Virenscanner für Entwickler
-
Naja, viele unserer native C++ Entwickler könnte ohne Admin-Rechte nicht arbeiten.
-
hustbaer schrieb:
@cvcv
Also ich vergleiche das immer ganz einfach.
* Vorgang mit Virenscanner an ausführen. 3x hintereinander, schnellste Zeit notieren.
* Virenscanner deaktivieren.
* Vorgang mit deaktiviertem Virenscanner ausführen. Ebenfalls 3x hintereinander, schnellste Zeit notieren.
Done.Na gut, wenn sich das so einfach vergleichen lässt dann kann ich das natürlich mal machen.
Hab jetzt keine gigantischen Projekte, aber so um die 11 Minuten bauen die auch. Wenn ich dann noch meine IDE indexieren lassen dann kommt schon bisl was zusammen.Adminaccounting schrieb:
Schon verwunderlich das du den Virenscanner einfach so ausschalten kannst. Eure Admins lassen euch unter Adminaccount arbeiten?
Kein Mensch kann ohne Admin-Rechte arbeiten. Lustigerweise hat hier eh jeder Entwickler das custom-image mit dem ganzen security-gedöns drauf längst mit linux überspielt.
-
hustbaer schrieb:
@computertrolls
Du hältst dich für ziemlich schlau. Bist du aber nicht. Ganz im Gegenteil. Zu meinen Die Antwort (tm) zu haben ohne die Details der Frage/Situation/... zu kennen weist eher auf Dummheit und/oder an Dummheit grenzende Sturheit oder Überheblichkeit hin.Du kannst mir gerne Beispiele nennen, wann man auf einem reinen Entwicklungsrechner vollständigen Internetzugriff benötigt, obwohl ein Thinclient für Rechercheaufgaben und für Websachen ein interner lokaler Testserver zur Verfügung steht und sich der Admin um die Pflege der installierten Software kümmert.
@Adminaccounting
Für die Treiberentwicklung und µC Progammierung ist Adminzugriff schon sinnvoll.Bei normaler Software wäre es wünschenswert, wenn vor allem die C und C++ Entwickler ihre Software auch dahingehend testen würde, ob diese auch mit eingeschränkten Rechten unter Windows noch funktioniert.
-
Benötigen. Lol. Benötigen tut man kaum was, möglich ist viel.
Nur ist viel halt auch nicht effizient. Wie z.B. mit einem elendig langsamen Virenscanner zu arbeiten oder auf einem PC ohne Internetverbindung.
-
computertrolls schrieb:
Bei normaler Software wäre es wünschenswert, wenn vor allem die C und C++ Entwickler ihre Software auch dahingehend testen würde, ob diese auch mit eingeschränkten Rechten unter Windows noch funktioniert.
Das ist bei uns überhaupt nicht nötig, wir haben eine Testabteilung, und die arbeiten immer mit eingeschränkten Rechten.
-
Mechanics schrieb:
computertrolls schrieb:
Bei normaler Software wäre es wünschenswert, wenn vor allem die C und C++ Entwickler ihre Software auch dahingehend testen würde, ob diese auch mit eingeschränkten Rechten unter Windows noch funktioniert.
Das ist bei uns überhaupt nicht nötig, wir haben eine Testabteilung, und die arbeiten immer mit eingeschränkten Rechten.
Glück für euch, bei Ubisoft funktioniert das nicht.
-
hustbaer schrieb:
Benötigen. Lol. Benötigen tut man kaum was, möglich ist viel.
Nur ist viel halt auch nicht effizient. Wie z.B. mit einem elendig langsamen Virenscanner zu arbeiten oder auf einem PC ohne Internetverbindung.Ein Entwicklerrechner ohne Internetanbindung benötigt keinen Virenscanner und inwiefern eine Internetanbindung die Effizienz des Entwickelns erhöhen soll, da bist du mir bis jetzt immer noch einen Beweis schuldig geblieben.
Ich würde sogar die Behauptung aufstellen, dass das Internet von der Arbeit ablenkt und die Effizienz mindert.Insofern machen wir es doch mal so, Hand aufs Herz, es geht hier nur um ein "Haben will" damit nicht sofort ersichtlich ist, auf was für arbeitsfremden Webseiten sich der Arbeitnehmer während der Arbeitszeit so herumtummelt.
