Anzeige
Smartes Cloud Hosting für anspruchsvolle Projekte.
↬ Loslegen und Spaces testen ↬ Jetzt testen!
Dieter Petereit 20. November 2008

Adobe AIR und die vermeintliche Sicherheitsproblematik

Kein Beitragsbild

Unsere Eltern haben uns gelehrt, ehrlich zu sein. Und in unserer Kindheit waren wir das doch zumeist auch. Bis wir feststellen mussten, dass all zu offene Ehrlichkeit nicht nur Vorteile bringt. So verlegten wir uns kollektiv darauf, so ehrlich wie erforderlich zu sein. Schließlich will man niemandem durch Offenheit wehtun oder gar jemanden erschrecken. Adobes AIR-Entwickler haben diese Stufe der Sozialisation offenbar noch vor sich…

Wix Webseiten — echt superpraktisch. ↬ Mehr erfahren

In einem früheren Beitrag schrieb ich zu AIR-Tools, die man haben muss oder eben nicht. In den Kommentaren meldete sich ein verunsicherter User zu Wort und fragte, ob es denn richtig sein könne, dass AIR unbeschränkten Systemzugriff für sich reklamiere. Da die Frage berechtigt ist, die daraus folgende potenzielle Ablehnung von AIR jedoch nicht, möchte ich in der gebotenen Länge, aber doch in aller Kürze etwas zur Aufklärung beitragen.

Anzeige

Schauen wir uns zuvor aber kurz die wahrlich erschreckend bedrohliche Systemmeldung an, die geeignet ist, AIR in Deutschland das Wasser abzugraben:

Knallrot auf Anthrazit prangen uns zwei beunruhigende Statements entgegen

Erstens ist der Veröffentlicher UNBEKANNT. Huch! Will uns da jemand Spam oder Schlimmeres unterjubeln? Wer ist dieser Veröffentlicher und warum ist er unbekannt, wo er doch angeblich die Software Tweetdeck geschraubt hat.

Die Antwort ist unspektakulär. Will der Softwareautor vermeiden, als unbekannt ausgewiesen zu werden, ist er gezwungen, ein Identity Certificate, zum Beispiel bei Thawte, zu erwerben, was ihm jährliche Kosten von rund 300 USD verursacht. Verständlich, dass der durchschnittliche FreewAIR-Programmierer diesen Aufwand nicht betreiben will. Ein Risiko für den Nutzer liegt darin grundsätzlich nicht. Schließlich hat er die AIR-Applikation ja von irgendwo herunter geladen. Und, wenn dieses „Irgendwo“ der AIR-Marketplace war oder die Homepage des Entwicklers, dann darf man diese Warnung ruhigen Gewissens übersehen.

So vorgeschüttelt muss man dann auch noch ertragen auf UNEINGESCHRÄNKTEN Systemzugriff der Applikation hingewiesen zu werden. Kaum zu glauben, dass diese Warnung noch unbeachtlicher als die erste ist. Dies jedenfalls dann, wenn man die erste qualifiziert ignorieren kann.

Tatsächlich bedeutet der Hinweis auf den uneingeschränkten Systemzugriff lediglich, dass AIR wie JEDE andere Desktop-Anwendung, aber ANDERS als eine Browser-Instanz auf das System, in erster Linie auf das Dateisystem zugreifen kann, um beispielsweise Dateien anzulegen und/oder zu verändern. Da AIR eine Zwitterstellung zwischen Desktop- und Browser-Anwendung einnimmt, hielten die AIR-Entwickler diese an sich unnötige Ehrlichkeit für geboten.

Selbstverständlich hat AIR nur insoweit Systemzugriff, als es die Benutzerrechte, sowie sonstige Einstellungen, wie Firewall etc. erlauben. Uneingeschränkt ist daher der falsche Begriff und nur insofern korrekt, als das AIR-Framework selber den Zugriff nicht beschränkt. Hierzu ist es im derzeitigen Entwicklungsstadium auch gar nicht in der Lage, was aber, wie gesagt, keinen wirklichen Nachteil darstellt, weil AIR-Apps lediglich die gleichen Zugriffsmöglichkeiten haben, wie etwaige andere Software, die Sie sich auf Ihren Rechner ziehen.

