Bundesamt für Sicherheit in der Informationstechnik

AJAX

Verbunden mit dem Schlagwort "Web 2.0" entstehen aktuell vielerorts innovative Webanwendungen. Eine wesentliche, dem Web 2.0 zugrunde liegende, Technik ist AJAX (Asynchronous JavaScript and XML), wobei die Betonung auf dem "J" liegt. Ohne JavaScript funktioniert AJAX nicht, ohne XML sehr wohl.

Besonderheit an diesen AJAX-Anwendungen ist, dass in eine bestehende Webseite weitgehend unbeeinflusst vom Zutun des Nutzers Inhalte nachgeladen werden können. Und dies ohne dass die Webseite komplett neu übertragen und aufgebaut werden muss und ohne dass der Anwender auf das Nachladen warten müsste. Es wird also möglich, Desktop-ähnliche Anwendungen über das Web anzubieten.

Das Öffnen der Browser für die Ausführung Aktiver Inhalte wie JavaScript wird vom BSI aufgrund der konzeptionellen Mängel und der vielen Schwachstellen in den Browser-Implementierungen seit jeher als kritisch eingestuft. In letzter Zeit verschärft sich diese Sicht: Bösartige Aktive Inhalte werden vermehrt genutzt, um gezielt individuell entwickelte Trojanische Pferde in vertrauenswürdige Umgebungen von Unternehmen und Behörden einzuschleusen und dort unbemerkt Datenspionage zu betreiben.

Vor diesem Hintergrund warnt das BSI weiterhin vor der Nutzung Aktiver Inhalte aus beliebigen Quellen, und somit auch vor den Sicherheitsrisiken bei der Nutzung von AJAX-Webanwendungen aus dem Internet. Sicher angewendet werden können diese Techniken in schutzbedürftigen Umgebungen nur über speziell abgesicherte Terminal-Server-Lösungen, wie z. B. die vom BSI entwickelte ReCoBS-Lösung (Remote Controlled Browsers System).