Denn anders als beim Griff zum Thin Client würde man hier nicht sofort merken, ob der Arbeitnehmer gerade arbeitet oder nur herumsurft.
-
Noch eine kleine Ergänzung.
Den Arbeitgebern rate ich folgendes:
Ein Arbeitsplatz sollte aus einem Tisch in L oder U Form bestehen.
Dazu benötigt er 2 Rechner, wobei einer davon ein Thin Client mit Internetanbindung sein kann. Der Hauptrechner, auf dem Entwickelt wird, sollte ein leistungsstarker PC sein.Sowohl für den Thin Client als auch den Entwicklerrechner benötigt man jeweils mindestens 2 Monitore, eine Tastatur und eine Maus.
Die Tastatur und Centermonitore werden daher auf dem L oder U Form Tisch in einem 90 ° Winkel zueinander aufgestellt.
Jeder Rechner hat somit einen Monitor in der Mitte.
Der Zweitmonitor des Entwickerrechner kommt links vom Centermonitor hin und erweitert die Arbeitsfläche des Entwicklerrechners.Beim Thinclient Rechner kommt der Zweitmonitor aber nicht neben dem Centermonitor hin, sondern rechts vom Centermonitor des Entwicklerrechners.
Der Zweitmonitor des Thinclients wird hierbei so eingestellt, dass er das Bild des Centermonitors nur spiegelt.
Wenn sich also der Entwickler auf seinem drehbaren Bürostuhl vom Thinclientrechner wieder zum Entwicklerrechner hindreht, dann hat er aus dem rechten Monitor immer die Dokuunterlagen (z.b. PDF, API etc.), die er auf dem Thinclient gerade recherchiert hat, im Blick ohne sich zum Thinclient drehen zu müssen.Ebenso wird der Thinclient mit einer Funkmaus mit Scrollrad ausgestattet.
So kann der Entwickler sogar auf den Thinclient weiter recherchieren und dabei direkt vor seinem Entwicklerrechner sitzen ohne sich von diesem Wegzudrehen.Jede Form von Bildschirmschoner wird entweder abgeschaltet oder auf > 30 Minuten eingestellt.
Somit ist gewährleistet, dass das Bild nicht zu schnell verschwindet, wenn man gerade am anderen Rechner arbeitet.Optional kann man dem Thinclient und dem Hauptrechner noch einen Dritten Monitor verpassen und die Tastatur des Thinclients auch als Funktastatur ausführen.
Ich habe mal eine Skizze angefertigt, wie so etwas auszusehen hat:
https://ibb.co/mO2hiRE Wäre hier der Arbeitsplatz für den Entwicklerrechner
T der für den Thinclient.
Beides jeweils mit Tastatur und Maus.E1C ist der Hauptmonitor des Entwicklerrechners
E2L ist der Zweitmonitor des EntwicklerrechnersT1C ist der Hauptmonitor des Thinclients
T2 ist der Zweitmonitor des Thinclients. Man beachte, er steht am Arbeitsplatz des Entwicklerrechners und Spiegelt alles, was der Hauptmonitor des Thinclients anzeigt. Kabellängen sind kein Problem, DisplayPort schafft das locker.
T3L ist der Drittmonitor des ThinclientsEin Drittmonitor für den Hauptrechner habe ich nicht eingezeichnet.
Der könnte z.b. oberhalb des Centermonitors angebracht werden.Die Winkel mit der die Monitore eingezeichnet sind, sind nicht Maßstabsgetreu.
Das soll jeder einstellen wir es es genau braucht.
-
computertrolls schrieb:
hustbaer schrieb:
Benötigen. Lol. Benötigen tut man kaum was, möglich ist viel.
Nur ist viel halt auch nicht effizient. Wie z.B. mit einem elendig langsamen Virenscanner zu arbeiten oder auf einem PC ohne Internetverbindung.Ein Entwicklerrechner ohne Internetanbindung benötigt keinen Virenscanner
Falsch. Irgendwie musst du Zeug von ausserhalb da drauf bringen können - sei's per Mail oder USB Stick oder wie auch immer. Und genau da hast du ein Problem wenn kein Virenscanner drauf ist.
computertrolls schrieb:
und inwiefern eine Internetanbindung die Effizienz des Entwickelns erhöhen soll, da bist du mir bis jetzt immer noch einen Beweis schuldig geblieben.
