Eine genervte Bemerkung über unklare Installer
Man kann seine Benutzer auch absichtlich verblöden, so wie das Windows-Entwickler tun, mit Setups, die fragen, ob man '8ccb6e.msi' installieren darf oder nicht.
von Andreas am 27. May 2010
twittern
facebooken
Ich behaupte: Wer sich keinen Mist auf den PC installiert, der braucht derzeit kein Antivirenprogramm. Was aber ist Mist? Wie kann der Nicht-Poweruser den erkennen? Ich behaupte zusätzlich: Gar nicht, denn die Windows-Anwender kriegen wenig Chancen dazu, im Gegenteil, alles wird getan, um sie zu verwirren.
Als Beispiel fällt mir seit Wochen immer wieder UAC auf. Die Benutzerkontensteuerung dunkelt bei jedem wichtigen Ereignis den Screen ab und fragt nach, ob man die Änderung auch wirklich will. (Welche Änderung genau, das erfährt man leider nie.) Anders als beim Rohrkrepierer Vista passiert das nicht mehr bei jeder Kleinigkeit, in Windows 7 ist diese Funktion daher auf wie ich finde akzeptable Weise implementiert, denn man ist nicht mehr versucht, sie komplett abzuschalten.
Und doch hat der DAU damit keine Chance, wenn Software-Installationen so aussehen:
8ccb6e.msi installieren oder nicht?
Mal ehrlich: Woher sollen die Nicht-Powerusers dieser Welt wissen, ob sie das zulassen können? Im Fall des hier gezeigten PDF-XChange geht's ja noch, denn da startet man den Installer selber, kann also einen ursächlichen Zusammenhang zwischen Doppelklick einer heruntergeladenen Datei und diesem Screen herstellen.
Ich erinnere mich aber, ähnliche Screens dauernd bei den regelmäßigen automatischen Updates von Java, Flash und ähnlichem Gewürm zu sehen, dort also, wo man vorher NICHT selber auf ein heruntergeladenes Setup doppelgeklickt hat. Da hat man dann die Wahl:
- Nein klicken -> die Sicherheitslücke bleibt (möglicherweise)
- Ja klicken -> richtet (möglicherweise) den Zombie-Bot-Wurm-Trojaner ein
Mit dieser Art von Installationsprozedur bringt eine Benutzerkontensteuerung rein gar nichts. "Irgendwas sagte, ich soll was installieren" -> "Irgendwas fragte, ob ich sicher bin, und ich, ich hab dann OK geklickt" - so was hört man dann, wenn man mal wieder mit dem digitalen Insektizid anrückt... Da muss es doch eine andere Möglichkeit geben!
Und hier noch ein scareware.de-Buchtipp:
736 Seiten rund um Sicherheit, Windows 7, Virenschutz, Backup, Anonymität. Infos hier oder bei Amazon.de: Windows 7 Sicherheit
28. May 2010 um 06:32
Was wäre denn die Alternative? Ein selbstsprechender Name, so dass jede EXE sich mit "Wichtiges Sicherheitsupdate" meldet? Das haben wir schon per Mail. Und obwohl allen Usern immer wieder eingetrichtert wird, dass Sicherheitsupdates niemals per Mail versendet werden, wird weiterhin mit Sicherheit auf das Sicherheitsupdate der Mail geklickt.
2. June 2010 um 16:51
Ja, die Frage ist berechtigt. Meine Antwort: Was mit Java kommt, soll irgendwas mit Java heissen, was den Adobe Reader aktualisiert, soll irgendwas mit Adobe Reader heißen, und deren Websites sollen bitteschön aktuell dokumentieren, was da kommt - Sun VirtualBox kann das ja auch (freilich mit weitaus längeren Updateintervallen).
Dann hat der User wenigstens eine Chance, einen Sinnzusammenhang herzustellen zum Beispiel zwischen dem Start seines Browsers und der Installation einer neuen Version dieses Browsers und seiner Erweiterungen. "Wichtiges Sicherheitsupdate FÜR FLASH" gibt dem User wenigstens die Chance, sich zu fragen: "Moment mal, hab ich das überhaupt? Und warum kommt das plötzlich von extern, warum kommt es nicht wie sonst, wenn Flash startet?" Dann kann der User ablehnen, wenn sich ein Sicherheitsupdate zu allgemein meldet.
Der Acrobat Reader checkt (wenns noch stimmt) soweit ich mich erinnere seine Updates beim Start - das kapiert auch ein DAU, dass ein Acrobat-Update-Hinweis nur dann erscheint, wenn er ein PDF geöffnet hat. Oder?
Oder vielleicht hast Du recht, und es ist einfach *alles* vergebens ;-)