Heiß diskutiert: Anti-Virus-Plugin
2. April 2009 - 19:29 | 
verfasst von:
Blog-Experiment | 
Kommentare: Vor wenigen Tagen hatte ich mich in einem eigenen Artikel dem Thema Sicherheit für WordPress befasst. Darin hatte ich kurz auch das Anti-Virus-Plugin von playground.ebiene.de unter die Lupe genommen.
Nach einem Artikel mit äußerst umstrittener Headline im bekannten Webmagazin “Dr. Web” ist im Anschluss die Diskussion um das Thema neu entflammt. In der Folge gab es auch den ein oder anderen Artikel, der sich dem Thema Sicherheitsplugins nochmals ausführlicher gewidmet hat. So z.B. von Peer Wandinger auf blogprojekt.de.
Ich möchte heute nochmals kurz die Ereignisse und Statements im Dr. Web aus meiner Sicht diskutieren.
a) die Überschrift
… hat insgesamt am meisten Wirbel verursacht. Durch die mögliche Missinterpretation, dass das Plugin eine Gefahr darstellen könnte, gab es verständlicherweise recht heftige Reaktionen. Es lesen eben doch nicht alle nach dem Überfliegen der Headlines tatsächlich auch den kompletten Artikel und könnten so einen falschen Gedanken im Hinterkopf behalten. Dies ist für Entwickler Sergej Müller, der in dieses Plugin einiges an Arbeit gesteckt hat, natürlich sehr unschön. Allerdings sehe ich hier auch den Leser in der Pflicht, nicht einfach nur nach Überschriften zu urteilen, die ja oftmals so kurz und neugierig machend wie möglich gehalten sind, sondern sich selbst nach Lesen des Artikels durch weitere Quellen und Statements ein umfassendes Bild zu machen.
b) stellt das Plugin denn ein Sicherheitsrisiko dar?
Das Plugin an sich sicherlich nicht. Natürlich kann man nie völlig ausschließen, dass irgendwelche Code Bugs und Sicherheitslücken enthalten sein können. Aber dafür gibt es im konkreten Fall keinerlei Anhaltspunkte und das ist auch nicht die Art Sicherheitsrisiko welche in dem Artikel angesprochen wird.
Ein Problem, das ich auch in meiner Betrachtung zur Absicherung von WordPress erwähnt habe, ist dass User sich durch ein Plugin “Anti-Virus” zu sehr in Sicherheit wiegen und denken könnten, dass das Tool ja die ganze Arbeit übernimmt. Dem ist aber nicht so – aber auch das sollte sich durch wahrlich nicht sonderlich aufwändige Recherche in Erfahrung bringen lassen.
Das Problem liegt also – wenn dann – beim User, der sich nicht ausführlich genug informiert, was er denn da überhaupt installiert.
Man sollte durchaus erwarten können, dass sich der Nutzer eines Plugins schon im Vorfeld zumindest ein klein wenig mit dessen Funktionalität auseinandersetzt. Spätestens nach der Installation sollte klar werden, was das Plugin leisten kann und was nicht. Aus meiner Sicht kann man allein dem Namen gewiss nicht die Verantwortung für ein mangelndes Sicherheitsbewusstsein der User übereignen – selbst auch wenn dieser Name angesichts der Funktionalität schon etwas irreführend gewählt ist. Allerdings weiß ich nicht im Detail, was Sergej für die Zukunft noch so alles an Erweiterungen plant.
Ganz unabhängig vom Namen kann ich aber auch hier nur nochmals wiederholen, dass das Plugin meines Erachtens eine gute Erweiterung darstellt. Man muss halt wissen, wie es funktioniert und was es macht.
c) das Fazit des Dr. Web-Artikels
Insgesamt ist der Artikel in meinen Augen aber alles andere als verkehrt. Einige der angesprochenen Sachverhalte haben durchaus ihre Berechtigung, wenngleich ich sie mir weniger pauschal abgehandelt gewünscht hätte. (Daher auch überhaupt erst dieser Artikel.)
Vor allem für die doch folgende sehr unumstößlich wirkende Aussage sehe ich allerdings keine belastbaren Hinweise:
“Der Hype um die Sicherheitslücken von WordPress hat dazu geführt, dass ganz bodenständige Sicherheitsmaßnahmen vollständig ignoriert wurden.” (http://www.drweb.de/magazin/antivirus-wordpress-gefahrenquelle/)
Wenn der Artikel und die anschließende Diskussion erreicht haben, dass sich einige diesen zum Anlass nehmen, etwas nachhaltiger in die Materie einzusteigen, hat der Autor ja fast schon sein Zeil erreicht.
Fazit:
Wer als User meint sich nach der Installation eines Sicherheitsplugins auf die faule Haut legen zu können, hat sich vermutlich nur halbherzig mit der Materie beschäftigt. Das ist aber weniger ein Problem, das hauptsächlich durch solche Plugins ensteht, als vielmehr ein generell Userbedingtes. Insofern kann ich den bei Dr. Web so hergestellten Zusammenhang nur zu einem gewissen Teil nachvollziehen.
