JavaScript & PDF. Sicher oder nicht?

Ein Acrobat PDF und JavaScript sind zwei Komponenten, die auf eine hervorragende Weise zusammenarbeiten können. Die Programmiersprache ist in Acrobat integriert. Mit Hilfe von JavaScript können Interaktionen innerhalb des PDF-Dokuments ausgelöst werden. Auch aufwändige Berechnungen oder Abfragen können problemlos realisiert werden. Ein riesiger Vorteil im Formularmanagement. Dadurch ist man in der Lage, ohne ein weiteres Backend, ein vollständig autarkes digitales Frontend zu benutzen. Notfalls auch offline.

Warum JavaScript

JavaScript ist nützlich und sehr leistungsfähig. JavaScript liefert Funktionsmöglichkeiten, die heute gang und gäbe sind. Praktisch jeder interaktive, mit umfassender Funktionalität ausgestattete Content basiert auf JavaScript.

Aber aufgrund seiner Leistungsfähigkeit und der weiten Verbreitung stellt JavaScript ein enormes Sicherheitsrisiko dar. Böswillige JavaScript-Programme können einen beträchtlichen Schaden anrichten.

Solche Codes können natürlich auch über ein PDF-Dokument eingeschleust werden.

Was bedeutet Sicherheit?

Aber bevor Sie nun in Panik ausbrechen, werden wir der Begriff „Sicherheit im PDF" nüchtern in zwei allgemeinen Kontexten betrachten. Denn wir unterscheiden zwischen Inhaltssicherheit und Anwendungssicherheit.

Für die Inhaltssicherheit muss die Integrität des PDF-Inhalts mit Produktfunktionen gesichert werden. Diese Funktionen schützen gegen unerwünschte Änderungen von PDF-Dateien, halten wichtige Daten privat und verhindern das Drucken von PDF-Dateien usw..

Ein verwandtes Objekt ist beispielsweise die digitale Unterschrift, mit der die Identität von Absendern und Empfängern der PDF-Datei sichergestellt wird. Einmal eine digitale Unterschrift eingesetzt, ist das PDF-Dokument inhaltlich nicht mehr zu ändern. Ein fremder Code kann dann nicht mehr eingefügt werden.

Für die Anwendungssicherheit passt man die Sicherheitsfunktionen an, um Acrobat und Reader gegen Schwachstellen, böswillige Attacken und andere Risiken zu schützen. Bei einer Sache stellt Adobe automatisch eine kleine Anwendungssicherheit her: Bei der Installation von Acrobat muss explizit die Funktion „JavaScript" aktiviert werden. Ansonsten funktionieren keine inhaltlich verwendeten JavaScript-Programmierungen. Fortgeschrittene Benutzer können die Anwendung über die Benutzeroberfläche anpassen. Unternehmensadministratoren können auch die Registrierung konfigurieren.

Quelle? Absender? Datenformat?

Natürlich spielt auch der gesunde Menschenverstand eine große Rolle. Denn zur Anwendungssicherheit gehört in erster Linie der Anwender. Der beste Schutz bringt Ihnen nichts, wenn Sie Dateien öffnen, deren Quelle Sie nicht kennen. Das gilt übrigens für alle Dateien. Nicht nur PDFs. Wer ist der Anwender? Wie lautet der Dateiname? Vielleicht sich auch mal angewöhnen, nicht auf alles zu klicken, was man im Postfach findet. Immer kritisch sein, aber entspannt bleiben.

Hoch kriminell ist allerdings die Version, wenn sich ein JavaScript-Programm mit dem Suffix eines PDFs tarnt. Beispielsweise „Formular.pdf.js". Unter Windows ist das schwer zu erkennen. Das hat dann nichts mehr mit Acrobat zu tun. Ein Klick darauf und es wir ein eigenständiges Programm gestartet. Das ist nur hinterhältig.

„Im Interesse der Lesbarkeit haben wir auf geschlechtsbezogene Formulierungen verzichtet. Selbstverständlich sind immer Frauen und Männer gemeint, auch wenn explizit nur eines der Geschlechter angesprochen wird.“

Bildquelle: Tiny people vector created by pch.vector – www.freepik.com, modified by Typo Art, Texte teilweise aus Adobe Acrobat Benutzerhandbuch übernommen.
#Acrobat, #Adobe, #JavaScript, #Formular, #Sicherheit, #Windows, #Programmierung, #Schwachstellen, #kriminell, #MacOS,