Hallo

Während wir bei gängigen Tools (in den meisten Fällen begründeterweise, vor allem im OpenSource-Bereich) davon ausgehen können, dass uns der Ersteller des Tools nichts Böses will, ist das bei vielen Drittanbieter-Plugins für populäre Systeme nicht gegeben. Da wird schonmal Schadcode eingeschleust, wenn man nicht ganz genau aufpasst. Die Täter machen sich zunutzen, dass die Opfer dem Grundsystem vertrauen und das Vertrauen auf die installierbaren Plugins blindlings übertragen;

Das kann man garnicht oft und deutlich genug sagen. Der OP fragt, wie wohl jeder Unbedarfte, zuerst nach den Gefahren, denen man sich durch fehlerhaft geschriebene Software, die man einsetzt, aussetzt. Der Gedanke, dass einem bösartige Software untergeschoben wird, die man selbst bewusst installiert, muss einem ja auch erst einmal kommen.

Nicht der Angriff durch eine vorhandene Sicherheitslücke des Betriebssystems, nicht der per Email oder bei einem Webseitenbesuch untergeschobene Schadcode, nein, das bewusst ausgewählte und installierte Plugin mit der schon seit langem gewünschten Funktionserweiterung des CMS' auf der eigenen Website kann es sein, das einen dahin reitet, wo man mit an Sicherheit grenzender Wahrscheinlichkeit nicht sein mag.

Es ist eine durchaus schwierige Abwägung, zu entscheiden, ob man eigenen oder fremden Code einsetzt. Ist man selbst zum Programmieren ohne klaffende Sicherheitslöcher fähig? Kann man dem Anbieter von fremdem Code vertrauen? Kann man fremden und eigenen Code verstehend lesen oder ^[1] hat man jemanden, dem man das als alternativer oder zusätzlicher Kontrollinstanz zutraut? Gibt es eventuell Berichte von Code Reviews oder von gefundenen Fehlern? Ist man sich dessen bewusst, dann man sich die regelmäßige Prüfung auf zukünftige Fehlerbehebungen ans Bein bindet, binden muss? Ist man sich der Tatsache bewusst, dass es geschehen kann, dass Softwareprodukte irgendwann nicht mehr gepflegt werden und man diese dann gegen andere, weiterhin gepflegte Produkte austauschen sollte?

Tschö, Auge