Macht's gut, und danke für den Fisch

Das ist mein letzter Eintrag für das Weblog der Internet Professionell. Wie die meisten Leser inzwischen wissen, wird das Heft am 30. Juni eingestellt, und das betrifft auch das Weblog. Da es bis heute keine verbindlichen Informationen gibt, ob und in welcher Form das Blog weitergeführt wird, legt zu diesem Zeitpunkt auch der letzte Mohikaner die Tastatur beiseite.

Aber so wie viele flickr-Auswanderer eine neue Heimat in ipernity, zooomr oder 23hq gefunden haben, wird auch das hier nicht das letzte Wort sein, das Sie von meinen Kollegen und mir online zu lesen bekommen. Bis auf weiteres werde ich nützliche Links in meinem eigenen Blog, dem "caipi-blog" bloggen und lade Sie herzlich ein, dort vorbeizuschauen, oder bei Franz Neumeiers ceterumcenseo. Sollte es eine Wiederauferstehung der Internet Professionell in der einen oder anderen Form geben, werde ich ebenfalls in meinem Blog darüber informieren: "Heute ist nicht alle Tage - wir kommen wieder, keine Frage!"

Vielen Dank an alle Leser, dafür, dass Sie in den letzten Jahren regelmäßig vorbeigeschaut haben, und auch dafür, dass Sie sich mit Kommentaren beteiligt haben. Es hat Spaß gemacht, für dieses Blog zu schreiben, und ich hoffe, wir lesen uns wieder.

Geschrieben von Olivia Adler am 30. Juni 2007 in Red intern | Permalink | Kommentare (14) | TrackBack

Web 2.0 Risiken, die ignorierte Gefahr

Max Bold über Sicherheitslücken im Web 2.0 (ursprünglich als Titelstory der Ausgabe 7/07 geplant, die ja nun nicht mehr erscheint):


Web 2.0 Risiken, die ignorierte Gefahr

Die 10 häufigsten Sicherheitslücken in Web-Applikationen

  1. Ungeprüfte Eingaben
    Über ungefilterte Eingabewerte greifen Hacker Backend-Komponenten an

  2. Fehlerhafte Zugriffskontrolle
    Angreifer verändern Systemdateien oder greifen auf Daten anderer Nutzer zu

  3. Fehler bei der Authentifizierung und im Session Management
    Unzureichender Schutz von Anmeldedaten und Session-Tokens erlaubt Identitätsdiebstahl

  4. Cross Site Scripting
    In Webseiten eingeschleuster Schadcode wird im Browser anderer Nutzer ausgeführt

  5. Pufferüberlauf
    Angreifer übernehmen durch falsche Eingabewerte die Kontrolle eines Prozesses und führen eigenen Code aus

  6. Injektions-Lücken
    Über falsch belegte Parameter lassen Angreifer eigene Befehle ausführen

  7. Lücken in der Fehlerbehandlung
    Zufällige oder gezielt provozierte Fehler setzen das System in einen instabilen Zustand

  8. Unsichere Datenspeicherung
    Der eingesetzte Verschlüsselungsalgorithmus ist falsch implementiert und lässt sich knacken

  9. DoS-Anfälligkeit
    Massenhafte Anfragen überlasten den Server so, dass die Funktionsfähigkeit eingeschränkt ist

  10. Unsicheres Konfigurationsmanagement
    Falsch gesetzte Zugriffsrechte auf dem Server bieten Hackern Manipulationsmöglichkeiten

Quelle: OWASP

Geschrieben von Jacqueline Pohl am 2. Mai 2007 in Red intern | Permalink | Kommentare (0) | TrackBack

Trojaner-Schwemme

Am Wochenende durfte ich im Freundeskreis wieder einmal PC-Support spielen. Groß gestört hat sich der PC-Besitzer an den IE-Abstürzen und Fehlermeldungen der Fritz-Software zwar nicht, aber da ich nun mal da war, konnte ich's gleich reparieren. Der erste Schritt, dem Rechner eine Antiviren-Software zu spendieren, war dann auch gleich ein Volltreffer: 123 Trojaner hatten sich auf dem System versammelt. Screen_dd2Da ich selbst so was noch nie gesehen habe und bislang auch kaum geglaubt hätte ein Screenshot zum Beweis. Beim ersten Trojaner hab ich tatsaechlich noch die Beschreibung durchgelesen, weil mich interessierte, was das Teil üblicherweise so anstellt. Diese zeitraubende Beschäftigung hab ich mir dann aber ganz schnell abgewöhnt.