Wie ist eure Meinung zu dem Thema?
Schlagwörter: Blogosphäre, Gedankenfluss, Sicherheit
Zuletzt aktualisiert am 2. April 2009
Genau so einen Artikel – in Form und Fassung – habe ich mir von Dr.Web gewünscht – ohne provokante und rufschädigende Überschriften. Herzlichen Dank dafür.
Es gibt Anwendungen bzw. Plugins, die versuchen Dinge vorzubeugen. Und es gibt welche – und da gehört mein AntiVirus für WordPress dazu – die versuchen eine bereits vorhandene Gefahr zu erkennen und eventuell zu beseitigen. Dabei stellt sich für diese Lösung überhaupt keine Frage, wie diese Gefahr erreicht wurde, ob via menschliches oder maschinelles Verschulden. Man lässt keine Gitter an den Hausfenstern installieren, lässt die Tür dann nachts offen und stellt dann die eingebauten Schutzgitter in Frage, warum man dennoch beraubt wurde. Das ist doch selbstverständlich und mit gesundem Menschenverstand nachvollziehbar. Das muss doch jedem klar sein. Ich frage mich, wie überhaupt solche Artikel wie jetzt bei Dr.Web entstehend können? Das Tool soll nicht in Frage gestellt, es soll kostenlos auf der Strasse verteilt werden. Weil es einen Zusatzschutz darstellt – ohne Debatte.
Ich verstehe nicht, was an dem Namen irreführend ist? Viren sind laut Wikipedia Codefragmente, die ungefragt, mit böswilligen Absichten eingeschleust und ausgeführt werden, um sich ggf. zu klonen. Nicht anders ist es bei den Würmer in WordPress – absolut gleicher Muster. Und mein Plugin ist ein Gegenmittel dazu, also AntiVirus. Und warum komische Namen für eine Anwendung erfinden, wenn das Einfache so nah liegt und von jedem verstanden wird (wenn man es nicht hinterfragt und in Frage stellt).
Hallo Sergej,
vielen Dank für deine Ausführungen.
Nochmals der Bezug zum Namen des Plugins: Von den für Betriebssysteme üblichen AntiVirus-Systemen dürften die meisten Anwender gewohnt sein, dass sie das komplette System und nicht nur einen Teilbereich auf Viren überprüfen. Da denkt man zunächst natürlich im Vorfeld an ein sehr umfangreiches Plugin, das eine Menge mehr als Templates berücksichtigt. – Aber du hast ja in deinem Artikel zum Plugin recht gut dargelegt, weshalb du deinen Schwerpunkt nur dorthin legst.
Letztlich repariert das Plugin ja auch keinen Schadcode, sondern weist nur darauf hin. Von einem normalen Virenscanner erwarten aufgrund ihrer bisherigen Praxiserfahrung zumeist aber auch eine Routine, die das System wieder reinigt.
WordPress ist da von natürlich eine ganz andere Umgebung, stimmt schon. Insofern muss der Vergleich tatsächlich eher auf der abstarkteren Begriffsebene stattfinden. So gesehen liegst du mit deiner Namenswahl tatsächlich gar nicht schlecht. – Nur eben für Leute, die nicht völlig tief in der Materie drin stecken, im ersten Moment etwas irreführend, weil diese im Vorfeld noch mehr erwarten dürften.
Mir geht es also hauptsächlich darum, welche Assoziationen der Name “Anti-Virus” beim ersten Hören weckt.
Das ist schon richtig, stimme dir auch zu. Als ich vor der Wahl des Namens stand, hatte ich auch gründlich überlegt. Dann aber dennoch für die Namenbezeichnung “AntiVirus” entschieden, da es treffend und aussagekräftig ist. Würde man einen anderen Namen wählen, gerät man wiederum in Erklärungsnot. Vor allem wird es für Menschen mit einem infizierten Blog schwierig sein das richtige Plugin auf die schnelle zu finden, wenn es anders heißen würde. Und so kennt man den Begriff wirklich aus der Computerwelt.
Leider kann ich das Plugin so nicht erweitern, dass der schädliche Code gleich eliminiert wird, da im Vergleich zum Desktop es sich um produktive Dateien handelt, die im Quelltext nicht ohne Weiteres beschnitten werden dürfen. Daher beschränke ich mich nur auf die farbliche Kennzeichnung der Codezeile und helfe dem Nutzer die entsprechende Datei im WP-Editor zu öffnen – einfacher geht’s aber wirklich kaum.
Glaub mir, ich habe mir vor der Entwicklung intensiv Gedanken gemacht, um eine Balance zwischen Sicherheit, Nutzerfreundlichkeit und dem Nutzwert der Anwendung herzustellen. Und die Produktentwicklung ist noch längst nicht abgeschlossen (solange mir die Motivation nicht genommen wird).
Gute Nacht.
[...] Links konnte ich letztlich auch die meisten Besucher auf meinen Blog aufmerksam machen. Gerade die Diskussion um das Anti-Virus-Plugin von Sergej Müller mit dem verbundenen Trackback auf dem sehr bekannten Portal Dr. Web war recht Besucherstark. Obwohl [...]