Airbags und Schlangenöl

Veröffentlicht am 23. November 2013 von Elias

Dieser Text ist aus einem Kommentar für »Unser täglich Spam« entstanden, der es in meinen Augen wert ist, hervorgehoben zu werden.

Ein im Auto eingebauter Airbag kann nicht die Vorsicht im Straßenverkehr ersetzen. Er kann nicht einmal den Unfalltod verhindern, nur unwahrscheinlicher machen.

Jeder, der die Behauptung aufstellte, dass ein Airbag ein Ersatz für Vorsicht und ein wirksamer allgemeiner Schutz gegen den Unfalltod ist, würde hoffentlich von jedem Inhaber eines handelsüblichen Gehirnes ausgelacht; und wenn er andere mit rhetorischen Tricks und der ausgewieften »Psychologie« eines Werbers von dieser Behauptung überzeugen wollte, würde er als gefährlicher Irrer angesehen.

Was Antivirus-Software betrifft, ist dieser für den davon Betroffenen und überdem für andere Menschen gefährliche Irrsinn die Regel.

Natürlich hinkt der Vergleich.

Denn ein Airbag unterscheidet sich in drei Punkten vom Antivirus-Programm.

Erstens ist der Schaden durch eine Übernahme eines Computers durch eine Schadsoftware nicht ganz so unumkehrbar. Im schlimmsten Fall gibt es ein bis zwei Jahre unerfreulichen Schriftverkehr mit Banken, Rechtsanwälten, Staatsanwälten, man lernt ein paar Untersuchungsrichter kennen, denen man seine Geschichte erzählt und man hat am Ende einen finanziellen Schaden von einigen tausend Euro, weil die eigene Identität, ein paar Accounts und die Internetleitung für betrügerische Geschäfte aller Art, Sabotage durch DDoS-Attacken, die Verbreitung illegaler Pornografie und manipuliertes Online-Banking missbraucht wurden. Das ist ziemlich scheiße, aber es ist deutlich verschmerzbarer als der Tod.

Zweitens ist beim Airbag die technische Funktion auch für Laien völlig klar und verständlich. Bei der plötzlichen Abbremsung des Autos durch einen Aufprall wird ein Luftkissen in Lenkradhöhe binnen drei hundertstel Sekunden mit Druckluft gefüllt, um gefährliche, oft tödliche Kopfverletzungen zu reduzieren. Es ist möglich, die genaue Funktion zu spezifizieren, und der dadurch gegebene Zuwachs an Sicherheit ist quantifizierbar und einer vernünftigen Untersuchung zugänglich. Es ist ja auch nicht so, dass sich ein Airbag manchmal »einfach nur so« öffnet, sondern es ist völlig klar, bei welcher physikalischen Einwirkung er aktiviert werden sollte. Nichts davon gilt äquivalent für Antivirus-Software.

Und drittens ist es nicht so, dass der Einbau eines Airbags einem Auto irgendwie schadet, zu nennenswerten zusätzlichem Spritverbrauch führt oder gar dazu führen kann, dass das Auto auf einmal gar nicht mehr funktioniert. Antivirus-Software hingegen reißt nennenswerte Ressourcen des Computers an sich, führt durch ständig laufende, aufwändige Hintergrundprozesse zu einem höheren Energieverbrauch (wie hoch ist wohl die zusätzliche Treibhausgas-Belastung durch Antivirus-Programme?) und hat in der Vergangenheit immer wieder einmal dazu geführt, dass Komponenten des Betriebssystems als Schadsoftware erkannt wurden, so dass der Rechner nicht mehr funktionierte – und wenn es nicht ganz so schlimm kam, dann wurden immer wieder einmal zu Unrecht harmlose Websites als angebliche Schadsoftware-Schleudern blockiert oder TCP/IP funktionierte mal nicht mehr. Letzteres ist ja in der Tat ein ganz wirksamer Schutz, fast so wirksam wie eine Enthauptung gegen Kopfschmerz…

Das ist eben der Unterschied zwischen quantifizierbarer, erklärbarer und untersuchbarer Sicherheit und einer eher psychologischen »gefühlten Sicherheit«, mit der man Software verkaufen will.