Ach ja, die größte Sorge meines Kumpels war übrigens, ob er nun künftig jedes Mal erst den blöden Virenscanner eine Stunde lang durchlaufen lassen muss, bevor er am PC arbeiten kann ...

Geschrieben von Daniel Dubsky am 19. März 2007 in Red intern | Permalink | Kommentare (4) | TrackBack

Cebit, nein danke!

Gerade kam eine nette Pressemitteilung von Xnet rein, die in Deutschland die Fernwartungssoftware NetOp vertreiben. Betreff: "Cebit 2007 - Nein Danke!" Als Erklärung schob man dann im Text nach: "Die CeBIT steht vor der Tür und wir sind nicht da! Ganz bewusst nicht. Denn Fernwartung und dann doch vor Ort, ist doch irgendwie paradox." Recht haben sie ...

Geschrieben von Daniel Dubsky am 7. März 2007 in Red intern | Permalink | Kommentare (0) | TrackBack

Rocky Fritz vs. Horst: Sieg nach Punkten

Rocky Balboa steigt wieder in den Ring. Das sah man so nicht kommen. Wollte auch keiner so richtig, aber anschauen wird man den Film doch. Weil alle drüber reden, weil die Reihe ein Klassiker ist oder weil sich boshafte Leute wie ich insbesondere am grobmotorischen Schauspiel des großen Charakterdarstellers *hüstel* Stallone ergötzen. Ich bin ein schlechter Mensch.

Und nun der Schwenk auf den Router-Test. Puh, der Dreh fällt mir jetzt schwerer als ich dachte. Dabei fing alles so viel versprechend an. Versuchen wir es mal so: So wie mit Rocky und seinem Erzfeind Apollo verhält es sich auch mit AVM und D-Link. Herausforderer Horstbox soll den Champion Fritzbox von AVM das Fürchten lehren. Beide Hersteller sind Schwergewichte im Telekommunikations- und Netzwerkgeschäft, doch sein wir ehrlich, von allen Geräten in diesem Segment ist die Fritzbox-Familie (mit all ihren Cousinen, Nichten und Onkeln) der leuchtende Star. Durchtrainiert, sexy,  und mit einem goldenen Meistergürtel um den verschwitzten... Ich war kurz abgelenkt. Wo waren wir? Ah, jedenfalls haben wir nun die Horstbox getestet.

Dlink2_1 Es dauerte ein geschlagenes Jahr seit der Ankündigung, dann erhielt die Redaktion endlich ihr Testexemplar des WLAN-Routers. Mehr als ein Sparrings-Partner für AVM ist das sperrige Gerät allerdings nicht, wie im Test in Internet Professionell 3/07 nachzulesen ist. Das einzige, was die beiden gemein haben, ist ihr putziger Name.

Dlink1_1 D-Link hat sich also eine blutige Nase geholt. Bemerkenswert ist an der Horstbox neben der schieren Größe des Gehäuses und dem Preis (329 Euro bei Amazon), dass es den Testern nicht möglich war, das Teil von dem gewaltigen gelben Sticker zu befreien, der die gesamten Anschlüsse verkleistert. Was für eine Sauerei. Gong, gong, gong! Kein schöner Kampf, aber ein klarer Punkt-Sieg für AVM-Rocky. Finden wir jedenfalls.

Update: D-Links Presseagentur Flutlicht nimmt in einer E-Mail zu einigen angemeckerten Punkten im Horstbox-Test Stellung:

Hintergrund des Aufklebers ist die doch erhebliche Spannung, die auf den analogen und den ISDN Telefonanschlüssen anliegt bzw. die ,Zerstörungsgefahr' für Horst, wenn Kunden zum Beispiel am ISDN Port irrtümlich einen HUB oder PC anschließen. Natürlich sollte sich der Aufkleber ablösen lassen, da hat sich der Leim als etwas tückisch erwiesen ;-) - D-Link wird das ändern. Auch das Gehäuse - übrigens für die gesamte HorstBox Familie (HorstBox Professional, HorstBox Carrier und HorstBox Consumer) - wird überarbeitet. Last but not least: Das Default Login steht im Quick Installation Guide auf Seite 10 - hatten Sie diesen nicht vorliegen? Wenn nein: Sorry!!!

