Sicherheit im StarOffice...Generelles / PGP / StarOffice / PGP-Support in StarOffice 5.1
Sicheheit ist ein Thema, das alle angeht! Sei es die lokale Sicherheit des Rechners oder die Sicherheit beim Surfen durch das Internet. Ich möchte hier ein wenig was zu PGP sagen und zum Thema Sicherheit des StarOffice, wobei letzteres eigentlich nur noch aus historischen Gründen Bestandteil dieser WebSite ist, da es vor einiger Zeit der eigentliche Auslöser für die Erstellung der StarPage war.
Eine sehr schöne Ausarbeitung zum Thema StarOffice und Sicherheit findet Ihr auch auf den StarOffice-Seiten von Werner Roth.
Ich glaube, über PGP brauche ich wohl nicht viele Worte verlieren, PGP ist ja wohl dem größten Teil der Internet-Gemeinde ein Begriff.
An dieser Stelle möchte ich allen, die Wert auf Sicherheit legen, PGP ans Herz legen, falls sie es nicht schon benutzen. Die aktuelle Version könnt Ihr Euch über den Button laden.
Seit der Version 5.0 ist der Gebrauch dieses Verschlüsselungsprogramms wirklich kinderleicht geworden und niemand sollte sich mehr vor dessen Benutzung scheuen. Ab 5.53 werden auch wieder RSA-Keys unterstützt, so daß PGP nun praktisch wieder abwärtskompatibel ist. (Ab StarOffice 5.1 wird PGP von StarMail unterstützt!)
Falls mir jemand eine verschlüsselte eMail schicken will, so kann er das gerne tun. Meinen public-key könnt Ihr Euch ja runterziehen. PGP bedeutet pretty good privacy und nicht perfect privacy, also gibt es auch hier noch Schwächen. Also benutzt keine zu kurzen oder leicht zu erratende Mantras und laßt Euch bei deren Eingabe nicht über die Schulter schauen!
Wichtiger Hinweis für PGP 5.x und 6.x Benutzer: Windows benutzt eine sog. Swap-Datei, die es zum temporären Auslagern von Daten verwendet. Leider verschlüsselt Windows diese Datei nicht. PGP kann die Verwendung dieser Datei nicht verhindern, daher ist es möglich, daß man nach Entschlüsseln einer Nachricht sein Mantra in der Swap-Datei findet. Wer einen außerordentlich hohen Sicherheitsbedarf hat, sollte also nur eine temporäre Swap-Datei verwenden (Windows-Voreinstellung), die beim Systemabschluß gelöscht wird. Zusätzlich sollte man nach dem Herunterfahren des Systems auf DOS-Ebene ein Defragmentierprogramm starten, welches freie Bereiche der Festplatte mit Zufallswerten überschreibt. Durch letztere Maßnahme kann man verhindern, daß Unbefugte in den Slack-Bereichen der Festplatte noch das Mantra aus der Swap-Datei finden.
Für ein ganz klein wenig Aufregung hatte der Security-Bug gesorgt, auf den ich beim Programmieren in StarBasic aufmerksam wurde. Die Demo-Seite zu diesem Bug habe ich mittlerweile entfernt, da wohl jeder StarOffice-User zumindest einen der Service-Packs ab Version 4 installiert hat, so daß dieser Bug eigentlich keine Rolle mehr spielt. Da dieser Bug aber Anlaß war, die StarPage zu erstellen, gibt es hier noch ein paar generelle Informationen darüber.
StarBasic ist die Makro-Sprache des StarOffice, die zur Arbeitserleichterung dienen soll. Mit ihr lassen sich oft benötigte Programmabläufe automatisieren und anschließend per Knopfdruck aktivieren. StarBasic hat einen recht großen Befehlsumfang, der auch Dateioperationen erlaubt. Mittels des StarBasic-Befehls „KILL“ ist es z.B. möglich, Dateien auf der lokalen Festplatte zulöschen.
Seit Version 4.0 des StarOffice ist es nun möglich, an ein Dokument gebundene StarBasic-Makros in HTML-Seiten zu exportieren. Sie werden dann als StarBasic-Script in die HTML-Seiten eingebunden und können vom StarWriter-Web beim Browsen interpretiert und ausgeführt werden. Sogar eine Zuordnung zu Ereignissen, wie z.B. Dokument-laden ist möglich, so daß das StarBasic-Script automatisch beim Laden der HTML-Seite ausgeführt wird.
Dies ist mit Sicherheit eine interessante Sache, vornehmlich für Seiten im IntraNet, wenn man alle Arbeitsplätze mit StarOffice ausgerüstet hat. Das Problem ist jedoch, das die Abschaltung der Ausführung von StarBasic-Script unter „Extras-Optionen-Internet-Scripting“ nicht funktionierte. Der umfangreiche Befehlssatz des StarBasic stellt sich dann nämlich als Bedrohung beim Surfen im Internet dar.
Man könnte zum Beispiel eine Internet-Seite entwerfen, die ein Lockangebot enthält (“Reich werden ohne Arbeit“) und eine Schaltfläche, die weitere Informationen verspricht, jedoch in Wirklichkeit KILL „C:\USER.DAT“ etc. als StarBasic-Script zur Ausführung kommen läßt. Ohne Security-Fix 1 bestand hier keine Möglichkeit zur Gegenwehr, außer man kontrollierte jeden Button anhand des Quelltextes, oder verzichtet auf StarOffice als Browser.
Hier ist mal wieder ein dickes Lob für den Star Division-Support fällig, der sehr schnell nach der Meldung der Sicherheitslücke einen BugFix parat hatte, der diesen Mangel behoben hat.
