Nicht die Diskussion über die Berechtigung von System A oder System B ist spannend, sondern, welche Dynamik sich gerade in der ganzen technischen Klasse abspielt.

Chris von Fixmbr hat dankenswerterweise und mit sicherem Gespür für die Auswahl einige Zitate aus der englischsprechenden Welt zum Thema Identi.ca zusammengefasst. Erstaunlich und wieder nicht, dreht es sich ums “Wer mehr User hat, hat mehr Berechtigung”.

Erstaunlich deswegen, weil bei der Entscheidung des neugierigen Users für die Teilnahme an einem bestimmten System natürlich gute technische Angebote eine Rolle spielen. Auch der gebotene Umfang von Funktionen ist wichtig. Wer sich dem Microblogging – so wie immer noch viele in D – erstmals annähert, der würde natürlich viel eher diese Punkte in Erwägung ziehen.

Nicht mehr erstaunlich ist diese Techcrunch-zentrierte Diskussion, wenn sich Leute melden, die früh schon getwittert haben. Klar, man hat seine Community und aus der wechselt man alleine nicht gerne raus. Gewohnheiten sind wichtig, manchmal sind es auch die Abhängigkeiten.

Es stehen sich somit das Erkennen von Schwächen und Entwicklungsbedürfnissen (samt Featureritis) und der Wunsch nach Stabilität im sozialen Netzwerk gegenüber.

Aus diesem – im Sinne Cems zweiten – Antagonismus als weitere Motivation des Schubes kann man meines Erachtens nach aber die mögliche Entwicklung einigermaßen skizzieren.

• Laconica bricht Twitters Idee auf. Es skaliert und löst damit technische Probleme. Es ist Open Source und bietet dadurch enorme Möglichkeiten für Schnittstellen und Teilentwicklungen. Microblogging-Netze können auf diese Weise so morphen, wie Single-Systeme wie Twitter es nie können werden.
• Laconica bietet Raum und Feld für ex-corporate-evangelists. Ich will den Namen ja nicht schon wieder nennen, Robert hats ja so eingeleitet mit “merkt Ihr nicht…” Evangelists bündeln Meinungen treiben die Diskussion, formulieren Forderungen und Vorschläge. Evangelists bilden Gruppen gleicher Geister (GGG), werben für das gemeinsame Nutzen und handeln. Mit der angekündigten MBC09 gibt es einen ersten Beweis der These. Mengen von Menschen werden zu begeisterten Usern in kritischen Größenordnungen.
• Laconica bietet durch die beabsichtigte Skalierbarkeit das Versprechen von Nutzer-Wachstum in Größenordnungen und somit auch von einem gigantischen Kommunikationsfluß. Wer immer sich mit Semantik befaßt, wird ein riesiges Reservoire von Untersuchungsmasse finden.
• Laconica ist als junges und irrsinnig schnell wachsendes technisches System und damit – unter der Voraussetzung der Vernetzbarkeit – als Basis einer Systemklasse erstmals in einer Position, in der Nutzer ihre Identitäten mehrfach nutzen könnten. Was die SocNets alle nicht auf die Reihe gebracht haben, nämlich die Garantie zu bieten, als Nutzer Brenrhad exakt mit den selben Merkmalen in allen Systemen präsentsein zu können, daß könnte Laconica einfach deswegen bieten, weil es in der Position ist, Standards zu setzen.

Der wichtigste Knackpunkt wird sein, wie man Identitäten aus einem System in ein weiteres System schalten kann. Vielleicht gehts ja auch schon mit Pseudo-Nachnamen, der Nachname als Bezeichnung für das Netz, in dem man seine Basis hat. Ich twittere dann also als “@laconica>brenrhad”

Ist das Problem gelöst, kriegen wir endlich die Autobahn für flüchtige Kommunikation, die wir mit Chats, ICQ und Twitter hofften bereits zu haben.

Unter diesen Voraussetzungen sind die erstaunlichsten Sachen denkbar. Mir macht das jedenfalls schon jetzt unglaublich Spaß.

