Monthly Archives: Juli 2007

Seepferdchen

Am vergangenen Sonntag war es dann soweit. Tim, mein Sohn, konnte endlich die Seepferdchen-Prüfung ablegen. Noch vor einem halben Jahr erschien das nahezu unmöglich, weil ihm nach einer halben Länge die Arme sooooooo weh getan haben. Beim jetzigen (ersten) Versuch fielen ihm die Aufgaben aber ganz leicht und nun träumt er schon vom Freischwimmer.

Und dabei ist mir doch gerade aufgefallen das auch die Seite des DLRG auf Open Source setzt und mit Typo3 gepflegt wird. Die wissen halt was gut ist!

Security by obscurity: Das Problem der Typo3 Plugins

Typo3 ist eines der erfolgreichsten Content-Management Systeme. Das Open Source System ist weit verbreitet und hat eine große Entwickler-Community, die Bugs behebt und Schwachstellen ausmerzt.

Das Kernsystem hat Sicherheitsaudits bestanden und wird unter anderem auch von Banken für deren Internet-Auftritt verwendet. Alles Sicher, alles Bestens könnte man meinen.

Denkste. Die besten Sicherheitsaudits und Community-Reviews taugen nichts, wenn das Qualitätsmanagement leicht ausgehebelt werden kann. In Typo3 geschieht dies durch “Extension”, Erweiterungen des Kernsystems, die die Entwickler-Community über den Extension-Manager miteinander austauschen.

So beschreibt der TYPO3 Security Blog, wie leichtfertig einige TYPO3-Anwender mit einer Sicherheitslücke bei der Erweiterung “ftp-Brower” umgehen:

€œftpbrowser€ wurde insgesamt über 4500 mal aus dem TER heruntergeladen – der zugehörige Security Fix bis heute (10 Tage nach dem Bulletin) aber nicht mal 100 mal! Und €œfechangepassword€ sowie €œcivserv€ weisen ähnlich schlechte Raten auf.

Neben den Mängeln im Update-Verfahren, gibt es ein generelles Problem in der Nutzung der Extension-Repository.

Denn im Gegensatz zum Systemkern, finden bei den beigesteuerten Erweiterungen nur selten intensive Code-Reviews durch die Community statt. Es gibt auch kein angewandtes Qualitätsmanagement, welches die Aufnahme einer Erweiterung in das Repository standardisiert überwacht und regelt.

Die Folge: das Repository beinhaltet Unmengen von Erweiterungen, von den einen Großteil sich durch lückenhafte Dokumentation der Programmierung auszeichnen. Zudem gibt es zahlreiche Forks von Erweiterungen, anstatt die Sourcebasis einer Erweiterung über Versionsmanagement zu verwalten.

Und nur das Denkmodell einer böswillig eingeschleusten Schadsoftware in einer niedlichen Extension ist beunruhigend. Wo keine Kontrolle stattfindet, ist die Versuchung groß…

Es herrscht also Chaos im Extension-Repository. Ein gefährliches Chaos. Denn eine schlecht programmierte Erweiterung kann dazu führen, dass das TYPO3-System kompromittiert wird. Eine Schwachstelle in einer Erweiterung ist unter Umständen auch eine Schwachstelle in TYPO3.

Doch was tun?

Zunächst muss man bei der Einbindung von Erweiterungen aus dem TYPO3 Repository Vorsicht walten lassen. Entwickler sollten sich denSourcecode der verwendeten Extension genau anschauen.

Innerhalb der TYPO3 Community muss für das Repository ein QM Prozess definiert werden. Unter Umständen führt dies, dazu das Erweiterungen die den Qualitätsstandard nicht erfüllen als “unsicher” gekennzeichnet werden müssen. Doch um dies zu bewerkstelligen braucht die Community Manpower um Reviews durchzuführen.

Wurde eine Schwachstelle in einer Extension entdeckt, müsste diese Nachricht per Feed automatisch in das Backend von Typo3 eingeblendet werden. Wenn ein Administrator deutlich zum Update aufgefordert wird, kann er zur Tat schreiten. In diesem Punkt finde ich die Update-Information bei WordPress sehr gut gelöst.

