Unzureichende Warnung des Endbenutzers in Silverlight 4

Der Dotnet-Doktor  –  6 Kommentare

Die Warnung, die Silverlight 4 dem Endbenutzer anzeigt, wenn er eine aus dem Internet geladene Anwendung installiert, die ihm schaden könnte, ist unzureichend und die weiteren Erläuterungen sind fehlerhaft.

Eine der neuen Funktionen in Silverlight 4 sind "Anwendungen mit Vertrauen" (Trusted Applications). Anders als alle bisherigen Silverlight-Anwendungen können Trusted Applications auf lokalen Ressourcen (Hardware, Dateisystem, Registry, Verzeichnisdienst, Office-Anwendungen – hier dazu ein Beispiel –, E-Mails, u.v.a.m.) zugreifen. Sie laufen außerhalb der den Benutzer schützenden Sandbox.

Eine Anwendung kann den vertrauten Status erreichen, wenn der Entwickler das vorgesehen hat und der Anwender die Anwendung lokal installiert ("Out of Browser" Applications, die man mit "Install … onto this Computer" installiert). Anwendungen, die innerhalb des Browserfensters laufen, können den Status nicht erreichen; sie laufen weiterhin in der Sandbox.

Installation einer Silverlight-Anwendung, die in der Sandbox läuft (Abb. 1)

Zwar unterscheidet sich der Installationsbildschirm im Standardfall (Abbildung 1) von dem Fall der Trusted Application (Abbildung 2), jedoch ist die Warnung nicht sehr deutlich. Der Benutzer ist letztlich nur einen Mausklick davon entfernt, eine Anwendung zu installieren, die auf seinem PC fast alles machen kann.

Installation einer Silverlight-Anwendung, die außerhalb der Sandbox läuft (Abb. 2)

Wirklich schlimm ist, dass nach dem Klick auf "More Information" eine Website erscheint, die dem Benutzer sagt: "Alle Silverlight-Anwendungen werden innerhalb einer Sicherheits-Sandbox ausgeführt, unabhängig davon, ob sie innerhalb oder außerhalb des Browsers ausgeführt werden. Silverlight-Anwendungen erhalten keinen vollen Zugriff auf den Computer …". Das war absolut korrekt für Silverlight 3, das ist aber absolut nicht mehr korrekt für Silverlight 4.

Der fehlerhafte „More Information“-Text behauptet, alle Silverlight-Anwendungen würden in der Sandbox ausgeführt (Abb. 3)

Auch wenn Silverlight 4 noch eine Beta-Version ist, hätte Microsoft doch in eigenem Interesse in dem Teil mehr Sorgfalt walten lassen sollen. Es wäre nicht viel Aufwand gewesen, den Dialog anders zu gestalten und die Info-Webseite zu aktualisieren. Letztlich tut Microsoft nicht nur den Benutzern, sondern auch sich selbst keinen Gefallen, denn Silverlight rückt in den Augen vieler Betrachter damit in die gleiche Ecke wie ActiveX (vgl. Vorwort in iX 2/2010 (PDF)).