Von heute in den nächsten Sommer geschaut? Ich wiege mein Haupt, leicht zur Seite und wieder zurück, pendele in ein nickendes Ja: Twitter wird über einen Austausch der technischen Basis hin zu einem offenen System nachdenken. Zumindest wird es Nachnamen zulassen.

Widgets füllen weltweit täglich 277.000 Stunden Arbeit mit Sinn.

Wer jemals vom Kunden einen langen Text mit dem Satz in die Hände bekommen hat “Fürs Firmenportrait könnense ja den Text aus der Broschüre nehmn”, der weiß, daß OCR als Allheilmittel nicht wirklich eine Option ist. Zwar haben sich die Fehlerraten in den letzten Jahren enorm verbessert, aber mancher Scanvorgang liefert so außerordentlich unterirdische Qualität, daß auch spezielle israelische Technik keinen Rat weiß.

Die Carnegie-Mellon-Universität in Pittsburgh, PA, USA, hat vor einiger Zeit ein Verfahren entwickelt, das jenes immer noch notwendige Maß manueller Erkennung nicht länger zu einer stumpfsinnigen Studententätigkeit werden lässt. Man lässt diesen Job einfach die gemeinschaftlich die Weite-Welt-Weisheit erledigen. Und damit es attraktiv wird verbindet man das Nützliche mit dem Guten: man macht daraus einen Captcha-Dienst (Completely Automated Public Turing test to tell Computers and Humans Apart), der sich als Authorisierungssystem zur Verhinderung von Spam einsetzen lässt.
reCAPTCHA liefert auf der eigenen Webseite (zum Beispiel hier im Blog) ein Widget, das grafische Scans von Wörtern ausliefert, die von Menschen gelesen und identifiziert werden sollen. Die gefundenen Begriffe tippt der User dann ein und schickt sie zurück an den Uni-Server. Wenn das Ergebnis stimmt, dann wird eine Freigabe signalisiert. Solche Freigaben kann man dann zur Zulassung von Blogkommentaren verwenden.

Im Mai 2007 schätzten die Wissenschaftler um Professor Manuel Blum, dass täglich rund 60 Millionen CAPTCHAs entschlüsselt werden. Heute schätzen sie die Anzahl bereits auf 100 Millionen täglich. Rechnet man durchschnittlich 10 Sekunden für die Handhabung, dann würden mehr als 277.000 Stunden Arbeit am Tag “verschwendet”. Weltweit. In der Science berichtet Louis von Ahn aktuell, daß der Algorithmus bereits in über 40.000 Websites eingebaut ist. Entziffert wurden über 440 Millionen Worte, die Fehlerquote ist geringer als 1%.

Als Entwickler wirft sich einem natürlich die Frage auf, wie ein einerseits noch nicht identifiziertes Wort andererseits als Entscheidungskriterium für die Aufgabenerledigung dienen kann.

Da das Widget immer zwei Worte entziffern lässt, könnte der eine Scan ein bekanntes Ergebnis haben und an seiner zutreffenden Identifikation würde man den Captcha-Effekt festmachen. Die Identifikation des zweiten Wortes würde lediglich registriert. Kommen für diesen noch unbekannten Begriff viele gleichartige Entschlüsselungen zusammen (vielleicht setzt man den Schwellwert auf 97%) dann könnte man die Identifikation als gegeben betrachten und dieser 2. Begriff würde in den Pool der bekannten Worte wandern. Wenn der Ansatz so einfach ist, ist er brilliant.

via blogaddict

“Irgendein Browser ist so gut wie jeder andere!”

Was Progrmmierer wahrscheinlich ganz anders sehen ist für die Normaluser schlicht Fakt:Ihnen ist es vollkommen gleich, was für eine “Internetsoftware” sie benutzen.