An diesem Punkt muss die Diskussion in der Community fortgeführt werden. In der Zwischenzeit heißt es für Entwickler: schau Dir die Extension sehr genau an, die du verwenden möchtest.

Inside: So bewältig Youtube den Ansturm der User

Youtube ist ein technisches Wunderwerk. Die Plattform liefert täglich Millionen von Videos aus, wächst weiterhin rapide und ist hoch verfügbar. Mit welchen Techniken schaffen dies die Macher von Youtube? Die Antwort: Cluster mit billiger Hardware und Open Source Software.

Youtube Entwickler Cuong Do gab auf der Seattle Conference of Scalability einen Blick hinter die technischen Kullissen

Youtube ist ein Meisterwerk der Skalierbarkeit. Ohne größere Performance-Probleme hat die Videoplattform im Jahr 2006 ein riesigen Zuwachs der Benutzerzugriffe bewältigt. Von täglich 30. Millionen auf über 100. Millionen innerhalb von nur 4 Monaten. Open Source Software ist ein wichtiger Motor der Youtube Plattform, insbesondere Linux, Lightpd, Python und MySQL.

Bau Dir Deinen Beamer selbst!

Warum viel Geld für einen Beamer ausgeben? “Do it yourself” ist das Motto! Aus Elektroschrott lässt sich mit ein bisschen Tüftelei ein prima Video-Beamer bauen.

Diy-Community, bau dir deinen Beamer selbst!

Auf Diy-Community findet sich die Bauanleitung für den Video-Beamer Marke “Heimarbeit”. Und damit niemand beim Zusammenbauen verzweifelt, gibt es im Forum genug Nerds und Geeks die mit Rat und Tat zur Seite stehen.

So, ich geh jetzt in den Keller zum Löten…

46. Tipps für gutes e-Mail-Marketing

Wer einen Newletter versenden möchte, tappt schnell in ein Fettnäpfchen. Aus einem gut gemeinten Info-Mailing kann schnell ein unangenehmer Boomerang werden. Denn in der täglichen Spam-Flut reagieren Empfänger sehr sensibel auf E-Mail Botschaften.

Die Nachfolgende Checkliste enthält 46. Tipps die dabei helfen, dass der eigenen E-Mail Newsletter in der Spam-Flut nicht untergeht. Außerdem gibt diese Checkliste Hinweise zum Text-Aufbau, Umgang mit E-Mail-Adressen und zur Auswertung einer E-Mail-Kampagne.

46 Tipps: Newsletter richtig vorbereiten, versenden und auswerten.

Online Anmeldung für einen Newsletter

1. Anonymen Bezug des Newsletters ermöglichen: nur Eingabefeld für E-Mail Adresse als Pflichtfeld
2. Name & Interessenschwerpunkt als freiwillige Angabe
3. Vertrauen schaffen: keine Weitergabe der e-Mail-Adresse an Dritte
4. Link zu Datenschutzrichtlinie sichtbar platzieren
5. Übersichtliche Gestaltung des Anmeldeformulars
6. Anmeldung über Double-Opt-In Verfahren
7. Einfache Abmeldung ermöglichen (per E-Mail oder Webformular)
8. Nur eine Anmeldung ermöglichen, wenn Sie auch wirklich vorhaben einen regeläßigen Newletter zu versenden!

Pflege und Verwaltung der E-Mail Adressen

9. Ermöglichen Sie den Abonnenten Ihre Daten eigenständig online zu verwalten.
10. Führen Sie intern eine Sperrliste (sog. Robinsonliste) mit allen e-Mail-Adressen die keinen Bezug wünschen
11. Eleminieren Sie Doubletten an der Adress-Quelle
12. Entfernen Sie Rückläufer (€žHard-Bounces€œ) an Ihrer Adress-Quelle