Ich muss dir das nicht beweisen. Ist ziemlich offensichtlich. Dauernd zwischen zwei Terminals hin und her wechseln zu müssen, nur weil man mal schnell was nachsehen muss ist nicht effizient. Fehlernummern von einem Schirm abzulesen und am anderen wieder einzutippen ist nicht effizient. Rumzuscheissen wenn man Codestück X aus der IDE rausbekommen und auf der anderen Seite bei godbolt.org reinbekommen will ist nicht effizient.
computertrolls schrieb:
Ich würde sogar die Behauptung aufstellen, dass das Internet von der Arbeit ablenkt und die Effizienz mindert.
Insofern machen wir es doch mal so, Hand aufs Herz, es geht hier nur um ein "Haben will" damit nicht sofort ersichtlich ist, auf was für arbeitsfremden Webseiten sich der Arbeitnehmer während der Arbeitszeit so herumtummelt.
Darum geht's überhaupt nicht. Meinem Arbeitgeber ist das hübsch egal wenn ich zwischen durch mal auf c-plusplus.net, derstandard.at oder auch youtube lese/schreibe/gucke. Und wenn er es wollte würde er es auch so mitbekommen, überhaupt kein Problem. Gibt ja schliesslich Wildcard-Zertifikate und HTTPS Proxies.
computertrolls schrieb:
Denn anders als beim Griff zum Thin Client würde man hier nicht sofort merken, ob der Arbeitnehmer gerade arbeitet oder nur herumsurft.
Wo soll der Unterschied sein?
-
computertrolls schrieb:
Noch eine kleine Ergänzung.
Den Arbeitgebern rate ich folgendes:
Man merkt dass du dir das ganze gerade ad-hoc zusammenphantasierst. Probier es aus, implementiere es in deiner eigenen Firma. Und dann, nach 1-2 Jahren, melde dich nochmal wie erfolgreich es war. Und dann implementiere es in 10 anderen Firmen die ganz andere Art der Softwareentwicklung machen. Und wenn es auch dort erfolgreich war, dann darfst du behaupten dass es für keinen Softwareentwickler nirgends nötig sein könnte Internetzugang zu haben. Wobei auch das immer noch weit aus dem Fenster gelehnt und eine dumme Verallgemeinerung wäre. Aber nicht mehr so wild wie was du hier jetzt machst.
-
hustbaer schrieb:
computertrolls schrieb:
hustbaer schrieb:
Benötigen. Lol. Benötigen tut man kaum was, möglich ist viel.
Nur ist viel halt auch nicht effizient. Wie z.B. mit einem elendig langsamen Virenscanner zu arbeiten oder auf einem PC ohne Internetverbindung.Ein Entwicklerrechner ohne Internetanbindung benötigt keinen Virenscanner
Falsch. Irgendwie musst du Zeug von ausserhalb da drauf bringen können - sei's per Mail oder USB Stick oder wie auch immer. Und genau da hast du ein Problem wenn kein Virenscanner drauf ist.
Was für Zeugs soll das sein?
Softwareupdates und Libs ganz sicher nicht, denn die laufen erst einmal durch den Firmeninternen Qualitätscheck und Updateprozess auf dem Testrechner des Admins, dort wird auch der Virencheck durchgeführt.
Wenn dann alles sauber ist und wie geplant läuft, werden die Updates dann an die Entwicklerrechner über das interne Netz ausgeliefert.
Alles andere ist höchst unprofessionell.Und Quellcode entsteht im Entwicklungsprozess hoffentlich durch die Entwickler und nicht durch kopieren von dritter Quelle.
Sollte doch einmal eine externe Entwicklung eingebunden werden, dann gibt es dafür den Quellcodecommit auf einem Git Serverabbild, wo das ganze geprüft und getestet wird, anschließend kann man es dann an den großen Git commiten.computertrolls schrieb:
und inwiefern eine Internetanbindung die Effizienz des Entwickelns erhöhen soll, da bist du mir bis jetzt immer noch einen Beweis schuldig geblieben.
