Der Preis ist (zu) hoch

Microsoft ist vor drei Jahren angetreten, Silverlight den Website-Verantwortlichen, Entwicklern und Anwendern als sicheres und auf den meisten Plattformen lauffähiges Browser-Plug-in schmackhaft zu machen. Es war von Anfang an mehr als ein Player für Multimedia-Dateien, bereits auf Basis der zweiten Version gab es viele anspruchsvolle Webseiten.^*

Die Sicherheit von Silverlight beruht in erster Linie auf einem konsequenten Sandbox-Modell. Für die Betriebssystemunabhängigkeit sollte auf der Linux-/Unix-Seite Moonlight sorgen, entwickelt von einer Novell-Tochter, die auch für Mono – die Linux-/Unix-Version des .Net Framework – zuständig ist. Dass Microsoft Novell finanziell stark unter die Arme greift, sei nur der Vollständigkeit halber erwähnt. Für Mac OS X wiederum halten sich die Redmonder selbst für kompetent genug. Silverlight und Moonlight sollten alles für den Ablauf der Applikationen Nötige aus sich selbst heraus beziehungsweise aus eingebettetem .Net-Code bedienen können.

Spätestens mit Version 4 von Silverlight gibt Microsoft diese beiden Vorsätze auf. Nach dem Motto „Was kümmert uns unser Geschwätz von gestern“ hebeln die Redmonder das Sandbox-Prinzip aus. Zudem hängen sie die Moonlight-Entwickler durch die Option, künftig innerhalb einer Silverlight-Anwendung über COM-Objekte Teile vom Betriebssystem beziehungsweise von anderen Windows-Applikationen verwenden zu können, chancenlos ab. Microsoft wird bei der Mac-Version von Silverlight ebenfalls alt aussehen.

Eine Aushebelung der Sandbox findet beispielsweise statt, wenn der Silverlight-Client auf andere Dateisysteme als das eigene in eingeschränkter Form beziehungsweise auf das des Applikations-Servers zugreifen kann. Microsoft argumentiert, dass der Anwender ja informiert wird und zustimmen muss. Nur, Anwender stimmen immer zu und sei es nur, um ihr Ziel ohne Umwege schnell zu erreichen. Den schreibenden Zugriff auf das Drucker-Device hätte man dagegen noch – als alternativlos und unter dem Sicherheitsaspekt relativ unkritisch – durchgehen lassen können.

Als Karen Corby, Entwicklungsleiterin für Silverlight, auf der diesjährigen „Professional Developers Conference“ in ihrer Session verkündete, dass die Version 4 nun Windows-COM-Objekte ansprechen kann, gab es von der versammelten Entwicklergemeinde Szenenapplaus. Diese von Microsoft ohne Not geöffnete Hintertür ist unter Garantie bald ein riesiges Scheunentor, denn Softwareentwickler sind auch nur Menschen und suchen somit den Weg des geringsten Widerstandes beziehungsweise Aufwandes. Sie werden auf diesem Weg hemmungslos alten und unsicheren C++-Code recyceln. Das war’s dann mit der Interoperabilität; COM-Objekte sind unter Linux/Unix und Mac OS X schlichtweg nicht vorhanden.

Und was lehrt uns das?

Microsoft wurschtelt wieder im alten Stil. Security wird auf den Begriff als solchen reduziert und auf Pappschachteln gedruckt, und Themen wie Interoperabilität entpuppen sich als das, was sie vielleicht schon immer waren – als Feigenblatt, bestenfalls indirekt hilfreich bei Kartellverfahren.

Schade eigentlich um Silverlight…

(kd)