JavaScript in eBay-Angeboten eingeschränkt

Unter dem Eindruck der negativen Berichterstattung (siehe z.B. Heise Newsticker) über zahlreiche Sicherheitsmängel bei eBay wurde nun die Verwendung von JavaScript eingeschränkt. Hier die offizielle Marktplatzmitteilung eBays dazu, darunter dann meine Kommentierung:

*** ÜBERARBEITETER GRUNDSATZ ZUR VERWENDUNG VON SKRIPTSPRACHEN BEIM ANBIETEN VON ARTIKELN ***

Liebe eBay-Mitglieder,

wir haben den Grundsatz zur Verwendung von Skriptsprachen, wie Javascript und HTML, beim Anbieten von Artikeln grundlegend überarbeitet.

Der neue Grundsatz lautet:

Es ist verboten, beim Anbieten von Artikeln die folgenden Skript- oder HTML-Funktionen zu verwenden:

  • Skripte, die Cookies setzen oder auslesen
  • Skripte, die den Benutzer von eBay zu anderen Internet-Angeboten weiterleiten
  • Skripte, die automatisch Pop-up-Fenster oder MS-Assistenten generieren
  • Skripte, durch die automatisch aktive Inhalte von anderen Computern heruntergeladen werden (ausgenommen ist Macromedia Flash)
  • Skripte, die Inhalte außerhalb der Artikelbeschreibung überschreiben
  • Skripte, die extern liegende Skripte oder Seiten aufrufen (z.B. über JavaScript Includes oder Iframes)
  • Skripte, mit denen Einträge in der Registry geändert werden oder Skripte, die auf eine andere Art Daten auf die Festplatte des Benutzers schreiben
  • Skripte, über die automatisch Daten an andere Skripte von eBay gesendet werden.

Des Weiteren sind alle Versuche verboten, den Quellcode zu verschleiern, um Inhalte der Artikelbeschreibung zu verstecken, einschließlich der Benutzung der Unescape-Funktion in JavaScript. Dieses Verbot gilt auch für Versuche, HTML-Tags zu zertrennen, um sie zu verstecken.

Erläuterung zu diesem Grundsatz

Die Verwendung der genannten Skript- und HTML-Funktionen beeinträchtigt die Funktionalität von eBay.

Hinweise

Die Entscheidung, ob Angebote mit diesem Grundsatz im Einklang stehen, liegt allein bei eBay. eBay behält sich vor, Angebote zu entfernen, die gegen diesen Grundsatz verstoßen.

Möglicherweise sind sich viele Mitglieder bei der Verwendung dieser SKripte nicht bewusst, und dass sie damit die Funktionalität von eBay beeinträchtigen. Um den allgemeinen Sicherheitsbedürfnissen Rechnung zu tragen, ist die Verwendung dieser Skripte daher untersagt.

Herzliche Grüße

Ihr eBay-Team

Grundsätzlich ist zu begrüßen, dass eBay nun endlich auch mal etwas unternimmt und die lange bekannten Sicherheitsprobleme bei der Verwendung von JavaScript nicht mehr völlig ignoriert. Aber ausreichend ist das nicht: eBay müsste die Verwendung der oben aufgezählten Scripte eben nicht nur verbieten, sondern auch technisch unmöglich machen. Das klappt aber bisher nur in geringem Umfang - und welcher "böse" Zeitgenosse sollte sich von diesem Verbot sonderlich beeindrucken lassen? Wenn eBay dann doch einmal die Verwendung "bösen" JavaScripts bemerken sollte, dann muss ein Bösewicht sich eben bloss unter einem anderen Namen neu anmelden und kann weitermachen.

eBays Argumentation ist ohnehin (zurückhaltend formuliert) nicht ganz schlüssig. So ist z.B. die folgende Aussage schlicht und simpel unsinnig: "Möglicherweise sind sich viele Mitglieder bei der Verwendung dieser SKripte nicht bewusst, und dass sie damit die Funktionalität von eBay beeinträchtigen." Das ist Quatsch: JavaScript läuft eben nicht auf den eBay-Servern, sondern in den Browsern der Nutzer und kann daher die eBay-Serverfunktionalität nicht beeinträchtigen.

Axel Gronen
04.10.2004

Vorherige Meldung Vorherige Meldung

© 2004 bei Axel Gronen. Letzte Aktualisierung: 04.10.04.
Etwaige Rechtschreib- und Grammatikfehler in diesem Text sind gewollt und wurden hier mit Absicht versteckt. Wer sie findet, darf sie behalten oder auf eBay versteigern. Best viewed with open eyes and a human brain ver. 1.0 or above.

Wortfilter-Logo