ActiveX
Einleitung
ActiveX-Elemente haben einen schlechten Ruf – teilweise zurecht. Als erstes wollen wir uns deshalb einmal kurz ansehen, was „ActiveX“ überhaupt ist, und natürlich auch, was es so gefährlich machen kann.
Was ist ActiveX?
Da ActiveX eine Microsoft-Technologie ist, hat Microsoft auch eine Definition dafür:
ActiveX ist eine offene Integrationsplattform, die es Entwicklern, Benutzern und Webautoren ermöglicht, auf schnelle und einfache Weise integierte Anwendungen und Inhalte für das Internet und für Intranets zu erstellen. Über ActiveX können Sie problemlos Multimediaeffekte, interaktive Objekte und komplexe Anwendungen in eine Webseite einfügen und so Effekte erzielen, die qualitativ hochwertigen Multimedia-CDs entsprechen.
Quelle: Microsoft Knowledge Base
Kurz gesagt: ActiveX-Elemente sind „richtige“ Programme, die in eine Webseite eingebunden werden können. Meistens werden in solchen Fällen Java-Applets verwendet. Während Java-Applets überall laufen, wo eine Java-Laufzeitumgebung zur Verfügung steht, laufen ActiveX-Controls nur auf Windows-PCs im Internet Explorer. Hierbei kommt es also auf den Client, nicht auf den Webserver an. Beim Aufruf der Webseite wird geprüft, ob das ActiveX-Element bereits auf dem Client-Rechner installiert ist, ansonsten wird es heruntergeladen.
Gefahren
Und hier liegen die Gefahren: ActiveX-Elemente sind richtige Programme, die auf dem Client-Rechner ausgeführt werden. Wenn ein böswilliger Programmierer am Werk war, tut das Programm vielleicht etwas anderes als es zunächst vorgibt. Vom Formatieren der Festplatte bis zum Aufbauen von teuren Internet-Verbindungen (Dialer) ist alles drin. Es kommt also sehr darauf an, der Quelle, die das ActiveX-Element verbreitet, zu vertrauen. Hierzu werden auch Signaturen vergeben, um die Authenzität prüfen zu können.
Standardmäßig ist der Internet Explorer so konfiguriert, dass er unsignierte ActiveX-Steuerelemente ablehnt und bei signierten vorher nachfragt, ob er sie ausführen/installieren darf. Dies lässt sich in den Internetoptionen (Menü Extras im IE) auf der Seite „Sicherheit“/“Stufe anpassen“ einstellen. Darauf werden wir später noch zu sprechen kommen, da wir jetzt ein unsigniertes ActiveX-Element erstellen wollen, das ja standardmäßig abgelehnt würde.
Mehr als Web
Nebenbei sei noch erwähnt, dass ActiveX nicht auf den Einsatz im Browser beschränkt ist. „Früher“ als OLE-Steuerelement oder OCX-Steuerelement bezeichnet, lassen sich ActiveX-Elemente auch in normale Anwendungen einbinden (siehe Registerseite „ActiveX“ der Delphi-Komponentenpalette). Genau das ist – laut Microsoft – auch der Vorteil gegenüber Java-Applets.