Treiben einem als Entwickler die Eigenheiten diverser WWW-Anzeiger die Tränen in die Augen, können die Normal-Menschen meist erst nach einigem Suchen auf dem Schirm sagen, welches Programm sie gerade nutzen, um www.tagesschau.de anzusehen. Effekte scheinen unwichtig.

Entwickler aber schwören auf den Browser mit dem Fuchs, so auch ich.

Warum eigentlich?

Weil es ihn für jede Plattform in gleicher Qualität gibt?

Mal abgesehen davon ob das wirklich im Detail stimmt. Als Nutzer nutze ich genau eine Plattform. Ob es (m)einen Browser für verschiede Betriebssysteme gibt, ist mir herzlich egal.

Ergebnis: unentschieden.

Weil es das Tabbing gibt?

Das hat sich ja als Unterscheidungskriterium erledigt, der Platzhirsch folgt da nun auch dem offensichtlich besseren Konzept.

Ergebnis: Gleichstand.

Wegen der intelligenten Suche?

Hmm, was ich damit meine? Na, gibt man in der Adresszeile keine URL mit www davor und TLD dahinter ein, sondern ein passendes Schlüsselwort, findet der Firefox dennoch meist ein relativ passendes Ziel. Gut der Internet-Explorer zeigt nur die ausgefüllte Google Suchmaske und eine passende Trefferliste an. Nicht wirklich eine Frage von besser oder schlechter gelöst, oder?

Egebnis: irgendwie beide brauchbar, Punkteteilung.

Wegen der dynamischen Lesezeichen?

Dynamische Lesezeichen oder Live-Bookmarks sind eine Innovation gewesen. Der Firefox zeigt nun einfach ein RSS-Zeichen in der URL an, wenn er in der Webseite einen entsprechenden Feed findet. Nicht länger muß man nun auf der Seite selbst nach einem Abo-Knopf suchen, wenn es einen gibt, dann immer in der URL.

Dabei kommt die Bookmark-Funktion eigentlich erst durch einen weiteren Schritt ins Spiel. Was man von den Tagesschau-News im frisch installierten FF 3.0 schon kennt, kann man mit jedem anderen Feed auch hinbekommen: Platzieren einer Newsliste aus beliebigem Feed in der Lesezeichenleiste.

OK. Der IE hat das (noch) nicht. Vorteil FF.

Weil er eine integrierte Rechtschreibprüfung hat?

Das ist nun unbestritten ziemlich brauchbar für einen Textarbeiter. Schön, wenn einem beim Schreiben von Postings solch eine Prüfung zur Verfügung steht.

Aber: Mein WordPress hat eine eigene Prüfung eingebaut, egal welchen Browser ich verwende.

Also: Kein wirklicher Nutzen. Verweigerter Pluspunkt.

Weil Pop-Ups blockiert werden können?

Tja, Popups können sich zur Seuche entwickeln. Das liegt zwar nicht an der Technik sondern an den Programmierern die sie für Werbung einsetzen, aber dennoch ist man nach einiger Zeit schwer genervt und will das abstellen.

Lies einen da der IE6 noch im Regen stehen, so ist sein jüngerer Bruder mit der Nummer 7 schon gefälliger. Jetzt gibt es einen Menüpunkt zum Abschalten der Pop-Ups.

Apropos, da gibt es noch diese andere Art von Flash-Popups, die der Firefox auch durchlässt…

Ergebnis: Ergebnis unverändert.

Wegen der Wiederherstellung der letzten Session?

Nun, klar. Wenn man am nächsten Morgen dort weiter machen muß, wo man am Abend zuvor wegen Bettgehbefehl abbrechen musste, dann ist das schon ganz hilfreich, all die Seiten wieder aufgemacht zu bekommen, die man sich im lauf der eigenen Arbeitssession so hingelegt hat. Da ist dann einges dabei, was man noch lesen möchte oder was die ein oder andere Hilfestellung hält, die Xing-Übersicht, das Blog-Dashbord, das ein oder andere Forum…

Ups, aber was ist denn das jetzt? Paßwort eingeben? Für welche Seite denn? Und gleich noch ein Passwort, und noch eines? Eieiei, das ist aber unübersichtlich.