Ich müsste zu diesem Thema eigentlich viel mehr schreiben, aber schon diese Kürze macht hoffentlich fühlbar, warum ich ein gewisses Urteil über diese Gattung Software fälle und Antivirus-Programme zugegebenermaßen unsachlich als »Schlangenöl« bezeichne. Meine Unsachlichkeit ist nichts weiter als meine zunehmende Genervtheit über eine Dummheit, die durch verdummende Reklame und eine dümmliche Presse vorangetrieben wird.

Wenn die nicht näher quantifizierbare »teilweise« oder »zusätzliche« Sicherheit der Antivirus-Software zur »eigentlichen Computersicherheit« erhoben und immer wieder als ganz wichtig und wesentlich dargestellt wird; wenn naive, technisch nicht ganz so kenntnisreiche Anwender durch diese mediale und werbende Präsentation dazu verleitet werden, sorg- und gedankenlos zu werden und sich auf den Zauber unverstandener (und zu allem Überfluss: geheimgehaltener) Methoden zu verlassen – tja, dann ist dieses technoquacksalberische Schlangenöl tatsächlich ein Beitrag dazu, dass sich das »Geschäft« der organisierten Kriminalität im Internet auch in zehn Jahren noch lohnen wird. Und damit sich das auch wirklich niemals ändern kann, kommt hinzu, dass das funktionierende »Geschäft« der organisierten Internet-Kriminalität gleichzeitig das von Angst und Unkenntnis vieler Menschen angetriebene Geschäft der Antivirus-Unternehmen ist.

Denn alle diese Unternehmen wären ziemlich schnell bankrott, wenn den Menschen sichere Software und sichere Betriebssysteme zur Verfügung stünden – und wenn die Menschen alle wüssten, wie man sich selbst vor Angriffen mit Schadsoftware schützen kann.

Das, was alle diese Unternehmen zu bekämpfen vorgeben, ist nicht mehr und nicht weniger als die Grundlage ihres Reibachs. Kein Wunder, dass die Ergebnisse so bescheiden sind.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | 9 Kommentare

Dialoge, die das Internet schrieb

Veröffentlicht am 13. November 2013 von Elias

Ich bin eher unwillig, etwas dazu zu schreiben. Zu dieser Idee von Google, dass man für Kommentare auf YouTube nun kein YouTube-Konto mehr, sondern ein Google-Plus-Konto benötigt. Zu den arschlochhaft verschleiernden Texten, mit denen eine derartige Zwangsumstellung den bestehenden YouTube-Nutzern wie eine eigene Entscheidung untergejubelt werden soll, kein Wort mehr. Aber ich schreibe trotzdem etwas dazu – in Form eines Dialoges zwischen Norbert Nutzer, im Folgenden kurz einfach N. N. genannt, und Nero Claudius Caesar Augustus Googleicus, im folgenden kurz einfach Nero »Google« genannt. Wer die auffällig in der Satire verstreuten Wahrheiten findet, möge sie weitergeben! Wer die in den Wahrheiten versteckte Realsatire findet, möge herzhaft darüber lachen! Google-Accounts kann man übrigens löschen…

Norbert Nutzer: Oh, hoher Herr, schön, einmal bei ihnen vorsprechen zu dürfen.

Nero Claudius Caesar Augustus Googleicus: Was ist dein Begehr, Nutzer?

N. N.: Ich möchte wieder dieses YouTube nutzen können, das sie zerstört haben.

Google: Aber das ist doch nicht zerstört, du kannst doch weiterhin wie gewohnt Videos anschauen.

N. N.: Ja schon, aber ich kann sie nicht mehr kommentieren.

Google: Doch, du kannst natürlich auch kommentieren. Das habe ich gerade erst neu aufgebaut, und es funktioniert.

N. N.: Aber warum haben sie es neu aufgebaut? Es hat doch vorher auch funktioniert. Wenn ich mit meinem YouTube-Account angemeldet war, hatte ich ein Eingabefeld. Dort konnte ich meine Anmerkungen, Fragen, Wünsche, Ideen und Widersprüche zum Video loswerden. Dann habe ich den Text abgeschickt, und er wurde zusammen mit anderen Kommentaren sichtbar.