Ich muss dir das nicht beweisen. Ist ziemlich offensichtlich. Dauernd zwischen zwei Terminals hin und her wechseln zu müssen, nur weil man mal schnell was nachsehen muss ist nicht effizient.
Das geht so schnell vonstatten, dass da kaum ein Effizienzverlust besteht.
Die Rechner sind ja nicht räumlich so weit von einander getrennt, dass der Mitarbeiter durchs halbe Haus laufen muss.Fehlernummern von einem Schirm abzulesen und am anderen wieder einzutippen ist nicht effizient.
Aber sicher und die 5 Ziffern kann jeder richtig eintippen.
Rumzuscheissen wenn man Codestück X aus der IDE rausbekommen und auf der anderen Seite bei godbolt.org reinbekommen will ist nicht effizient.
Ernsthaft?
Selbstgeschriebenen Code kannst du vielleicht bei privaten Hobbyprojekten ins Internet freilassen, aber Firmeninterner Code gehört, wenn es nicht gezielte Firmenpolitik ist, ganz gewiss nicht in die freie Wildbahn.So etwas wie godbolt.org kann man intern auch selber aufsetzen, den Quellcode gibt's auf github.
computertrolls schrieb:
Ich würde sogar die Behauptung aufstellen, dass das Internet von der Arbeit ablenkt und die Effizienz mindert.
Insofern machen wir es doch mal so, Hand aufs Herz, es geht hier nur um ein "Haben will" damit nicht sofort ersichtlich ist, auf was für arbeitsfremden Webseiten sich der Arbeitnehmer während der Arbeitszeit so herumtummelt.
Darum geht's überhaupt nicht. Meinem Arbeitgeber ist das hübsch egal wenn ich zwischen durch mal auf c-plusplus.net, derstandard.at oder auch youtube lese/schreibe/gucke. Und wenn er es wollte würde er es auch so mitbekommen, überhaupt kein Problem. Gibt ja schliesslich Wildcard-Zertifikate und HTTPS Proxies.
Das ändert nichts daran, dass Youtube und Co dich ablenkt.
computertrolls schrieb:
Denn anders als beim Griff zum Thin Client würde man hier nicht sofort merken, ob der Arbeitnehmer gerade arbeitet oder nur herumsurft.
Wo soll der Unterschied sein?
Ganz einfach, der Entwickler sitzt physisch direkt vor seinem Entwicklerrechner und starrt auf den Monitor mit der geöffneten IDE.
Im Hintergrund läuft kein Browser, der irgendwelche nicht arbeitsbezogenen Seiten offen hat.Will der Arbeitnehmer letzteres anschauen, dann muss er sich zum Thin Client drehen. Das sieht man.
Wenn er das im Rahmen seiner arbeitsbedingten Recherche macht, dann ist das nicht schlimm.
Sollte er aber über nen ganzen Tag da dran sitzen und im Code nicht vorankommen, dann ist das schon verdächtig.
Hast du alles auf einem Rechner, dann ist das nicht so offensichtlich, wieviel Zeit der Mitarbeiter genau fürs Surfen aufwendet.
Denn kommt der Chef, dann ist mal ganz schnell der Browser weggeklickt und die IDE im Vordergrund. Also kann man hier mehr bescheißen als mit einem Thin Client.
-
Bullshit. Miss mal eine woche lang die benoetigte Zeit ewig mit dem stuhl hin und her zu rollen und dann mach den gleichen test mit CMD+TAB TAB...
Der wechsel zum anderen Terminal wuerde ausserdem als massive unterbrechung gelten, welche die konzentration absolut annihiliert.
computertrolls schrieb:
Das ändert nichts daran, dass Youtube und Co dich ablenkt.
Wie bitte stellt ein talk eines C++ Summits eine ablenkung dar?
-
@computertrolls
Die Diskussion wird mir zu blöd, ich klinke mich aus.
-
Was hat das alles mit Virenscannern zu tun?
-
computertrolls schrieb:
...
