Foto: Pascale PirateChickan, flickr.com

Unnötige Features machen Browser unsicher – Unzählige JavaScript-Funktionen von Webseiten kaum genutzt

Web-Browser haben zwar viele Features, doch kaum einer benötigt diese. Das zeigt eine Studie der University of Illinois in Chicago (UIC) http://uic.edu . So werden mehr als 50 Prozent aller JavaScript-Funktionen von den 10.000 beliebtesten Webseiten gar nicht genutzt. Manch anderes Feature ist eher sinnlos, weil es ohnehin jeder brauchbare Werbe-Blocker aushebelt. All den ungenutzen und ungeliebten Funktionen ist gemein, dass sie Browser aufblähen – und viele sind zudem irgendwie unnötige Sicherheitslücken…Foto: Pascale PirateChickan, flickr.com

Komplexität für die Katz

Aktuelle Browser sind sehr komplex, unter anderem weil sie für Web-Entwickler über 1.000 JavaScript-Funktionen bereitstellen. Doch mehr als die Hälfte davon sind effektiv sinnlos, weil sie in der Praxis niemand nutzt. Das hat eine Analyse der laut Alexa-Ranking 10.000 beliebtesten Webseiten ergeben. Dazu kommt dem UIC-Team zufolge, dass rund zehn Prozent der Funktionen ohnehin fast immer in irgendeiner Form geblockt werden. Ist ein Werbe-Blocker aktiv, „werden über 83 Prozent der verfügbaren Features von weniger als einem Prozent der 10.000 beliebtesten Webseiten ausgeführt“.

Der „Encodings“-Standard, mit dem JavaScript Text zwischen verschiedenen Codierungs-Standards konvertieren kann, beispielsweise wird von genau einer Top-10.000-Webseite genutzt. Bei Entwicklern relativ beliebt sind hingegen iFrames, beispielsweise für Pop-up-Werbung. Eben das ist ein wesentlicher Grund, weshalb iFrames den UIC-Informatikern zufolge in 77 Prozent aller Fälle blockiert werden. Dazu kommt schon seit Jahren der fade Beigeschmack des Sicherheitsrisikos. Denn Hacker setzen oft auf eingeschleuste iFrames, um Malware über legitime Webseiten zu verbreiten.

Lücken und fraglicher Wert

Die Forscher zeigen auf, dass mit Blick auf die Sicherheit manche Features fragwürdig erscheinen. Sie verweisen auf die Web Audio API, die von weniger als zwei Prozent der beliebtesten Seiten genutzt wird. Doch gab es in den vergangenen drei Jahren mindestens zehn gemeldete Sicherheitslücken nach CVE-Standard http://cve.mitre.org für den als Referenz herangezogenen Browser Firefox. Auch Skalierbare Vektorgrafiken (SVGs) sind problematisch. Zwar nutzen diese mittlerweile rund 15,5 Prozent der Seiten, doch werden die Grafiken zu 87 Prozent geblockt. Indes gab es in drei Jahren sogar mindestens 14 CVEs für Firefox.

Zur Studie “ Browser Feature Usage on the Modern Web“: http://arxiv.org/abs/1605.06467

Aussender: pressetext, Thomas Pichler
Foto: Pascale PirateChickan, flickr.com
Redaktion: TG