Google: Aber Nutzer, das kannst du doch immer noch tun.

N. N.: Nein, Erhabener Herrscher der Webdienste, das kann ich jetzt nicht mehr. Wenn ich jetzt in das Feld zum Kommentieren klicke, erscheint ein Dialog, der mich fragt, ob ich weiterhin meinen YouTube-Namen oder lieber meinen Google-Namen benutzen will, um die vorher stets freigeschaltete Kommentarfunktion freizuschalten. Und wenn ich darin auswähle, dass ich weiterhin meinen YouTube-Namen verwenden will, erscheint ein weißes Fenster, das ich mit einem »X« wegklicken kann*, und dann wird mir in einem grün hinterlegten Feld gesagt, dass ich später noch einmal daran erinnert werde.

Google: Das liegt daran, dass du deinen YouTube-Namen verwenden willst. Würdest du deinen Google-Namen verwenden, könntest du nach einer kurzen Konfiguration gleich wieder kommentieren.

N. N.: Aber Google, wenn ich »meinen« Google-Namen verwenden will, wird mir – was übrigens nirgends in deinem gnädig eingeblendeten Dialog deutlich wird – ein Account bei Google Plus eingerichtet, den ich dann zum Kommentieren verwenden kann. Ich will aber keinen Account bei Google Plus.

Google: Dann kannst du eben nicht mehr kommentieren.

N. N.: Aber es ging doch vorher, und zwar einfach und problemlos.

Google: Ich habe ein Dekret erlassen, dass jeder, der einen von mir angebotenen Webdienst verwendet, automatisch auch einen Account bei Google Plus bekommt. Dieses Dekret gilt auch für dich, Nutzer. Und das Vergangene ist vor allem vergangen.

N. N.: Aber warum werfen sie ein funktionierendes Kommentarsystem einfach so weg? Die Menschen haben sich daran gewöhnt. Sie haben es genutzt. Es hat ihnen genützt. Es war gut, wie es war.

Google: Das wirst du nicht verstehen. Angehende Weltherrscher haben dunkle Geheimnisse.

N. N.: Versuch sie es mir einfach zu erklären, Erhabener, vielleicht verstehe ich wenigstens etwas.

Google: Kannst du dich noch erinnern, wie ich im Sommer 2011 Google Plus eingeführt habe? Wie ich einen »geschlossenen Betatest« veranstaltet habe, der so geschlossen war, dass die ganze Presse darüber berichtet hat und dass jeder an eine Einladung kam? Ich habe wirklich alles getan, um viel Aufmerksamkeit wie möglich für Google Plus zu bekommen, und ich habe diese Anstrengungen in der ganzen Zeit nicht nachgelassen. Ich habe Leuten werksseitig eine App in ihr Handy installiert, die sie nicht löschen können. Ich habe normale Reklame dafür gemacht. Und trotzdem ist Google Plus – gemessen an meinen Erwartungen – ein Flop, ein brachliegendes Angebot. Da habe ich mir gesagt, so wahr ich Nero Claudius Caesar Augustus Googleicus bin, wenn sie mein Google Plus nicht freiwillig wollen, dann zwinge ich es ihnen so oft auf, wie es nur möglich ist. Zum Beispiel jetzt bei YouTube. Nun wird aus jedem YouTube-Kommentar ein Ereignis bei Google Plus. So kann ich den Menschen, die meine Schlacht um die Vorherrschaft im Web finanzieren, Zahlen präsentieren; Erfolge, die sie überzeugen. Und ich kann meine eigenen Pläne vorantreiben.

N. N.: Aber Google, ist es nicht ein bisschen unfair, wenn sie die Videos anderer Leute als Köder für ihre persönlichen Pläne zu verwenden?

Google: Herrschaft ist unfair, Nutzer. Was die Gladiatoren tun, die in meinen Zirkus sind, das bestimme ich. Den meisten Menschen ist es eh gleichgültig, so lange sie beim Zuschauen nur gut unterhalten sind. Du bist Nutzer. Der Hund wedelt mit dem Schwanze, und nicht der Schwanz mit dem Hunde. Und jetzt mach deine tiefe Verbeugung und leg dir deinen Google-Plus-Account an, damit du wieder kommentieren kannst!

