Coinhive.com dreht eine Runde nach der anderen durch die News, und die Updateseiten von Anti-Malware-Software. Aber was ist das, und was macht es?
Ist Coinhive.com ein Risiko für den Nutzer?
Nun, ein Risiko wie ein Wurm oder Trojaner oder gar Virus ist Coinhive.com nach aktuellem Stand sicher nicht! Das kleine Script erzeugt einfach jede Menge Hash-Werte. Diese Hash-Werte dienen dem Minen von Crypto-Geld (aka dem Aufbau der Blockchain). Im aktuellen Fall geht es um den Monero. Coinhive.com empfängt diese Hashes, und teilt die geschürften Moneros unter seinen Lieferanten, den Websitebetreibern auf. Eine ordentliche Provision zum Betreiben des Dienstes wird natürlich von der Auszahlung abgezogen.
Ein Risiko, eine Schadroutine, hat das Programm aktuell nicht. Es konsumiert – je nach Vorgabe – einen gewissen Anteil der Prozessorpower des Nutzers der Webseite.
Warum wird es dann als Risiko eingestuft?
Einige Websitebetreiber haben das Script ohne jegliche Information an ihre Nutzer laufen lassen und somit die CPU-Ressourcen ihrer Nutzer abgegriffen. Manche Seiten wie die eines gewissen Fussball-Millionärs versuchten auf diesem Weg ein Zubrot zu verdienen. Die Seite dieses Typen lies das Script ungebremst auf seine Nutzer los und sorgte für abstürzende Webbrowser und ausgelastete Betriebssysteme auf Seiten der Nutzer. Mobile Nutzer stellten überhöhten Akku-Verbrauch ihrer Geräte fest. Schlussendlich sind das auch die Gründe für die Einstufung des Coinhive.com-Scripts als Malware.
Wie kann sich der Nutzer nun schützen?
Um den richtigen Schutz auszuwählen, bedarf es einer kleinen Analyse. Es gibt aktuell 2 verschiedene Typen des Coinhive.com-Scriptes.
Eines der Script läuft ohne Rückfrage auf Nutzerseite im Hintergrund. Um dieses Script abzuwehren, kann man z.B. Javascript verbieten – das ist aber wenig tauglich heutzutage. Besser, und brachial ist da sicher das Umleiten der Aufrufe zu den Quellen der Software. Dazu kann man im Betriebssystem die hosts-Datei anpassen. Je nach Betriebssystem sind die Speicherorte unter /etc/hosts oder c:\windows\system32\drivers\etc\hosts. In diese Datei fügt man ein:
127.0.0.1 coinhive.com
127.0.0.1 www.coinhive.com
Der Webbrowser versucht den Namen der Quelle des Scripts aufzulösen, und schlägt damit auf Grund der Einträge fehl. Passt!
Die andere Variante des Script startet nicht automatisch. Ich habe keinen Grund gefunden diese Variante zu verbieten, denn sie wird ohne Zutun des Nutzers keinen einzigen Hash berechnen. Wer das trotzdem hart ausschließen will, trägt folgende Zeilen in die hosts-Datei ein:
127.0.0.1 authedmine.com
127.0.0.1 www.authedmine.com
Was ist denn nun aber der Hype?
Webseiten betreiben kostet Geld. Man kann seine Webseite mit einer Paywall versehen, oder Werbung anzeigen. Man könnte aber eben auch seine Besucher über Mining für den Inhalt der Seite zahlen lassen. Genau das ist die Idee hinter Coinhive.com.
Ich finde das immer noch eine coole Idee, und eigentlich einen vielversprechenden Ansatz. Und es hätte funktionieren können, wenn….
…ja, wenn es nicht auch unter Webseitenbetreibern so gierige Arschlöcher geben würde, die jede noch so coole Idee einfach nur wieder sofort missbrauchen.
SCHADE!
Lohnt sich Coinhive.com für Webseitenbetreiber?
Kommt drauf an. Wenn eine genügend große Nutzerbasis vorhanden ist, ist es eine Überlegung wert. Wenn man vielleicht dem Nutzer auch etwas für die durch ihn errechneten Hashes zurückgeben kann (In-Game Items etc), dann kann das durchaus Sinn machen. Ich habe bei einem kleinen Feldtest mit ca. 50 Nutzern einer Webseite mit durchschnittlicher Verweildauer von 45 Minuten je Tag und Nutzer eine Berechnungsdauer von 200 Tagen für 1 Monero aka 180 USD errechnet. Für mich lohnt sich das damit nicht – nicht zuletzt auch wegen der mit der Nutzung des Scripts verbundenen technischen Probleme auf Nutzerseite.
Von diesen 50 Nutzern konnten zwei die Webseite nach Aktivierung des Scripts nicht mehr benutzen, weil installierte „Security“-Suiten die Kommunikation des Coinhive.com-Scriptes blockiert haben. Weite 2 Nutzer konnten das Script auf Grund anderer Bedingungen nicht laden und ausführen. Kurz: man sieht sich als Webseitebetreiber damit konfrontiert, auf einmal Support für Dinge leisten zu müssen, die außerhalb des eigenen Einflussbereiches liegen…ich blende dann doch lieber wieder Werbung ein.
Wie mache ich es als Webseitenbetreiber richtig?
Es gibt wohl aktuell keinen goldenen Weg. Wichtig ist, seine Nutzer zu informieren. Wenn man eine Webseite betreibt mit angemeldeten Nutzern betreibt, mach es absolut Sinn das Script nur im geschlossenen Bereich zu aktivieren. Eine Überlegung sollte auch sein, nur die auf Nachfrage des Nutzers startende Variante des Scripts zu nutzen. Gut ist es sicher auch, dem Nutzer etwas Kontrolle über die Intensität der Berechnungen zu geben. Und, auf mobilen Geräten sollte das Script besser nicht laufen.
Wie geht es weiter?
Man kann nur hoffen, dass die Community weiter Lösungen zum Ersetzen von Werbung sucht. Coinhive.com ist ein netter Ansatz, welcher leider derzeit verbrannt scheint.
Fazit
Fuck ya, Ronaldo!