Zwar ist demnach die Sorge unnötig, die Kritik an Adobe aber durchaus berechtigt. Nicht wenige Entwickler finden harsche Worte, um diese unnötige und kontraproduktive Offenheit Adobes zu kritisieren. Meine Lieblingscharakterisierung stammt von rob A, der meint, die Warnung vor uneingeschränktem Systemzugriff sei ein „half-arsed effort which pleases nobody except the person whose brainchild it was“. Schön gesagt, wie ich finde…

Fazit: „Trau, schau wem“ gilt auch bei AIR. Es bietet seinen Apps aber keine weitergehenden Systemrechte, als andere Anwendungen auf Ihrem Rechner auch haben. ™

Dieter Petereit

Dieter Petereit

ist seit 1994 im Netz unterwegs, aber bereits seit über 30 Jahren in der IT daheim. Seit Anfang des neuen Jahrtausends schreibt er für diverse Medien, hauptsächlich zu den Themenfeldern Technik und Design.

10 Kommentare

  1. „Adobe AIR – Sicherheitsfachleute sehen neue Basis für Malware aller Art“
    Bildet euch eure eigene Meinung:
    pcwelt.de/start/sicherheit/sicherheitsluecken/news/148823/adobe_air_schoen_bunt_und_gefaehrlich/

  2. @Wolfgang: Borderliner?

  3. Wie wäre es die Artikel mal etwas professionieller zu schreiben und bei Worten wie UNEINGESCHRÄNKTEN oder JEDE das Caps-Lock auszuschalten.

    Macht sonst irgendwie den Eindruck drweb driftet ab in die Kiddie „alles ist schlimm weil der Geheimdienst dahinter steckt“ Szene. Hoffe Qualitätsmanagement ist auch Bestandteil des neuen Layouts und WordPress Variante.

    Persönlich überlege ich das Abo zu bestellen, leider schrecken mich solche Sachen ab.

    Ansonsten vielen dank für den Artikel, die Information ist super, lediglich das Layout dafür ist fragwürdig :-)

    LG

  4. @Karl: Ich versuche es noch einmal in ganz kurz: Eine AIR-Anwendung hat nicht mehr und nicht weniger Rechte als jede andere Anwendung, die sich auf Deinem Rechner befindet. Unabhängig davon wie Adobe das nennt!

    Was die Formulierungen mit „in den Himmel heben“ und „Jubel“ implizieren sollen, kann ich zwar verstehen, jedoch erkenne ich nicht, an welcher Stelle ich dafür Anlass geboten hätte.

  5. „Tatsächlich bedeutet der Hinweis auf den uneingeschränkten Systemzugriff lediglich, dass AIR wie JEDE andere Desktop-Anwendung, aber ANDERS als eine Browser-Instanz auf das System, in erster Linie auf das Dateisystem zugreifen kann, um beispielsweise Dateien anzulegen und/oder zu verändern.“

    Ich halte diese Schlussfolgerung für falsch oder zumindest diese Formulierung. Bei Windows (auch bei Linux und sicher auch beim Mac) ist es ohne Probleme möglich, ohne unbeschränkten Systemzugriff auf das Dateisystem zuzugreifen.

    Insofern verstehe ich jetzt noch immer nicht, warum AIR *unbeschränkten* Systemzugriff benötigt. Und warum das unbedenklich sein soll, verstehe ich erst recht nicht.

    Und die Argumentation „die sind wenigstens ehrlich“ kann ich auch nicht nachvollziehen. Erstens ist Ehrlichkeit kein Bonus (sollte IMHO so sein), sondern eine Grundvoraussetzung dafür, dass ich jemandem vertraue. Insofern sehe ich keinen Grund zum Jubel. Zweitens würde auch ohne diese Ehrlichkeit die scheinbare Notwendigkeit des vollen Systemzugriffs auffallen, denn vernünftig konfigurierte Systeme fordern dafür zwingend die Bestätigung des Nutzers an.

    Verstehe nicht ganz, warum hier AIR jetzt deswegen weiter so in den Himmel gehoben wird.

  6. Diese Luft-Nummern kommen mir nicht auf den Rechner – ich wüßte auch nicht wozu. Bei dem Ursprungsartikel war nichts dabei dass ich nicht besser als Offline-Program habe – und im Ernst: Wer braucht schon Twitter? Ich arbeite schließlich, und muss nicht dauern irgendwelchen Leuten erzählen was tun würde, wenn ich nicht Twittern müsste…

    Air fällt für mich in die ebenso offensichtlich nutzlosen Dinge wie Google Gears oder Silverlight (ja, ich weiß, flamed mich ruhig zu).

  7. Volle Zugriffsrechte, aber nur im Rahmen des angemeldeten Benutzerkontos. Soviel Differenzierung muss sein!

  8. na super, damit werden die user wieder darauf getrimmt, allen möglichen programmen volle zugriffsrechte zu übertragen, weil das ja in ordnung ist. und in kürze klickt er dann immer ungeprüft auf „Installieren“. gelernt ist gelernt :-(

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.