Norbert Nutzer macht seine tiefe Verbeugung, stellt sich in einer keck aufkommenden Phantasie vor, wie er dem Kaiser in die Krone kackt und tritt ab. Zurück bleibt Nero Claudius Caesar Augustus Googleicus, umgeben von der obszön glimmenden Glorie seiner Selbstherrlichkeit. Er singt, begleitet von den rauschenden Platten seiner Datacenter, im monotonen Sang Zahlen vor sich hin und entwirft dazu zusammen mit einem Stab von Geheimdienstmitarbeitern, Großaktionären und sonstigen Arschlöchern auf geduldigen Reißbrettern das neue Internet nach seinen Vorstellungen. Im Hintergrund brennt verblüffend langsam das alte Web ab. Eine täglich größer werdende Anzahl von Idioten wärmt sich an den Flammen und freut sich. Vorhang.

*Warnung: Der Link führt zu Google. JavaScript ist erforderlich.

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , , , , | 11 Kommentare

WordPress 3.7: Die skurrile Sicherheitsfunktion

Veröffentlicht am 25. Oktober 2013 von Elias

Ich finde es übrigens nett, dass sich die WordPress-Entwickler so sehr um die Sicherheit von WordPress-Installationen kümmern. Sie geben jetzt ab der Version 3.7 sogar einen kostenlosen Hinweis, wenn man eine unsichere Installation hat, formulieren diesen allerdings in einer sehr skurrilen Art und Weise.

Wenn man im Dashboard unter Aktualisierungen den Text »Künftige Sicherheitsupdates werden automatisch durchgeführt« lesen kann, weiß man, dass mit den Zugriffsrechten des Webservers im Datensystem der WordPress-Intallation beliebig Dateien der WordPress-Installation manipuliert werden können. Darüber freut sich jeder Angreifer, der es über irgendeine Lücke schafft, Code mit den Rechten des Webservers auszuführen – denn was könnte schöner sein, als den Schadcode oder die Backdoor direkt in die Installation einer Software unterzubringen. Und irgendeine Lücke findet sich immer, oft schon im WordPress-Kern, noch öfter in irgendwelchen naiv (oder wirklich schlecht) programmierten Plugins oder Themes.

Wer sein WordPress auf 3.7 geupdatet hat und die Meldung liest, dass sich WordPress nun automatisch die Updates holt, sollte unbedingt und so schnell wie möglich die Zugriffsrechte für alle Dateien der Installation so setzen, dass der Webserver nur lesend darauf zugreifen kann. (Die einzige Ausnahme ist das Upload-Verzeichnis wp-content/uploads, dort muss der Webserver auch schreiben können. Hier kann und sollte man allerdings über eine .htaccess die Ausführung von PHP- und sonstigen Skriptcode unterbinden.) Alles andere macht es einem eventuellen späteren Angreifer sehr einfach. Die Angriffe werden natürlich nicht aus persönlichen Gründen vorgetragen, sondern es werden skriptgesteuert große Teile des Webs auf Schwächen durchprobiert, deshalb sage sich niemand so etwas wie »Mein kleines Blog interessiert doch eh niemanden, wer soll das also hacken«! Spätestens, wenn es für den Spamversand, für Phishing, für Sabotage, für irgendeinen Betrug, für die Verbreitung von Kinderpornografie oder andere kriminelle Aktivitäten von irgendwelchen Löchern missbraucht wurde, interessiert sich jemand für das kleine Blog, und dieser jemand ist die Staatsanwaltschaft, die gegen den Betreiber eines kleinen, uninteressanten Blogs ermittelt – oder auch mal die Anwaltskanzlei eines Rechteverwerters, wenn der Webspace für Urheberrechtsverletzungen… ähm… genutzt wird. Der Hack kann also schnell lästig und sogar teuer werden.

