Der Code-Editor Notepad++ hat eine Überarbeitung seines automatischen Update-Mechanismus veröffentlicht. Diese Änderung erfolgt als direkte Reaktion auf ein kürzliches Sicherheitsvorfall, bei dem ein Angriff die Server kompromittierte und die Nutzer gefährdete. Die neue Implementierung zielt darauf ab, zu verhindern, dass sich eine Situation wiederholt, in der bösartige Versionen über das eigene Update-System des Programms verteilt werden konnten.
Mechanismus mit doppeltem Sperrsystem und kryptographischer Verifizierung 🔒
Die technische Lösung basiert auf einem System mit doppelter Sperre. Nun erfordert der Prozess eine explizite Bestätigung des Benutzers, um mit dem Download und der Installation fortzufahren, was eine Barriere durch menschliche Interaktion hinzufügt. Intern wurde die kryptographische Verifizierung der Binärdateien verstärkt. Jede Aktualisierung muss digital mit zwei unterschiedlichen Schlüsseln signiert sein: einem des Entwicklers und einem eines externen Timestamping-Dienstes, was es kompliziert macht, eine Version ohne Zugriff auf beide zu fälschen.
Jetzt aktualisieren erfordert mehr Klicks als Hello World zu schreiben 😅
Benutzer, die an die Bequemlichkeit des Ein-Klick-Updates gewöhnt sind, könnten das Gefühl haben, dass der Prozess nun wie das Passieren zweier unterschiedlicher Zollstationen ist. Zuerst fragt das Programm, ob Sie sicher sind, dann befragt das Betriebssystem, ob Sie dem Signierer vertrauen, und am Ende müssen Sie sich selbst fragen, ob Sie diese neuen Funktionen wirklich brauchen. Es ist ein kleiner Preis in Form von Zeit für Sicherheit, obwohl einige die Unschuld vermissen, als ein einfaches Aktualisieren keinen Moment existenzieller Reflexion auslöste.