Entweder habe ich mir beim Bestaunen des Geräts einen Sehnerv verletzt, oder in meiner Version des Quickinstall-Guides war da kein Passwort. Wir werden es nie erfahren. Jedenfalls freut es mich zu hören, dass D-Link die Probleme erkannt hat und schon eifrig nachbessert. Zugute halten muss man D-Link unbedingt auch die Profi-Features des Geräts, wie die SoftPBX und Asterisk, die gute VoIP-Implementierung und den vollwertigen USB-Port für externe Speicher und Drucker. 

Je mehr ich mir die beiden Rivalen anschaue, umso mehr frage ich mich: Kämpfen die beiden Boxen denn eigentlich in der gleichen Gewichtsklasse? Ich bin ehrlich ratlos.

Geschrieben von Jacqueline Pohl am 8. Februar 2007 in Red intern | Permalink | Kommentare (0) | TrackBack

Opera und die integrierte Suche

Eine Rechner-Neuinstallation spülte mir vor wenigen Tagen auch einen frisch installierten Opera aufs System. Man tut, was man immer tut in einem solchen Fall: Man passt den Browser an seine Bedürfnisse an, macht ihn etwas weniger bunt und entfernt die nicht benötigten Buttons und Funktionsleisten. Eines gelang mir allerdings überhaupt nicht: Die Suchfunktion, mit der sich der Text einer Webseite durchforsten lässt, öffnet in der Standardinstallation ein Popup, dass sich früher geschickt ins Browser-Suchfeld verbannen ließ. Das ging über das Bearbeiten-Menü und auch über die Einstellungen, doch beide Varianten hat Opera mit Version 9 entfernt. Aber warum nur? Schließlich hat die Suche über das Suchfeld nur Vorteile: Drückt man [Strg] + [F] springt der Cursor ins Suchfeld; kein nerviges Popup verdeckt Teile der Webseite. Zudem werden schon beim Tippen die Fundstellen im Text farbig markiert, wohingegen beim Popup erst ENTER gedrückt werden muss, bevor die Treffer angezeigt werden.

Mit etwas Suchen im Web ließ sich das Problem jedoch glücklicherweise lösen und der gewohnte Komfort wieder herstellen. Neuerdings muss man sich in die Tiefen der Opera-Konfiguration bequemen, indem man about:config in die Adresszeile eingibt. Dort findet man dann unter User Prefs den Punkt Use Integrated Search (Aha, so heißt das jetzt also!) und setzt ein Häkchen in die Checkbox davor. Speichern nicht vergessen!

Und etwas Gutes ist dabei auch noch herausgesprungen: Ich weiß nun nicht nur, wie die gesuchte Funktion heißt, sondern habe auch noch ein ziemlich gut gefülltes Forum zu Opera gefunden. Dort gibt es Hilfe bei Problemen, massig gute Tipps zur Browser-Anpassung und viele nützliche neue Buttons für Zusatzfunktionen und praktische User-Javascripts.

Geschrieben von Daniel Dubsky am 8. Februar 2007 in Red intern | Permalink | Kommentare (1) | TrackBack

Überraschungsbesuch vom Webmarketing-Guru

Einigermaßen überraschend bekam ich vorhin Besuch von Jim Sterne. Nun, ich hatte bisher noch nichts von ihm gehört, aber er scheint doch ein recht bekannter Webmarketing- und Website-Analyse-Guru zu sein, der auch schon einiges an Büchern geschrieben hat und Vorsitzender der Web Analytics Association ist. Er kam, um ein bisschen für das Emetrics Summit 2007 zu trommeln. Auf der Konferenz geht es Mitte April in Düsseldorf um für Website-Betreiber durchaus spannende Fragen, etwa welche Kennzahlen für den Erfolg von Internet-Projekten wichtig sind, wie man diese erhebt und – mit am wichtigsten – was man mit diesen Zahlen überhaupt anfängt.