Wenn du das für die Königslösung hältst, dann setze das so um. Deine Empfehlung und Realisierungsvorstellungen sind nun bekannt. Diese Sub-Diskussion zielt aber am Thema vorbei und entspricht - soweit ich das sehe - auch nicht hustbaers Vorstellung von einer Lösung. Weitere Beiträge dazu werde ich kommentarlos entfernen. Beschwerden darüber wie immer direkt an mich oder Dravere.
-
Was erhofft ihr euch eigentlich von einem Echtzeit-Virenscanner?
Drive-by-Download Schadsoftware, gegen die ein Echtzeitvirenscanner schützen könnte, benötigen eine Sicherheitslücke im Browser oder dem Internetprogamm das ihr verwendet.
Allerdings macht es viel mehr Sinn, anstatt die Symptome mit einem Virenscanner zu bekämpfen an die Ursache heran zu gehen und damit also die Sicherheitslücke zu stopfen.
Ist die gestopft, dann hat der Schadcode keine Chance, nutzt er eine unbekannte Sicherheitslücke, dann schützt auch der Echtzeitvirenscanner nicht dagegen, weil er das Angriffsmuster gar nicht kennt.Wozu also ein Echtzeit-Virenscanner?
IMO ist der überflüssig wie ein Kropf und bremst nur das System aus.Wenn man aus em Netz Dateien downloaden muss, dann kann man die Dateien bei Virus Total hochladen oder dort einfach die Prüfsumme der Datei eingeben und schon hat man einen Gratisscan aller auf dem Markt verfügbaren Antivirensoftware.
Also kann man sich auch die manuelle Antivirensoftware auf dem Rechner sparen.
Einzige Ausnahme wäre, wenn ihr die Daten nicht auf Virus Total uploaden dürft, dann wäre ein manueller Virenscanner sinnvoll.Gegen Zero-Day-Exploits macht es mehr Sinn, die Surfumgebung in eine Sandbox zu packen oder wenigstens einen anderen Benutzeraccount mit einfachen rechten dafür zu verwenden. Aber dazu habe ich ja schon etwas geschrieben.
Wozu also die Antivirensoftware?
-
Zum Thema wieso überhaupt Echtzeit-Virenscanner kann ich nur spekulieren. Wobei ich es selbst nicht für unvernünftig halte. Denn...
computertrolls schrieb:
Drive-by-Download Schadsoftware, gegen die ein Echtzeitvirenscanner schützen könnte, benötigen eine Sicherheitslücke im Browser oder dem Internetprogamm das ihr verwendet.
Naja, diese Lücken gibt es ja zu hauf. Und da unsere Entwickler Admin-Rechte haben (weil sie diese brauchen), können wir auch nicht kontrollieren wer welchen Browser verwendet.
computertrolls schrieb:
Allerdings macht es viel mehr Sinn, anstatt die Symptome mit einem Virenscanner zu bekämpfen an die Ursache heran zu gehen und damit also die Sicherheitslücke zu stopfen.
Ist die gestopft, dann hat der Schadcode keine Chance, nutzt er eine unbekannte Sicherheitslücke, dann schützt auch der Echtzeitvirenscanner nicht dagegen, weil er das Angriffsmuster gar nicht kennt.Wie willst du die Ursache bekämpfen? Es gibt nunmal Viren. Und die Rechner vom Internet zu trennen ist bei uns einfach keine Option. (Und selbst wenn es eine wäre, und selbst wenn ich das wollte, könnte ich das niemals durchsetzen, weil ich nicht in einer Position sowas zu entscheiden.)
computertrolls schrieb:
Wenn man aus em Netz Dateien downloaden muss, dann kann man die Dateien bei Virus Total hochladen oder dort einfach die Prüfsumme der Datei eingeben und schon hat man einen Gratisscan aller auf dem Markt verfügbaren Antivirensoftware.
Das machen aber nicht alle, und es würden nichtmal dann alle machen wenn man es ihnen vorschreiben würde. Und selbst wenn es nur 5% sind die drauf scheissen... diese 5% reichen.
Allerdings geht es mir gar nicht um die Frage
computertrolls schrieb:
Wozu also die Antivirensoftware?
denn an der Entscheidung dass wir sowas brauchen (und ja, das ist eine Entscheidung und keine Frage nach Tatsachen) kann ich nix ändern.