Nicht wirklich immer gut.

Ergebnis: 1/2er Abzug.

Wegen der Anpassungsfähigkeit?

Nach einer Weile beginnt man ja, viel genutzte Programme anzupassen. Mit den Möglichkeiten, die der Firefox bietet, kann man eine schier unglaubliche Variation der Erscheinung erreichen. Suchmaske eliminieren (braucht man ja nicht Dank Smart-Search in der URL), Buttons verschieben oder gänzlich weglassen, allerlei Zeug in die Statusleiste packen, you name it.

Hier bin ich offen, seit Jahren nutze ich primär den FF. Ich weiß garnicht, ob der IE irgendwie anpassbar wäre. Vermutlich ist er das, aber ob ich das je rausbekomme?

Ergebnis: FF +1 – mangels besseren Wissens?

Wegen der Add-Ons?

Addons sind wirklich das Salz in der Suppe. Mit Plugins kann man vieles an eigenen Bedürfnissen befriedigen.

Da kann man Flash abschalten, mit eigenem JavaScript fremde Seiten brauchbar machen, Eingabefelder in Masken durch den Eigenen Editor hindurch befüllen, als Entwickler kontrollieren, was eine Webseite tatsächlich an den Server versendet, wenn man auf “Submit” drückt, HTML-Code validieren, JavaScript in der Seite abschalten oder dessen Fehler kontrollieren…

Ergebnis: nochmals FF +1 – oder wisst Ihr es besser?

Nun, der wahrscheinlich wahre Grund für mich heißt aber:

Aus Gewohnheit!

Und das sogar beim Wechsel von FF 2 auf FF 3, als mir viele eingebundene Plugins erstmal abhanden gekommen sind. Doch mein Grummeln war nicht so groß, daß ich meine Sicherheitsbedenken über Bord geworfen habe. Denn da bleibt immer noch dieser kleine Rest Mißtrauen dem Actice-X gegenüber.

Der Blogger ist natürlich vernetzt, sein “Schreiben im Netz” als aktive Teilnahme kommt nach dem Lesen, nach der passiven Teilnahme an Strömungen und Entwicklungen. Brenrhad liest viel, andere Blogger und News aus vielen Quellen.

Zur Zeit habe ich eine dreistellige Liste von Sourcen, die sich ständig in Bewegung befindet. Viele Quellen sind selbst dynamisch, sie publizieren über die Zeit unterschiedlich in Frequenz und Qualität, ich reagiere mit unterschiedlichem Interesse. Und so divergent das jeweilige Elaborat ist, so divergent ist auch meine eigene Einschätzung. Einen Feed ganz generell zu empfehlen gelingt angesichts dieser Dynamik ganz einfach nicht mehr. Eine statische Blogroll wird zum Friedhof.

Deswegen gibt es nun hier nur noch “Aus meinem Google-Reader”. Der hat eine – wie ich finde – phantastische Zusatzfunktion: Man kann anderen zeigen, was man selbst für interessant hält und zwar höchst dynamisch, auf Basis einzelner Postings.

Wie das funktioniert? Die Nutzer des GR wissen das. Am Fuß eines jeden Postings kann man “Empfehlen” anklicken. Damit schreibt Google diesen Post in einen separaten Feed, der in diesem Fall mit “Empfehlungen von Brenrhad” betitelt wird. Die Feed-URL heißt dann:

<script type="text/javascript" src="http://www.google.com/reader/public/javascript/user/06462579796591483840/state/com.google/broadcast?n=15&callback=GRC_p%28%7Bc%3A%22-%22%2Ct%3A%22Aus%20meinem%20Google-Reader%22%2Cs%3A%22false%22%2Cb%3A%22false%22%7D%29%3Bnew%20GRC"></script>


Darin codiert ist die Google-Nummer meines Reader-Abos, die Anzahl der Links, das Farbschema und diverse kleine Einstellungen.