In den meisten Firmen ist es ja durchaus so, dass ein schmuckes Tool angeschafft wird, das unzählige Statistiken zur Performance der Website und zum Besucherverhalten auf den Seiten erstellt. Doch diesen Zahlenwust auswerten und entsprechend reagieren tun die wenigsten. Als nette Faustregel erklärte Sterne: Für 10 Euro, die man in ein Analysetool steckt, müsse man 90 Euro in einen fähigen Analysten investieren. Der muss dann die wichtigen von den unwichtigen Daten trennen und durch kleinere Änderungen an der Website herausfinden, wie sich mehr Besucher auf die Website locken und zu einem längeren Aufenthalt bewegen lassen – und dann nach Möglichkeit auch noch was kaufen oder fleißig Anzeigen anklicken. Zu wissen, wie viele der Website-Besucher etwa aus München kommen, mag zwar interessant sein, ist aber für die meisten Seitenbetreiber schlicht unwichtig.


Firmen investieren allerdings lieber in ein Analysetool als in Mitarbeiter. Geht's mit der Website nicht bergauf, muss es am Tool liegen – ein neues muss her. Bei seinen Vorträgen in den USA hat Sterne die Erfahrung gemacht, dass die meisten Unternehmen mittlerweile schon beim dritten Tool angekommen sind; es wird fröhlich hin- und hergewechselt – die einen von Webtrends über Omniture zu WebSideStory und andere den umgekehrten Weg. Gebracht hat es in den seltensten Fällen etwas.


Dazu kommt: Ein durchdachtes Geschäftsmodell braucht man natürlich auch. Was nützt es, die Website mit der besten Software und cleveren Analysten auf Erfolg zu trimmen, wenn man aus diesem keinen Umsatz generiert. Bestes Beispiel hierfür ist YouTube, das bislang aus seiner Popularität keinen Profit schlagen kann. Bezahlte Downloads oder Werbung am Anfang der Videoclips hält Sterne beispielsweise für den falschen Weg – lieber würden sich die User nach einen kostenlosen, werbefreien Alternative umsehen. Also mal schauen, was YouTube-Besitzer Google sich einfallen lässt.

Geschrieben von Daniel Dubsky am 2. Februar 2007 in Red intern | Permalink | Kommentare (1) | TrackBack

Schneemänner verboten!

Schneemann_1So was, da hat doch tatsächlich jemand vor dem Verlag einen Schneemann gebaut - und ist damit böse beim Hausmeister angeeckt. Der droht nun im Wiederholungsfall mit "mietrechtlichen Konsequenzen", denn "die Einrichtung bzw. der Bau von Schneeskulpturen" ist "aus sicherheitstechnischen Erwägungen abzulehnen". Naja, wahrscheinlich hat er nur Angst, dass der nächste Schneemann um einen Poller oder Hydranten gebaut wird und er sich seinen lustigen Schneepflug kaputt macht, wenn er ihn umfährt. Am besten wir lassen gleich vorsorglich den kompletten Kinderkarten Kindergarten verhaften, der sich hier im Gebäudekomplex befindet, das sind schließlich alles potenzielle Schneemannbauer.

Geschrieben von Daniel Dubsky am 25. Januar 2007 in Red intern | Permalink | Kommentare (4) | TrackBack

Typepad implementiert neuen Spamfilter

Seit einigen Tagen ist Typepad, unser Blog-Provider, nur unter Schwierigkeiten erreichbar. Sowohl das Erstellen von Beiträgen als auch das Kommentieren sind häufig sehr langsam oder unmöglich. Auf Anfrage beim Support haben wir erfahren, dass die Serviceausfälle auf heftige Spam-Attacken zurückzuführen sind und Typepad jetzt einen Spamfilter implementiert, nachzulesen auch im Typepad-Blog. Gratulation, Jungs und Mädels, das war auch schon lange fällig - dafür leben wir doch gern mit ein paar vorübergehenden Unannehmlichkeiten, wenn wir uns danach auf ein spamfreies Blog freuen dürfen - dürfen wir doch? (Wir hoffen nur, dass in Zukunft deutsche Besucher nicht ausgesperrt werden - "known Spammer country" und so...)

