IEController: Kontrolle über den Internet Explorer

Dr. B. Tewes


In der letzten Ausgabe der gab es laut Titel eines Artikels von Bernhard Brandel den Rat "Finger weg vom Internet Explorer". Diese Empfehlung galt aufgrund des hohen Gefahrenpotenzials, das insbesondere durch ActiveX und Active Scripting bedingt ist. Die Zeitschrift c't aus dem Heise Zeitschriften Verlag stellt mit dem IEController ein kleines Produkt kostenlos bereit, das eine Kontrolle darüber ermöglicht, was der Internet Explorer darf, und somit das Surfen individuell an die jeweiligen Bedürfnisse angepasst sicherer machen soll.

Warum den IEController verwenden?

Vor den Gefahren des Internet Explorers haben wir gewarnt. Zwar gibt es auch im Internet Explorer selbst Möglichkeiten, ActiveX abzuschalten, was aber zur Folge hat, dass der diese Technik benötigende Acrobat Reader zur Anzeige von PDF-Dateien im WWW nicht mehr funktioniert. Schaltet man Active Scripting ab, so ist neben dem proprietären und gefährlichen VBScript auch das ungefährlichere und universelle J(ava)Script deaktiviert. Es heißt also hier wie so häufig: ganz oder gar nicht. Der IEController ist ein Programm, das sich in die Kommunikation zwischen Internet Explorer und Windows einschaltet und gezielt bestimmte Dinge wie die Verwendung des Acrobat Readers oder JScript erlaubt (konfigurierbar), andere aber untersagt. Dieses Programm ist für die Internet Explorer-Versionen 5.5 und 6.0 und die Betriebssysteme Windows2000 und WindowsXP geeignet.

Wie arbeitet der IEController?

Der Internet Explorer besteht nicht aus einem Programmblock, sondern ist modular aufgebaut. Bei Bedarf werden die Module in Form von COM-Objekten (Component Object Model) nachgeladen. Der IEController kontrolliert über die Regeln, die man über die Konfiguration anpassen kann, ob ein angefordertes Modul geladen werden darf oder aber eben nicht.

Installation des IEControllers

In der gegenwärtigen Version 1.0 gibt es kein Setup-Programm, sondern man muss das Zip-Archiv iecontroller.zip (Download von www.heise.de/ct/ftp/projekte/iecontroller/ oder aus i:\archiv\iexplorer\iecontroller) in ein beliebiges Verzeichnis entpacken. Von hier wird das Programm jetzt zur Installation, aber auch künftig gestartet. Durch Ausführen der Datei iecontroller.exe wird folgendes Fenster geöffnet:

Zum Abschluss klickt man auf die Schaltfläche "Symbol für Konfiguration anlegen". Dann wird die Konfiguration gespeichert und ein Icon auf dem Desktop abgelegt.


 

Konfiguration des IEControllers

Die Standard-Konfiguration enthält, wie oben zu sehen, nur die Option Standard-Objekte für Internet Explorer, etwas, was man keinesfalls entfernen sollte, da man ansonsten schon beim Aufruf des Browsers vielfach auf "Erlauben" klicken muss, bis der Browser mit seiner Anfangsseite gestartet ist.

Klickt man per Doppelklick auf das erzeugte Icon und hält beim zweiten Klick die Maustaste fest, bis dass das Konfigurationsfenster wieder geöffnet wird, so kann man die Konfiguration nachbearbeiten. Als Empfehlung kann gelten, dass man bis auf VBScript alles aktiviert.

Damit kann der Browser zunächst ohne störende Abfragen starten. Ferner kann man JScript verwenden, während die Lieblingssprache der Viren-Programmierer, VBScript, deaktiviert bleibt. Java kann, sofern installiert, verwendet werden, ebenso die beiden häufig verwendeten Plugins für PDF-Dateien und Flash-Animationen, während ActiveX allgemein verboten ist und somit etwa die Installation eines Dialers unterbleibt.