Davor bindet man noch das passende Framework-Script online:

<script type="text/javascript" src="http://www.google.com/reader/ui/publisher-de.js"></script>

Übrigens, dies ist der Feed für meine eigenen Empfehlungen.

Zu finden ist die Systematik im eigenen Reader auf der Startseite.

Empfehlungen im Google Reader bearbeiten - 1

Schritt 2

Schritt 3

Flickr-User Mishmosh hat einen Begriff für Menschen geprägt, die in einer besonderen Beziehung stehen:

I defined froworkers as people with whom I’m pretty sure the friendship would continue even if we stopped being coworkers.

Meist sind die “Kollegen” ja aus den Augen\aus dem Sinn, wenn man die Arbeitsumgebung wechselt. Klar, wenn man eine neue Location für die tägliche Arbeit aufsuchen muß, dann sind die alten guten “Arbeitsbeziehungen” bald nur noch schemenhafte Erinnerungen, auch ganz gerne dann noch, wenn man eigentlich eine gemeinsame Arbeitsbiographie hat.

Mit den sozialen Netzen hat die Fortdauer einer solchen Beziehungen zukünftig eine viel größere Chance. War man schon zu Zeiten der gemeinsamen Arbeit Mitgied bei Xing und dort kontaktemäßig “verbandelt”, dann wird man das mit großer Wahrscheinlichkeit auch bleiben. Xing-Funktionen wie “neues aus meinem Netzwerk” oder die Geburtstagsliste liefern automatisch jede Menge Anknüpfungspunkte, das Gespräch wieder aufzunehmen. Man verliert sich ganz einfach nicht aus den Augen.

Lieber Lars Hinrichs, gerade habe ich von Dir gehört, die Hälfte aller neuen Features werden als “Customer-Feature-Requests” implementiert. Zwar kann ich als User meine eigenen Kontakte selbst individuell qualifizieren, aber für eine soziologische Untersuchung der Beziehungen im Netz wäre es doch ganz nett, wenn man die User solche großen Kategorisierungen über Auswahlen vornehmen lassen könnte. Beobachtet man das eine Weile, lassen sich interessante Ergebnisse über das soziale Gefüge erwarten.

Gibt es Verfahren, die eine Email-Adresse frei vom Beschuß durch Spam sein lassen?

Jeder kennt das, hie und da muß man auf Webseiten tatsächlich seine Emailadresse hinterlassen. Da steht sie nun die gute, völlig ungeschützt im Verkehr, im Klartext für jeden lesbar und einfach anzuklicken.

Und es kommt, was kommen muß. Ruckzuck landen im eigenen Postfach Angebote für Potenzmittelchen, für 400 Euro Startguthaben im Casino und für lukrative Nebenjobs als Finanzagent.

Silvan Mühlemann vom techblog hat ein feines Experiment gemacht. Eineinhalb Jahre hat es gedauert, sozusagen ein Feldversuch. Die Ausgangshypothese war offen. Sein Plot umfasste 9 originäre Emailadressen, die für den Test eingerichtet wurden. 8 von ihnen waren durch unterschiedliche Verfahren geschützt, eine war ungeschützt geblieben. Alle Adressen wurden in einer HTML-Seite veröffentlicht, die direkt an eine Homepage gehängt worden war. Google übernahm und indexierte. Und was so klar wie ein sommerlicher Sternenhimmel ist, Spammer schickten Spider.

So war das dann auch kein Wunder, daß schon nach wenigen Tagen die ersten Angebote für die Eliminierung körperlicher Defizite eintrudeln oder man sich stark um die Anhebung des Images mittels günstiger Zeitanzeigerpreziosen kümmern wollte.

Doch nicht alle Adressen bekamen die gleichen Mengen unerwünschter Mail. So ungehindert der Spam auf die eine völlig ungeschützte Adresse einplatterte, so wenig kam auf anderen an. Wie Silvan kürzlich feststellen konnte, gab es Adressen, die überhaupt keinen Spam erhalten hatten. Für die offene Adresse zählte er 21 Megabyte Müll.