Sollten Sie Schwierigkeiten beim Kommentieren haben, bitten wir um noch etwas Geduld - die Probleme sind hoffentlich bald behoben.

Geschrieben von Olivia Adler am 3. November 2006 in Red intern | Permalink | Kommentare (0) | TrackBack

SEO-Projekt Kakuro-Online.de

Mit dem Projekt Kakuro-Online.de hatten wir ja vor einigen Monaten einige Experimente in Richtung Suchmaschinen-Optimierung gestartet und auch über ein paar gravierende Probleme berichtet. Inzwischen hat sich da vel getan, die Site ist im Google-Ranking wieder wunderbar nach oben gestiegen und ich bin um ein paar Erkenntnisse reicher.

Was hat die Wende ausgelöst? Warum ist Kakuro-Online.de im Google-Ranking von zwischenzeitlich "nichts" wieder auf Rang 4 (Suchwort "Kakuro") vorgerückt? Der zwischenzeitliche Verdacht eines Cross-Site-Scripting-Hacks hatte sich schnell ausräumen lassen, aber zwei Probleme schienen das verschwinden aus den Google-Listings ausgelöst zu haben:

1) Die Keyword-Density, also das Vorkommen des Keywords "Kakuro" im Verhältnis zur gesamten Textmenge war relativ hoch, nämlich rund 6 Prozent. Da Google die natürliche Grenze bei unter 2 Prozent sieht, hat da wohl der Spamfilter zugeschlagen. Inzwischen ist der Wert auf den Seiten deutlich unter 6 Prozent, jedoch eigentlich immer noch zu hoch. Bei einer so themenspezifischen Site ist es tatsächlich recht schwer, die Keyword-Density niedrig zu halten. Das hat gar nichts mit absichtlichem Google-Spamming zu tun - hohe Keyword-Density-Werte ergeben sich auf einer solchen Site ganz von selbst. In jedem Fall ist es also wohl dringend ratsam, diesen Wert regelmäßig zu kontrollieren und gegebenenfalls die Seiten anzupassen.

2) Ich habe sämtlichen Fremd-Content von der Site entfernt oder grundlegend umgeschrieben. Ursprünglich hatte ich relativ viel Content von Wikipedia übernommen, was aber möglicherweise bei Google zu Abwertungen wegen Duplicate Content geführt hat. Es ist umstritten, ob das in Fällen wie bei Kakuro-Online.de wirklich Auswirkungen hat, naheliegend ist aber natürlich schon, dass Google Seiten niedriger bewertet, die vorwiegend keinen eigenen Content anbieten.

Interessant ist, dass die sehr geringe Anzahl von Inbound-Links offenbar in diesem Fall keine negativen Auswirkungen hat. Meine erste Vermutung, als Kakuro-Online.de im Ranking so rapide abstürzte, ging in diese Richtung. Inzwischen ist die Site aber wieder vorne mit dabei, ohne im großen Stil neue Inbound-Links zu haben. Bei wenig Konkurrenz sind fehlende Inbound-Links also offenbar nicht das Maß aller Dinge. Trotzdem natürlich herzlichen Dank an die Websites, die unsere Link-Aktion unterstützt haben. Wie versprochen verlosen wir ein Paket Kakuro-Software an alle, die einen Link auf Kakuro-Online.de gesetzt haben. Und der Gewinner ist: Heiko Eckert.

Ob nun die Keyword-Density (meine Vermutung) oder Duplicate Content, oder beides die Probleme ausgelöst hat, läßt sich naturgemäß nicht feststellen. Fakt ist aber, dass die Site jetzt wieder gut im Rennen ist. Die positivste Nachricht dabei ist für mich aber: Wenn man sein Google-Ranking ständig beobachtet und auf Probleme schnell reagiert, ist der Schaden begrenzbar - vorausgesetzt man betreibt kein aktives Google-Spamming, denn dann dürfte der Google-Bann sich nicht so einfach wieder aufheben lassen wie in unserem Fall.

Geschrieben von Franz Neumeier am 9. Oktober 2006 in Red intern | Permalink | Kommentare (3) | TrackBack