News und Tests

In letzter Zeit habe ich mich mal wieder ein wenig intensiver mit meinem Projekt Shoppingkaiser beschäftigt und dieses weiterentwickelt.

Ein zusätzliches Feature, welches ich eingebaut habe sind sogenannte Vertipper-Auktionen. Damit sind Auktionen gemeint, welche im Titel einen Tippfehler, oder Rechtschreibfehler enthalten.

Mehr dazu könnt Ihr hier nachlesen.

Das Problem

Für die Vertipper brauchte ich logischerweise eine Klasse, welche eine Suchphrase entgegen nimmt und mir alle möglichen Tippfehler in einem Array zurückliefert. In erster Instanz dachte ich daran eine bestehende Php-Klasse zu verwenden.

Ich habe also bei meinem Freund Google nachgescheut und auch einige Beispiel-Klassen gefunden. Wie aber zu erwarten war genügten diese Umsetzungen nicht ganz meinen Anforderungen:

• Teilweise war die Suchphrase mit in den zurück gelieferten Tippfehlern enthalten
• Die Anzahl der Tippfehler war recht groß und enthielt teilweise kontraproduktive Ergebnisse
• Die Klassen waren allesamt nicht UTF-8 kompatibel. weiter lesen…

Es ist ein leidiges Thema, aber ich finde man kann es nicht oft genug erwähnen und schreiben. Es geht um Sicherheit im Hinblick auf die Datenverarbeitung von nicht bekannten Inhalten.

Jeder Entwickler, ob Anfänger oder Profi wir irgendwann mal in der Situation sein, in der er vom User eingegebene oder  über eine Schnittstelle eingelesene Daten in einer Datenbank speichern möchte, oder diese für eine Abfrage benötigt.

Eins haben die beiden Szenarien gemeinsam. Wir haben keinen Einfluss auf den Inhalt der Daten.

weiter lesen…

Erst letztens bin ich mal wieder aus allen Wolken gefallen. Ich habe mich bei einem  Online-Service angemeldet und bei der Anmeldung sollte ich standardmäßig meinen Gewünschten Benutzernamen und mein Passwort eingeben.

Dann habe ich die auch noch obligatorische Bestätigungs-E-Mail bekommen in der auch der Link zum Bestätigen meines Accounts stand. Bis dahin war auch soweit alles in Ordnung.  Doch was ich in dieser E-Mail gelesen habe, das hat mich doch glatt umgehauen.

Der Schock

Dort Stand nicht nur mein Benutzername und der Link zur Bestätigung, sondern auch noch einmal meine kompletten Login-Informationen inkl. meines selbst vergeben Passwortes im Klartext.

Ich dachte eigentlich bis dato, dass es in den letzten Jahren bis zum letzten Software- und Anwendungsentwickler durchgedrungen seine muss, dass man Passwörter niemals im Klartext abspeichern darf. weiter lesen…

Ich weiß, für viele ist das Thema ein alter Hut, aber wenn man so im weltweiten Netz unterwegs ist, findet man immer noch viel zu häufig Seiten auf denen die Problematik weiterhin existiert. Darunter sind auch durchaus bekannt und renommierte Sites. Es war z.B. vor gar nicht allzu langer Zeit selbst noch bei eBay möglich injizierten Code dafür zu missbrauchen um Auktionen und Bewertungen zu manipulieren und so ein Falsches Bild zu suggerieren (siehe z.B. diesen Heise-Artikel).

Hier möchte ich einmal die Grundlagen dafür schaffen, dass eine einfache HTML-Injektion auf euren Seiten nicht mehr möglich ist.

Das Problem

Versucht einfach mal auf diversen Internetseiten in ein Input-Suchfeld z.B. den folgenden Text (ohne die Anführungszeichen) einzugeben. „<script type=”text/javascript”>alert(“Hallo”);</script>“. Ihr werdet feststellen, dass auf einigen Sites immer noch auf der Folgeseite, welche die Eingabe auswertet z.B. steht „Ihre Suche nach ‚‘ liefert folgendes Ergebnis:“. Zusätzlich erscheint dann eine JavaScript Message-Box in der „Hallo“ steht. An diesem kleinen Beispiel könnt Ihr schon sehen wie sich das Problem schon bei so scheinbar kleinen Dingen deutlich macht.

weiter lesen…

Im zweiten Teil meiner Reihe SEO-Maßnahmen geht um das Thema Performance. Google hat sich nach einschlägiger Meinung für das Jahr 2010 vorgenommen Websites speziell auf die Performance hin zu messen und zu bewerten. Wir können also davon ausgehen, dass sogar der Pagerank-Algorithmus hierbei großen Veränderungen unterliegt.

Google zeigt uns die Schwächen auf

Google zeigt seit neuestem in den Webmaster-Tools die sogenannte Website-Leistung an. Diese gibt euch einen Eindruck davon wie die User den Aufbau der Seite empfinden und wie Ihr im Vergleich zum restlichen Web dasteht. Zudem gibt es ja schon seit langem unter dem Bereich Crawling-Statistiken den Punkt “Dauer des Herunterladens einer Seite“. Dieser gibt halt an wie lange Google für das Herunterladen einer Seite benötigt. Im ersten Fall wird also die Zeit gemessen, welche der User warten muss (schätzungsweise inkl. OnLoad-Ereignissen) und die zweite Zeit gibt an wie schnell die Seiten (oder besser gesagt die Bytes) heruntergeladen werden. weiter lesen…