Insofern ist das »Sicherheitsfeature« einer automatischen WordPress-Aktualisierung ja wirklich ein Beitrag zur Erhöhung der Sicherheit. Ein Blog, in dessen Installation Zugriffsrechte so restriktiv vergeben wurden, dass dieses Feature nicht mehr funktionieren kann, ist viel sicherer vor Angriffen – und der einzige Mehraufwand, den man bei diesem Maß an Sicherheit hat, ist, dass man hin und wieder von Hand die Installation aktualisieren muss und dafür ein FTP-Passwort angeben muss, damit WordPress an die benötigten Zugriffsrechte kommt…

Dass hingegen ein vollautomatisches Aktualisieren einer Web-Anwendung die Sicherheit dieser Web-Anwendung verbessern könne, ist ein von buntem Feenstaub durchhauchtes Märchen, das man nur Dummen, Unwissenden und Tagträumern erzählen kann. Ich befürchte allerdings, von denen gibt es unter den WordPress-Nutzern eine ganze Menge. Und diese freuen sich jetzt vermutlich sogar darüber, dass sie sich mit einer unsicheren Installation ihres Blogsystems sicherer fühlen

Gruß auch an die WordPress-Entwickler mit ihrer moppeligen Bloatware und ihren kranken Beglückungsideen!

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | 2 Kommentare

Das GUI-Pendel schwingt durch die Jahre

Veröffentlicht am 15. Oktober 2013 von Elias

Ob ich Wischofone sehe, »moderne« Linux-Distributionen oder einige große, kommerzielle Websites aus der zweiten Reihe: Der eher dunkle Farbverlauf als Designelement für Benutzerschnittstellen und Websites ist wieder zurückgekommen; möglichst großflächig und mit Texten in heller Schrift.

Es erscheint mir gar nicht so unwahrscheinlich, dass daraus wieder ein größerer Trend wird, zumal ja zurzeit alles von den Händis kopiert wird – ganz ähnlich, wie am Ende der Neunziger Jahre und in der ersten Hälfte der Nuller Jahre das Aussehen der Benutzerschnittstelle außerordentlich vieler Desktop-Anwendungen von den Darstellungen im Webbrowser »inspiriert« wurde, vermutlich, weil Microsoft aus heute nicht mehr nachvollziehbaren Gründen die Darstellung einer Seite im Webbrowser für den Inbegriff einer guten Benutzerführung hielt.

Ob wohl um 2016 herum wieder dreidimensionale Kennzeichnungen von Buttons und anderen klickbaren Elementen in Mode kommen? Ob die jetzigen flachen Rechteckte oder das Verstecken der Klickbarkeit nach dem Vorbild eines lediglich andersfarbig ausgezeichneten HTML-Links wohl wieder verschwinden werden, um »den Anwender nicht zu verwirren« und die »Bedienmöglichkeiten klar auszuzeichen«?

Ob dann wohl um 2020 herum eine neue Generation von selbsternannten Ergonomie-Päpsten ihre Scheingedanken äußern wird, dass dunkle Schrift auf hellem Hintergrund doch besser lesbar ist? Ob der Hintergrund dann überall wieder hell wird? Und ob wieder PR-Idioten und Sprechepresser erklären werden, dass sich dadurch das »Benutzererlebnis« verbessere, weil die schlechtklingende wörtliche Übelsetzung von »user experience« unter den weitgehend enthirnten PR-Menschstummeln leider länger in Mode bleibt als jeder Trend zur Vereinheitlichung der Computerbedienung?

Und ob dann schließlich wohl um 2024 herum die Design-Revolution der »neuen« Eleganz in weitgehender Schlichtheit kommen wird: Weißer (oder sehr hellgrauer) Hintergrund mit schwarzer Schrift und eine klare Gestaltung, die auf jeden optischen »Ballast« verzichtet, bis man zuletzt klickbare Elemente in einer Benutzerschnittstelle in vielen Fällen wieder eher zufällig findet?

Und dann nochmal von vorn?

Es würde mich nicht wundern, die Menschen sind eben so dumm… :mrgreen:

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , , | 4 Kommentare

WordPress: Eine Hölle aus alten Versionen

Veröffentlicht am 27. September 2013 von Elias

Wozu führen massenhaft unsichere WordPress-Installationen in einem Web, das von der organisierten Internet-Kriminalität der Zehner Jahre geprägt ist? Zu einem Botnetz aus gepwnten WordPress-Installationen, und zwar auch bei namhaften Institutionen.