Ich kann also maximal fragen welcher Virenscanner die Performance bei typischen Entwickler-Tasks am wenigsten krass verschlechtert.
-
Virustotal nimmt auch nur Dateien bis 128 MB.
Eine Frage am Rande: hat man dann eigentlich immer zwei Scanner laufen, Windows Defender und den, den man selbst installiert hat? Soweit ich weiß, kann man den Defender ja nicht mehr abschalten, zumindest nicht in allen Windows-Versionen.
-
Andere Virenscanner melden sich normalerweise bei Windows an sozusagen, woraufhin Windows Defender automatisch deaktiviert wird.
-
hustbaer schrieb:
computertrolls schrieb:
Drive-by-Download Schadsoftware, gegen die ein Echtzeitvirenscanner schützen könnte, benötigen eine Sicherheitslücke im Browser oder dem Internetprogamm das ihr verwendet.
Naja, diese Lücken gibt es ja zu hauf. Und da unsere Entwickler Admin-Rechte haben (weil sie diese brauchen), können wir auch nicht kontrollieren wer welchen Browser verwendet.
So etwas kann man aber vorschreiben.
Ebenso kann man vorschreiben, dass die Wartung und Installation von Browsersoftware der Admin macht, der dann ebenfalls Adminrechte auf den Rechner bekommt.
Im übrigen halte ich es auch für sehr kritisch, wenn die Entwickler ihren Browser mit Adminrechten laufen lassen.
Zu den Lücken, für die bekannten, also öffentlichen Sicherheitslücken gibt es so gut wie immer Sicherheitspatches. Ein Browser der aktuell ist, hat diesbezüglich also keine Angriffsfläche.
Bleiben die nicht bekannten Lücken, aber da schützt die Antivirensoftware ja auch nicht mehr.
Wie willst du die Ursache bekämpfen?
In dem man den Rechner aktuell hält und alle öffentlich bekannten Sicherheitslücken somit schließt.
Es gibt nunmal Viren.
Die bei Drive-by-Download nen Exploit brauchen, den sie ausnutzen können.
Und die Rechner vom Internet zu trennen ist bei uns einfach keine Option. (Und selbst wenn es eine wäre, und selbst wenn ich das wollte, könnte ich das niemals durchsetzen, weil ich nicht in einer Position sowas zu entscheiden.)
Hier stellt sich auch die Frage, ist deine Firma ein Ziel für Angreifer?
Wenn ja, dann gibt es sowieso keine Alternative zu einer richtigen Trennung der Surf- und Entwicklerrechner, weil es dann auch Hacker gibt, die gezielt nach Lücken suchen, das schließt also auch die noch unentdeckten Sicherheitslücken mit ein.
Bei Valve gab's bswp. diese Trennung nicht, Valve war ein Angriffsziel und so hat man dann dort auch den Sourcecode der Source Engine gestohlen.
Mit getrennten Netzen wäre das nicht passiert.Das machen aber nicht alle, und es würden nichtmal dann alle machen wenn man es ihnen vorschreiben würde. Und selbst wenn es nur 5% sind die drauf scheissen... diese 5% reichen.
Wenn das so ist, dann würden die auch keinen installierten Virenscanner anwerfen um eine downgeladene Datei zu scannen und da sie Adminrechte haben würden die auch einfach den Echtzeitvirenscanner deaktivieren, wenn er diese nervt.
Ich denke, bei euch habt ihr eine größere Baustelle, als das die mit einem Echtzeitscanner gefixt werden kann. Da müsste man im Prinzip die Firmenpolitik überarbeiten um eine entsprechende Sicherheit durchzusetzen.
Allerdings geht es mir gar nicht um die Frage
computertrolls schrieb:
Wozu also die Antivirensoftware?
denn an der Entscheidung dass wir sowas brauchen (und ja, das ist eine Entscheidung und keine Frage nach Tatsachen) kann ich nix ändern.
Ich kann also maximal fragen welcher Virenscanner die Performance bei typischen Entwickler-Tasks am wenigsten krass verschlechtert.
Schade, ich würde dem Chef Vorschläge unterbreiten und ihn auch aufklären.