Leider ist die Konfiguration so zwar als recht sicher zu bezeichnen, aber hat doch einige relevante Einbußen bei den Möglichkeiten zu verzeichnen. So kann man z.B. über das Ordner-Symbol mit dem Stern in der Symbol-Leiste seine Favoriten nicht mehr aufrufen und das Ausdrucken ist nicht mehr möglich. Um hier eine bessere Funktionsweise zu erreichen, ist ein Aufruf der "Experten-Konfiguration" notwendig.

Im oberen Teil kann man mit einer Blacklist bestimmte COM-Objekte sperren bzw. im mittleren Teil mit einer Whitelist weitere COM-Objekte bekanntmachen und erlauben. Dies geschieht durch den Import von Filter-Dateien. Auf der Download-Seite der c't (und in unserem Archiv) werden drei solcher Dateien (in einem Zip-Archiv, das zuerst ausgepackt werden muss) angeboten. Alle drei sollten sinnvollerweise eingebunden werden. Dies geschieht mittels einer der beiden "Importieren"-Schaltfächen. Schließlich erhält man einen Eintrag in der Blacklist und eine Reihe von Einträgen in der Whitelist, mit der nun einige vorher nicht mögliche Funktionalitäten - die oben angesprochenen wie der Aufruf der Favoriten über die Symbol-Leiste sowie das Drucken (Achtung: hier ist Aktivierung von JScript notwendig!) gehören dazu - zur Verfügung stehen.

Einträge aus diesen Listen können zwar nicht mehr gelöscht, wohl aber deaktiviert werden (siehe Aktiv-Spalte). Wählt man per Doppelklick einen Eintrag aus, so wird ein eigenes Fenster geöffnet, in dem es eine Checkbox Aktiv gibt und bei der Whitelist der Status von Erlauben auf Nachfragen geändert werden kann.

Im unteren Teil des Experten-Konfigurations-Fensters kann man noch, wenn man es für notwendig hält, von den (sinnvollen) Voreinstellungen abweichen, die unbekannte COM-Objekte und externe Programme betreffen.

Probleme bei anderem Standardbrowser

Bei der Installation wird der Aufruf des IEControllers mit dem Standard-Browser des Systems verknüpft. Ist der Internet Explorer nicht der Standard-Browser, so muss die Verknüpfung auf dem Desktop (mit rechter Maustaste und Menüpunkt Eigenschaften) nachbearbeitet werden. Liegt der Internet Explorer im Standard-Verzeichnis c:\programme\internet explorer, so ist unter Ziel (mit vollständigem Pfad für den IEController, ansonsten exakt wie angegeben!) Folgendes einzugeben:

IEController -App:c:\progra1\intern1\iexplore.exe

Fazit

Wer den Internet Explorer gewöhnt ist und eine weitgehend sichere und trotzdem einigermaßen komfortable Browserumgebung haben möchte, hat mit dem IEController ein geeignetes Tool zur Verfügung. Dies ist allerdings (zumindest was dem Komfort betrifft) noch nicht ganz ausgereift.

Wir werden den IEController in Zukunft mit oben angesprochener Konfiguration als Standard für den Internet Explorer auf dem Desktop in den PC-Pools anbieten. Wer möchte (oder für manche Seiten vielleicht) muss, kann über die Menüs auch die ungefilterte Version des Internet Explorers aufrufen.

Literatur und Links

Brandel, Bernhard: Finger weg vom Internet Explorer, 2/2002, http://www1.ku-eichstaett.de/urz/inkuerze/2_02/ieoutlook.html

Reimann, Michael: Sicherer Betrieb des Internet Explorers, GWDG Nachrichten 1/2003, http://www.gwdg.de/GWDG-Nachrichten/GN0301/gn0301_04.html#1299092

Withopf, Matthias, und Kossel, Axel: Internet Explorer an die Kette gelegt, c't 1/2003, http://www.heise.de/ct/03/01/086/

Downloadseite des IEControllers: http://www.heise.de/ct/ftp/projekte/iecontroller/


Ansprechpartner im URZ:Zimmer: Telefon: PMail:
Bernhard BrandelIN: HB-204 -1888 bernhard.brandel
Dr. Bernward Tewes EI: eO-106-1667 bernward.tewes