Problematisch sei, so das Anti-Botnetz-Beratungszentrum, dass momentan nur rund 18 Prozent der Top 1 Million WordPress-Blogs die aktuelle Version nutzen

Ja, das ist problematisch.

Es ist allerdings einen Blick wert, zu analysieren, woher dieses Problem kommt: Warum kommen Menschen auf die Idee, einer im Dashbord nach jedem Login sichtbaren Aufforderung zu einem Upgrade ihrer WordPress-Installation nicht zu folgen? Obwohl dieser Upgrade in den gegenwärtigen Versionen so einfach wie ein Klick und die anschließende Eingabe eines FTP- oder SFTP-Passwortes ist?

Meiner Meinung nach liegt diese Scheu vieler Nutzer vor Upgrades – die sich bemerkenswerterweise ausgerechnet unter den beliebtesten und damit auch für ihre Betreiber wichtigen Blogs so deutlich zeigt, dass in fast vier Fünfteln der Installationen ein veralteter Versionsstand vorliegt – auch an der Vorgehensweise der WordPress-Entwickler: Zwar wird das Kernsystem von WordPress mit jeder Version aufgeblähter, aber die große Mehrzahl der Features ist aus Nutzersicht schlicht nutzlos, so dass es zu dem Urteil kommt, dass der Upgrade selbst nutzlos ist. Behobene sicherheitskritische Fehler werden schließlich von keinem »normalen« Benutzer bemerkt; die Auflistungen von bearbeiteten Tickets im Bugtracker von WordPress werden nur von technisch interessierteren Menschen überflogen. Was als Eindruck beim durchschnittlich denkenden Nutzer ohne technische Ambitionen verbleibt, ist »Dieses Upgrade kann ich mir schenken, es bringt mir keinen Vorteil, und wenn ich es mir erspare, kann es auch nicht schiefgehen und mir eine Downtime und eventuell stundenlange Nacharbeit bescheren«.

Denn ein WordPress-Upgrade kann schiefgehen. Das liegt daran, dass beim Upgrade sehr häufig Probleme mit installierten Plugins auftreten, die mit der neuen Version nicht mehr richtig arbeiten, gar nicht mehr arbeiten oder gar so schwere Fehler verursachen, dass eine leere weiße Seite (oder auf schlechten PHP-Installationen: eine PHP-Fehlermeldung, die Details der Installation verrät) an die Stelle des Blogs tritt.

Natürlich wurden die Plugins nicht zum Vergnügen verbaut, sondern weil sie Funktionen in ein WordPress-Blog einbauen, die im Internetprojekt erwünscht oder erforderlich sind – und es sind ja gerade die »großen Blogs«, welche in einer solchen, oben nach Heise zitierten Liste von »Top-Blogs« aufscheinen, die eine erhebliche »Verbastelung« durch Plugins haben.

Wer für ein solches »verbasteltes« Blog technisch verantwortlich ist und schon seine WordPress-Erfahrungen gesammelt hat – Erfahrung ist übrigens immer die Summe von Misserfolgen – lernte im Laufe der Jahre von WordPress-Konditionierung folgende Vorgehensweise bei Hinweisen auf eine neue WordPress-Version:

  1. Ein Sicherheitsupgrade der laufenden Version? Das ist gut und wichtig, das mache ich mal schnell, ich will ja kein gehacktes Blog haben…
  2. Oh, uh, oh, eine neue WordPress-Version. Das gibt oft Kopfschmerzen. Das mache ich heute lieber nicht mehr, dafür bräuchte ich eigentlich ein Testsystem mit gleichem Installationsstand, das ich aber nie mit der gleichen Hingabe gepflegt habe wie die eigentliche Blog-Site. Ich werde Arbeit haben. Ich werde möglicherweise viel Arbeit haben…

Der zweite Punkt wird durch eine weitere, ebenfalls stark demotivierende Erfahrung ergänzt: Die neue Version, die schwere Probleme bereiten kann, ist zunächst objektiv sinnlos. Die aktuelle Beglückungsidee der WordPress-Entwickler enthält in der Regel keine benötigten oder gewünschten zusätzlichen Features, sondern zusätzlichen Bloat ohne Nutzen. Kaum jemand, der eine Site mit WordPress betrieb, benötigte oder wünschte sich etwa…