Drei der acht Verfahren sind dabei wirklich sehr erfolgreich. Silvan hat “down to absolutely no spam” gemessen.

Zwei dieser Verfahren basieren auf einfachen CSS-Techniken:

1. Umdrehen der Anzeigerichtung

Spider lesen Sourcecode, nicht das, was der Browser dem Besucher präsentiert. Im Sourcecode der HTML-Seite wird deshalb die die Email-Adresse verfälscht, sie wird in diesem Verfahren buchstabenweise umgedreht, sozusagen von hinten nach vorne geschrieben. Eine passende CSS-Klasse dreht die Richtung bei der Anzeige der Seite für den Besucher wieder um.

<style type="text/css">
span.codedirection { unicode-bidi:bidi-override; direction: rtl; }
</style>
<p><span class="codedirection">de.xmg@dahrnerb</span></p>

2. Ausblenden von verfälschenden Elementen

Man kann die Emailadresse im Sourcecode auch mit ungültigen Textteilen, die nicht Bestandteil der eigentlichen Adresse sind, anreichern. Ebenfalls mittels CSS-Klasse kann die Anzeige dieser Teile unterdrückt werden.

<style type="text/css">
p span.displaynone { display:none; }
</style>
<p>brenrhad@<span class="displaynone">null</span>gmx.de</p>

Für beide Verfahren wundert man sich eigentlich, warum die vergleichsweise Einfachheit der Lösung tatsächlich nicht ausgehebelt wird. Ich glaube, Silvan führt den Beweis, daß es für Spammer ausreichend lukrativ ist, sich auf ungeschützte Adressen zu stützen solange diese ausreichend verfügbar sind. Wenig Mühe macht man sich, den Spidern soviel Logik einzuimpfen, daß die geschützten Adressen dekodiert werden können und auf diese Weise ebenfalls zur Verfügung stehen.

Das dürfte schon anders aussehen, wenn eines der Verfahren als Standardkomponente Einzug in ein CMS oder Blogging-System halten würde. Methode fünf, das Verschlüsseln einer Mailadresse mit Javascript – deutlich “komplizierter” immerhin als die Variante, Punkt und Klammeraffen durch Klartext zu ersetzen – ist mittlerweile nicht mehr so erfolgreich. Das mag genau daran liegen, daß CMS-Systeme wie beispielsweise Joomla diese Lösung standardisiert verwenden.

Moderne Netztechnik lehrt uns ein evolutionäres Grundgesetz: Solange wir uns in der Frühphase der Netztechnik befinden, die Systeme noch immer volatil sind, liegt einmal die Sicherheit vorne, einmal der Hacker.

via Dr. Web

Kennt wer noch die Bleiwüste?

Intensiver Umgang mit dem Thema Usabilty lehrt einen, daß ein Dauernutzer durchaus völlig anders mit einem System umgeht, als es der marktgeforschte Neuuser tut.

Normalerweise ist mir – nach vielen Jahren der Nuztung – eine Trefferliste bei Google zunächst nichts als eine Art Buchstabenansammlung, die mir in dieser Zeit ein sehr spezifisches Handling abgerungen hat: Cursorisches Streifen in leichten Diagonalen mit Suche nach den “gehighlighteten” (brrrr) Suchworten gepaart mit einer unterbewußten Abschätzung der Länge der gelisteten URL. Jedenfalls sind es die Textexzerpte meistens nicht, die in mir das Anklicken auslösen.

Nicht jedoch bei diesem Treffer

Hängengeblieben bin ich bei “Verkauft auch Handys”.

Weder bin ich Texter, noch habe ich Psychologie studiert. Mein rudimentäres Knowhow von Marketing läßt mich aber dieses denken:

• Klar verkaufen die Handys. Was denn sonst? Schöne leichte Ironie.
• Kurzer Abstract, genau hierfür formuliert.
• Ein nicht als Anzeige gekennzeichneter Treffer?
• Viel angenehmer Weißraum um die Aussage.

