Es folgen zwei einfache Beispiele. Die ersten E-Mail-Systeme haben Nachrichten als ASCII-Texte versendet. Sie waren vollkommen sicher. Es gibt nichts, was eine empfangene ASCII-Nachricht tun könnte, um einen Computer zu beschädigen. Dann bekamen einige Menschen die Idee, dass man E-Mail erweitern könnte, damit andere Dokumenttypen eingefügt werden können, zum Beispiel Word-Dateien, die Programme in Makros enthalten können. Wenn sie so ein Dokument lesen, bedeutet dass, dass sie das Programm von jemanden anders auf ihren Computer ausführen. Vollkommen gleichgültig, wie viel Sandboxing angewendet wird: Wenn sie ein fremdes Programm ausführen, ist dies von seiner Natur her gefährlicher, als wenn sie einen ASCII-Text lesen. War es ein Verlangen von Anwendern, die passiven E-Mail-Dokumente in aktiv ausgeführte Programme zu verwandeln? Wahrscheinlich nicht. Es waren Systemdesigner, die dachten, dass es sich um eine schicke Idee handele, und sie machten sich nicht allzuviele Gedanken um die Folgen für die Sicherheit.

Das zweite Beispiel ist genau die gleiche Angelegenheit für Webseiten. Als das Web aus passiven HTML-Dokumenten bestand, stellte es kein großes Sicherheitsproblem dar. Nun, da so viele Webseiten Programme (Applets) enthalten, die der Anwender ausführen muss, um die Inhalte zu sehen, taucht ein Sicherheitsproblem nach dem anderen auf. Kaum ist eines behoben, schon tritt ein anderes an seine Stelle. Als das Web noch vollständig aus statischen Dokumenten bestand, sind da etwa Anwender Sturm gelaufen und haben dynamische Inhalte eingefordert? Nicht, dass der Autor sich daran erinnern würde, aber die Einführung dynamischer Inhalte brachte fundamentale Sicherheitsprobleme mit sich.

Andrew S. Tanenbaum: Modern Operating Systems, 1. Auflage, 2002, S. 631
Die schnelle Übelsetzung ist von mir.

Ja, das ist eine Anmerkung zur Computersicherheit aus dem Jahr 2002; ja, dieser Text ist jetzt elf Jahre alt.

Wo ich gerade dabei bin: Vergesst bitte nicht, ganz schnell euer Flash upzudaten! Die aktuelle Sicherheitslücke ist recht kritisch, und es sind auch Rechner unter MacOS davon betroffen.