  • …einen im Kern integrierten Drag-and-Drop-Uploader;
  • …eine im Kern integrierte »Schlagwortverwaltung«, die in ihrer ersten Version ohne jede Verwaltungsfunktion daher kam und deutlich schlechter implementiert war als entsprechende, sehr ausgereifte Plugins;
  • …eine integrierte Bildverarbeitung mit minimaler Funktionalität;
  • …eine Admin-Bar, die sich für angemeldete Benutzer über das Blog legt und sich nicht gut mit einigen Themens verträgt;
  • …eine voll aufgeplusterte Versionsverwaltung für Blogbeiträge;
  • …unausgereifte GUI-Experimente mit dem Dashboard, die die tägliche Bedienung erschwerten (vor allem bei den 2.5er- und folgenden Versionen, lange ists her, aber es tat nachhaltig weh);
  • …eine von großen CMS abgeschaute Menüverwaltung zum Erstellen einer Navigation; oder
  • …ein im Kern verbautes, aus Nutzersicht weitgehend unsichtbares, voll aufgeplustertes hierarchisches Taxonomie-System, um damit die relativ einfachen Konzepte der Schlagwörter und Kategorien zu implementieren.

Diese Liste ist natürlich fragmentarisch. Es gab so viele Anreicherungen des WordPress-Kernsystems von zweifelhaftem Nutzen, dass die Erstellung einer vollständigen Liste mit viel Arbeit verbunden wäre.

Aber schon diese kleine Auflistung zeigt, dass ein Upgrade in vielen Fällen keine Verbesserung aus Nutzersicht bedeutete, aber sehr wohl große Probleme bereiteten konnte – zuweilen sogar so große Probleme, dass ein Nutzer ohne technische Kenntnisse keine Chance hatte, diese Probleme selbstständig zu lösen. Wer wird da einen Upgrade machen, wenn die alte Version noch läuft?

Für den Versionsstand der WordPress-Installationen sind die WordPress-Entwickler unter Matt Mullenweg mit ihren oft schwer nachvollziehbaren strategischen Entscheidungen also ein Stück weit mitverantwortlich. Natürlich kann man sich auf den Standpunkt stellen, dass ein Mensch ohne technische Kenntnisse keine eigenverantwortlich betriebene Website haben sollte, und dieser Standpunkt hat durchaus seine berechtigten Anteile. Man kann sich aber auch auf den – in meinen Augen angemesseneren – Standpunkt stellen, dass Software dafür da ist, das Potenzial der Technik einem möglichst großen Nutzerkreis aufzuschließen und zugänglich zu machen, und dass die Technik sinnvollerweise nur dafür da ist, dass Menschen besser und einfacher das tun können, was sie tun möchten. Diese Dinge sind kein technikverliebter Selbstzweck.

Bloggen bedeutet: Einen neuen Post schreiben. Darin ist nichts strukturell Komplexes. Der Nutzer hat ein Feld zum Tippen und eine Schaltfläche zum Veröffentlichen, ferner kann er ein paar Meta-Angaben (Schlagworte, Kategorien, Zeitpunkt der Veröffentlichung) machen. Ein Blogsystem hat für diesen einen, wichtigsten Anwendungsfall eine möglichst gute Benutzerschnittstelle zu bieten. Alles andere ist Kür.

Meiner Meinung nach ist die Idee eines »fetten«, möglichst universellen Kerns ein Design-Fehler für eine Blogsoftware.