Wie ich Rolf Hansen einschätze, ist dies jedenfalls kein Zufall.

Update:

Bei Frank/1000ff lese ich, daß es mit dem Prefetching unproblematisch sein soll.

Viele Fragen ums Thema beantwortet die passende Mozilla-FAQ (englisch):

Wenn die Quintessenz ist, daß nicht automatisch alle URLs aus den Links einer besuchten Seite nachgeladen werden, sondern nur solche, die der Verantwortliche der besuchten Seite für holenswert erklärt, entschärft sich das Problem. Aber die Tatsache bleibt, daß jemand anderes entscheidet, was über die Elemente der gerade besuchten Seite hinaus weiter geladen wird.

Ursprungspost:

Heute mal einfach: Ich verweise auf Peter Kröner

http://www.peterkroener.de/firefox-user-stellt-prefetching-ab/

Im Firefox 3 ist Prefetching standardmäßig aktiviert. Das bedeutet, dass der Browser von allen möglichen auf einer Seite verlinkten Ressourcen präventiv Daten herunterlädt, so dass diese, falls der Link angeklickt wird, schneller auf dem Bildschirm auftauchen. Warum das eine recht ungute Idee ist, erschließt sich eigentlich von selbst:

1. Verschwendung von Bandbreite und Systemressourcen
2. Schäuble, VDS und BKA-Honeypots

Klare Sache, das unkontrollierte Herunterladen von irgendwelchen Websites ist keine gute Idee. Abstellen geht zum Glück einfach:

1. Im Browser

   about:config

   aufrufen

2. Die Eigenschaft

   network.prefetch-next

3. Durch beherzten Doppelklick auf

   false

   stellen

Fertig!

Ich halte es für ausgesprochen gedankenlos, daß die Entwickler dieses Feature standardmäßig ein- anstatt ausschalten. Zwar sehe ich im Gegensatz zu Peter kein Problem mit Schäuble dafür aber vor allem aber eins mit Schadscripten. Gut, ich kann jetzt – mangels Recherchemöglichkeit aufgrund einer Fiasko-Installation der Version 3.0 – nicht beurteilen, ob auch alle Javascripts “ge-prefetcht” werden, alleine die Tatsache, daß dies hier wahrscheinlich ist, macht mir Bauchweh.

Wer Webserver unter Windows und IIS betreibt, der hat oft auch eine SQL-Datenbank im Köcher. Klar, ASP und .net Anwendungen sind mit diesem Gespann gut ausgeliefert.

In dieser Konstellation kämpft man als Verantwortlicher aber auch unentwegt gegen Versuche der Kompromittierung. Meines Wissens nach steht keine andere Server-Konfiguration zur Zeit (1. Hj. 2008) so unter Injection-Beschuß wie diese.

“DROP TABLE Kunden” – finaler Datenmord.

Injection?

Ich meine die SQL-Injection (WikiPedia). Das ist eine Einbruchsmethode die versucht, dem Server mörderische SQL-Befehle unterzuschieben, in dem sie Eingaben aus WWW-Masken wie Bestell- oder Kontaktformularen manipuliert. Ausgenutzt wird eine Schwachstelle des Systems, die es unerfahrenen Programmierern möglich macht, solche Formulare ohne die Befolgung von Sicherheitsmaßnahmen zu betreiben. Erfolgreiche Einbrüche sind nicht wirklich ein Gottesurteil, eher Folge von Uninformiertheit oder Ignoranz.

Andererseits sind die nötigen Maßnahmen mit ordentlich Aufwand verbunden. Es gibt von Microsoft kein Verhüterchen, das einem ungepflegten (und anfälligen) System einfach übergestülpt werden kann. Es muß eben effizient und sauber codiert werden, Stichwort “parametrisierte Querys”.

“Leg das mal dem Sascha hin, wenn der in den Semesterferien kommt, kann der sich mal drum kümmern.”