Redaktion und Aufbau des E-Mail Newsletters

13. Betreff muss kurz und aussagekräftig sein (ggf. Wirkung in Tests überprüfen)
14. Bekannte Absender-Adresse verwenden
15. Kurze und bildliche Texte
16. Eine kurze Inhaltsangabe am Anfang erhöht die Übersicht
17. Redaktionelle Themen mit einer Überschrift einleiten
18. Kurze Absätze im E-Mail-Text mit max. 3 €“ 5 Zeilen
19. Ausführlichen Inhalten auf Webseite (Landingpage) verlinken
20. Landingpage übersichtlich aufbauen
21. Text vor Grafik: HTML-Mails nicht mit Grafiken überfrachten
22. Keine Anhänge mit dem Newsletter versenden
23. SPAM-Muster vermeiden: grelle Farben, GROSSE SCHREIBWEISE, Spam-Begriffe wie €žHot€œ, €žScharf€œ etc…)
24. Impressum
25. Link zur Abmeldung vom Newsletter am Fußende platzieren
26. Nennen Sie einen persönlichen Ansprechpartner
27. Möglichkeit zur €žWeiterempfehlung€œ geben
28. Testen Sie Ihren Newsletter. Überprüfen Sie die Darstellung mit verschiedenen E-Mail-Programmen.
29. Links in Textmails zwischen <…> Klammern platzieren: <http://www.hierderlink.de>

Personalisierung

30. Newsletter mit persönlicher Anrede beginnen
31. Inhalte nach Interessenschwerpunkt der Empfänger ausrichten

Versand

32. Versand über einen extra Mail-Server mit fester IP-Adresse
33. Versandtermin mit Sorgfalt wählen: Mo (bsp. ab Nachmittag bis Freitag Vormittag)
34. Alle Empfänger vor Versand mit Sperrliste (Robinsonliste) abgleichen
35. E-Mail Doubletten kontrollieren und und vor dem Versand eliminieren
36. Kein Versand über €žCC€œ oder €žBCC€œ
37. Wählen Sie ein aussagefähige Absenderadresse für den Newsletter
38. E-Mail niemals als €žWichtig€œ oder €žDringend€œ kennzeichnen

Auswertung der E-Mail Kampagne

39. Erfassen Sie Rückläufer (Hard- und Softbounces)
40. Erfassen Sie die Churnrate (Abmeldungen nach dem Versand einer Kampagne)
41. Führen Sie eine Seitenstatistik über die Aufrufe der Landingpage
42. Benutzen Sie das Nachladen von Grafiken nur mit Bedacht für die Auswertung (weckt Schnüffelverdacht beim User!)

Abmeldung vom Newsletter

43. Hinweis zur Abmeldung auch auf der Anmeldeseite im Internet platzieren
44. Im Newsletter eine automatische Abmeldung per Link ermöglichen (Link am Fußende des Newsletters)
45. Abgemeldete E-Mail-Adressen in Sperrliste erfassen
46. Nennen Sie einen persönlichen Ansprechpartner für Abmeldungen

Wenn Sie diese 46 Punkte beachten, sind Sie mit Ihrem E-Mail-Newsletter auf dem richtigen Weg. Gerne beraten wir Sie bei der Planung, Durchführung und Erfolgsauswertung Ihrer zukünftigen Newsletter-Kampagnen.

Weitere Informationen zum Thema E-Mail-Marketing gibt es auf unserer Webseite unter: http://www.digital-worx.de/e-mail-marketing.html

Browsershots: Teste die Darstellung einer Webseite auf verschiedene Browser

Mit Browsershots kannst Du die Darstellung einer Webseite auf unterschiedlichen Browsern testen. Über das Open Source Tool wird die Eingebende URL an verschiedene Testsyteme mit unterschiedlichen Browser-Konfigurationen übermittelt. Diese fertigen einen Screenshot der Webseite an und die gesammelten Testergebnisse können auf Browsershots.org betrachtet werden.

Das Besondere an Browsershots: das Ergebnis ist keine Simulation, sondern ein Screenshot eines vorhandenen Live-Browser-Systems. Folgende Testsystem stehen derzeit zur Verfügung:

  • Linux: Iceweasel 2.0, Konqueror 3.5
  • Mac: Firefox 2.0, Safari 2.0
  • Windows: Firefox 1.5, Firefox 2.0, MSIE 5.0, MSIE 5.5, MSIE 6.0, MSIE 7.0

Browsershots.org Webseite

Ein dickes Lob an Johann C. Rocholl, dem Macher hinter dem Open Source Projekt Browsershots.org.

1 2