WordPress enthält ein Plugin-System, das es möglich macht, gewünschte Funktionen nachzurüsten. Das ist eine gute Idee, die von den Entwicklern bemerkenswert wenig ausgearbeitet wurde. Der Weg, ein reines Blogsystem als Kern zu entwickeln, das mit einem Satz von mitgepflegten Plugins um häufig gewünschte, aber prinzipiell optionale Funktionen erweitert wird (hierzu gehören etwa Kommentare, Pingbacks, XMLRPC, Schlagwörter und einige der weiter oben beschriebenen Features, die zurzeit zum Kernsystem gehören, aber vieles mehr), würde zu einer robusteren Software führen – die überdem nur den »Ballast« bei jedem Seitenaufruf mitschleppt, der explizit gewünscht ist. Ein solches Kernsystem einer Blogsoftware brauchte nur sehr selten eine komplett neue Version, wenn es erst einmal »fertig« wäre, und es wäre durch die Auftrennung auch überschaubarer. Was immer noch nötig wäre, das wären Sicherheits-Updates.

Die von Entwicklern mitgepflegten Kern-Plugins bedürften einer klaren Kennzeichnung. Diese bedeutet aus Nutzersicht: Wenn du dieses Plugin benutzt, dann versprechen wir dir, dass du so wie keine Probleme mit diesem Plugin haben wirst. Selbstverständlich sollten auch die Standard-Themes für diese Plugins vorbereitet sein, denn kein »gewöhnlicher Nur-Blogger« fühlt sich besonders wohl, wenn er in für ihn unverständlichen PHP-Quelltexten ein paar für ihn genau so unverständliche PHP-Anweisungen einpflegt.

Aber natürlich könnte dann nicht alle paar Monate eine neue Version presseerklärt werden. Solange die WordPress-Entwickler den »Fortschritt« darin sehen, dass neue Versionen veröffentlicht werden und nicht darin, dass sie kontinuierlich eine Software entwickeln, die ihren Nutzern (im Idealfall: immer besser) dient und der die Nutzer auch bei jedem Update vertrauen können, so lange wird es auch so bleiben, dass etliche WordPress-Installationen veraltet sind – und dass die Vorstellung einer neuen Version bei vielen Menschen in erster Linie Widerwillen und Kopfschmerz auslöst.

Einmal ganz davon abgesehen, dass individuelle Installationen, die nur die benötigten Funktionen implementierten, in vielen Fällen auch dazu führten, dass kein relativ aufwändiges Plugin für das Caching verwendet werden muss, um das langsame »Moppelchen« WordPress auf eine einigermaßen erträgliche Geschwindigkeit zu bringen. Ein ausgereiftes Caching-Plugin gehört übrigens meiner Meinung nach unbedingt zu jenen Kern-Plugins, die mitgepflegt werden müssen – ich weiß aus eigener Erfahrung, dass ansonsten recht bescheidene 3.500 Leser am Tag bereits hinreichen können, um ein WordPress-Blog so in die Knie zu zwingen, dass es zu Stoßzeiten nur noch kriecht.

Vielleicht entstünde dann sogar endlich einmal die erforderliche Luft, um ein paar schwere WordPress-Designfehler der Vergangenheit zu behandeln und eine neue Version zu machen, die wirklich etwas erneuert. Ein großes Problem von WordPress ist zum Beispiel die fehlende Trennung von Implementation und Darstellung in den Themes. Diese Schwäche zeigt sich am deutlichsten bei den Blogs, die auf WordPress.com gehostet werden; dort kann den Anwendern nicht die (gern kostenpflichtige) Möglichkeit geboten werden, ihre eigenen Themes zu machen, sie müssen stattdessen aus einem angebotenen Repertoire vorhandener Themes eines auswählen, das ihren Vorstellungen nahe kommt und können bei Bedarf noch ein paar Dollar pro Jahr dafür bezahlen, die CSS für dieses Theme anzupassen. Ansonsten erhielten sie nämlich die Möglichkeit, beliebigen PHP-Code auf den Servern von WordPress.com auszuführen, was ein großes Sicherheitsrisiko wäre. Ein solches Teilprojekt innerhalb der WordPress-Entwicklung wäre zwar eine Riesenaufgabe, die sowohl den Kern als auch sämtliche derzeit existierenden Themes beträfe, aber es wäre lohnend – zumal dann auch niemanden mehr »freie« Malware-verseuchte Themes für WordPress oder für von WordPress abgeleitete Projekte untergejubelt werden könnten.

Aber ich fange gerade an, zu träumen… 🙁

Veröffentlicht unter Technisches | Verschlagwortet mit , , , , , , | 8 Kommentare