farben, Text Layout und erlaubt die Anpassung der Seite an verschiedene Endgeräte (Smartphones, Tablets etc.). CSS ist unabhängig von HTML und kann mit anderen Beschreibungssprachen kombiniert werden.

Scripting

Ein Script ist Programmcode, welcher nicht vom Computer übersetzt werden muss, um ausgeführt zu werden. Diese Aufgabe übernimmt der Webbrowser. JavaScript wird beim Download der Seite ausgeführt oder als Aktion eines Benutzers. Scripting bringt mehr Dynamik in eine Webseite. Seiteninhalte können dynamisch, ohne zutun des Benutzers, nachgeladen werden durch DHTML (Dynamic HTML) oder AJAX (Asynchronous JavaScript und XML).


Entwickler/Anbieter von Browsern

Neben den schon genannten Browser gibt es tatsächlich, insbesondere bei mobilen Endgeräten, von fast jedem Provider eine Adaption "seines Browsers" für Kunden. Dabei handelt es sich in der Regel um einen der fünf wichtigsten Browser. Hier im Überblick:

  • Google Chrome
  • Mozilla Firefox
  • Internet Explorer
  • Opera
  • Safari von Apple.

Durch eigene Umsetzungskonzepte und Erweiterungen kam und kommt es immer wieder zu Problemen bei der Darstellung von einzelnen Internetseiten (durch Unterstützung der verschiedenen Scriptsprachen oder Erweiterungen).


Sicherheitsüberlegungen

Zunehmend sind nicht mehr Browser selber die Angriffsziele, sondern sogenannte Apps oder Zusatzprogramme, wie sie auch bei Smartphones beliebt sind, aber auch Scripte (JavaScript u.a.) selber.

Daneben ist auch zunehmend das Tracking und Analyse des Nutzerverhaltens in die Kritik geraten[4].

Daher muss ein Nutzer sicher immer wieder über neue Risiken bei der Nutzung informieren. In Firmen oder Behörden sind die Beschäftigten regelmäßig über die Gefahren, die bei der Nutzung von Internetseiten entstehen können, zu schulen. Dies sollte Bestandteil einer Nutzungsvereinbarung sein. Zunehmen befassen sich Gerichte mit missbräuchlichen Nutzung am Arbeitsplatz. Im Idealfall fließen die Regelungen in die IT-Sicherheits-Policy eines Unternehmens ein.


Sicherheitsempfehlungen

Da Portale zunehmen Dreh- und Angelpunkt unseres täglichen Handelns im privaten wie auch im geschäftlichen/dienstlichen Bereich werden, hat das BSI und der Verein DsiN (Deutschland sicher im Netz) Handlungs- und Konfigurationsempfehlungen[5] herausgebracht.

Grundsätzlich empfiehlt das BSI eine 2-Browser-Strategie[6], um bei Schwachstellen in einem Browser ggf. auf den anderen Browser umstellen zu können.

Weitere Sicherheitsempfehlungen sind:

  • Aktivierung der Auto-Updatefunktion für Browser und Plugins
  • keine Speicherung von sensiblen Passwörtern im Browser (Ausnahme Firefox)
  • Sperrung von Drittanbieter-Cookies
  • Abstellung der Telemetriedaten-Übermittlung
  • nach Möglichkeit Java und Flash-Player abschalten (die meisten Webseiten haben sowieso schon auf HTML5 umgestellt)
  • Einsatz eines Zusatztools zur Kontrolle von Skripten (z.B JavaScript)
  • Einsatz eines Zusatztools zur Vorrang einer SSL-Verbindung vor unverschlüsseltem http
  • Einsatz eines Zusatztools zum Tracking-Blocken (z.B. uBlock Origin)

Weitere Hinweise können dem Sicherheits-Tipp - Browser-Sicherheit entnommen werden.

BitBox

Das BSI hat die Firma Sirrix AG beauftragt eine Umgebung zu entwickeln die in einer virtuellen Umgebung eine sichere Umgebung gestartet wird. Die BitBox ("Browser in the Box") ist eine abgesicherte Surfumgebung. Mit BitBox wird der Browser mit einem minimierten und gehärteten Betriebssystem in einem anderen Benutzerkontext gestartet. Ein potentielle Angreifer läuft ins Leere.


Zukunft

Viele Anbieter von Anwendungen gehen schon heute dazu über, diese browserbasierend anzubieten (Cloud Computing). Das Client-Betriebssystem als Plattform verliert an Bedeutung.


Weblinks


Einzelnachweis

  1. Tim Berners-Lee's original World Wide Web browser (engl.)
  2. Browser Statistik
  3. HTML 5 Working Draft
  4. Wie schütze ich meine Nutzungsdaten vor Google Analytics? (und anderen)
  5. Browser-Konfigurationsempfehlung
  6. Beitrag in den RuhrNachrichten.de vom 21.September 2012 "Experten empfehlen Zwei-Browser-Strategie“


Siehe auch



Diese Seite wurde zuletzt am 21. September 2017 um 12:45 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Markus Albert.

Anzeigen