SQL-Injections passieren öffentlich, jederzeit nachlesbar in den Logdateien. Wer merkwürdige “SELECT” in den Protokollen sieht oder sich die Mühe macht, nach einem “DECLARE%20@S%20VARCHAR(4000)” Ausschau zu halten und solche findet, der kann quasi live verfolgen, wie sich Bots aus allen Teilen der Welt an seinem Server zu schaffen machen. Ziel ist es, Schadcode in die Datenbanktabellen einzuschleusen, der dann als Bestandteil der Webseite dem nächsten Besucher in der ausgelieferten HTML-Seite untergejubelt wird. Das können zum Beispiel Javascript-Programme sein, die dann direkt weiteren Schadcode auf den Besucher-PC nachladen, in der Hoffnung, der merke es nicht. So ist Ruck-Zuck ein Zombie gebaut, der beispielsweise zum Versenden von SPAM mißbraucht werden kann.

Leider ist aber eben auch schlimmeres denkbar. Manche Kreditkartendaten gelangen auf diesem Wege in die Öffentlichkeit, notwendiges Vertrauen der Kunden wird vernichtet. Wettbewerber können so mit Tiefschlägen unter die Gürtellinie kaltgestellt werden.

Es gibt Tausende von Servern, deren Anwendungen wahrscheinlich nie mehr von ihrem ursprünglichen Anwendungsentwickler angefasst werden. Da sitzt dann der C-Admin (meist also der nebenberuflich arbeitende Webmaster) hilflos vor der Mail des Providers, in der mittels Abschaltdrohung und Wikipedia-Links unmißverständlich zum Handeln aufgefordert wird.

URL-Scan: Schon am Eingang gibts gleich was auf die Finger

Eingeschleust wird valider SQL-Code, meist vollgestopft mit Funktionen und mit einem CAST verschleiert. Der SQL-Admin staunt nicht schlecht, was jenseits der Lehrbücher noch so alles veranstaltet werden kann. Und alles kommt als HTTP-Request direkt über die URL, wird sofort und brav vom Webserver IIS bearbeitet. Das Fiasko nimmt seinen Lauf.

Doch der IIS bietet eine Docking-Buchse. Mit sogenannten ISAPI-Filtern können dem Webserver zusätzliche Programme beigegeben werden, durch die solche Anfragen durchgeschleust werden. Das URL-Scanning wird möglich.

Hier kommt ein Open-Source Projekt ins Spiel. Unter dem Label AQTRONIX haben findige Leute einen Knecht gebaut, der just die ganzen eingehenden Seitenanforderungen analysiert und die guten ins Töpfchen, die schlechten ins Kröpfchen sortiert.

Der “AQTRONIX WebKnight” arbeitet als ISAPI-Filter im IIS. Er wird mit einer XML-Datei konfiguriert und blockt Dutzende von Unregelmäßigkeiten, unter anderem auch sehr effizient die SQL-Injections. Aber auch mit Such-Robots, Content-Spidern und schlicht idiotischen Zugriffen kennt er sich aus. Er schließt Verzeichnisse, unterbindet unzulässige Zugriffe auf verschiedenste Dateitypen, prüft Referer, schließt tückische Browser aus und vieles mehr.

Klar, vieles davon (vielleicht auch alles?) kann man auch mit Bordmitteln des Server-Windows erschlagen. Doch sind wir ehrlich, die meisten bei Providern gehosteten Windows-Server werden von Menschen administriert, die die meiste Zeit darauf verwendet haben, Preise verschiedener Anbieter miteinander zu vergleichen. Einen Lehrgang für Serveradministration haben die nicht besucht.Für Sascha braucht es also ein Taschenmesser mit Schweizer Qualitäten. Und der Knecht schafft zumindest zusätzliche Sicherheit.

Dennoch die Warnung: Liebe Kunden, bezahlt Euren Admins bitte das Sicherheitstraining. Ihr werdet es nicht bereuen.