Zu etwas anderem: Mit Lion hat Apple auch still und heimlich die FTP-Unterstützung in den Freigabeoptionen gekillt. Das wird nicht alle stören, wenn man aber – so wie ich – einen lokalen Webserver für Entwicklungszwecke betreibt, ist das schon etwas nervig. Beispielsweise kann WordPress sich dann nicht mehr selbst updaten.

Freigabeobtionen unter Lion

Aber die Lösung ist da, dieser Hilfeartikel von Apple erklärt wie es geht und funktioniert auch ohne die neue kostenpflichtige Serverapp. In der Kürze: Termin aufmachen und folgendes Tippern, wobei ladmin der Kurzname eures lokalen Adminusers ist und EUERFTPUSERNAME ein neuer FTP-Benutzer:

dseditgroup -o create -n /Local/Default -u ladmin com.apple.access_ftp
dseditgroup -o edit -u ladmin -a EUERFTPUSERNAME com.apple.access_ftp
sudo launchctl load -w /System/Library/LaunchDaemons/ftp.plist

Ähnliche Artikel:

1. 1&1: PHP5 aktivieren Heute erreichte mich ein kleiner Hilferuf: Bei einer WordPress-Installation blieb...
2. iPhone: Tethering-Funktion aktivieren Seit OS 3.0 verfügt das iPhone auch über die Möglichkeit...
3. iPhone-Tracker: Das eigene Bewegungsprofil Jau, da geht ja grade wieder ne News rum. Das...

Was macht das gute Stück? Im Gegensatz zu phpMyAdmin ist der MySQLDumper nicht zur Verwaltung von Datenbanken gedacht, sondern erfüllt nur einen sehr begrenzten Zweck, den aber sehr gut: Er dumpt eure MySQL-Datenbanken und spielt ggf. auch wieder Daten ein. Das Besondere: Im Gegensatz zu phpMyAdmin kommt der Dumper auch mit großen Datenbanken klar. Dort wo phpMyAdmin & Co. Fehlermeldungen wegen zu langer Skriptlaufzeiten auswerfen, macht der Dumper gemütlich weiter.

Der MySQL-Dumper bei der Arbeit

Gerade wenn man keinen SSH-Zugriff auf seinen Server hat, kann einem der MySQLDumper schon mal den Hintern retten.

Ähnliche Artikel:

1. WordPress: Wenn auf einmal alle Artikel verschwinden Wenn am Telefon eine entsetze Kundin fragt “Wo sind alle...
2. Tool Time (2) Weiter geht’s mit den Tools, die in meiner Werkzeugkiste nicht...
3. FailHoo Vor über einer Woche habe ich aus beruflichen Gründen einen...

Screenshot der gehackten Seite - weitere "Hacks" werden angekündigt

1. Verantwortung

Bevor wir zu den konkret greifbaren Maßnahmen kommen: Ist es einmal soweit und die eigene Website schmückt sich mit fremden Inhalt, steht meistens schnell fest: “Da war ein Hacker am Werk!”. Oft wird aber fälschlicherweise von einem Hackerangriff gesprochen, denn erst die eigene Fahrlässigkeit hat dem Angreifer sein Tun ermöglicht. Das kann zum Beispiel eine zu simple Kombination aus Benutzernamen und Passwort sein. Auch gerne genommen werden Standard-Passwörter, die von bestimmten Systemen angelegt werden und nicht geändert worden sind. Eine offene Einladung für manche Gestalten, aber von einem “Hackerangriff” ist so etwas weit entfernt. Sicherheit entsteht nicht einfach so, man trägt eine (seine eigene) Verantwortung dafür, dass niemand Unbefugtes leichtfertig Zugang zum System erhält.

2. Benutzername und  Kennwort

Eigentlich eine Selbstverständlichkeit, die aber oft dem Altar der Bequemlichkeit geopfert wird: Die Auswahl des richtigen Kennworts. Die klassischen Dont’s, ein leeres Kennwort oder Benutzername = Kennwort, sollte man dabei tunlichst unterlassen. Eine gesunde Mindestlänge (mindestens 6, besser 8 Zeichen), sowie eine Mischung aus Buchstaben, Ziffern und Groß- und Kleinschreibung sollten es schon sein. Damit das Passwort trotzdem halbwegs merkbar bleibt, kann man z.B. einzelne Buchstaben durch ähnlich aussehende Ziffern ersetzten. Den Buchstaben “e” kann man so durch die “3″ ersetzen, das “s” durch die “5″, das “o” durch die “0″. Aus dem fiktiven Passwort “hasenohr” wird so z.b. “ha53n0hr”. Jetzt noch zwei Buchstaben in Großschrift und schon haben wir ein annehmbares Kennwort. Daneben sollte man die folgenden Dinge berücksichtigen:

• Regelmäßig das Kennwort wechseln:
  Alle 6 – 12 Monate sollte man sein Kennwort trotzdem ändern, je öfter desto besser. Auf diese Art und Weise kann man nicht nur die Gefahr von Brutforce-Angriffen (die bei einem starken Kennwort ungefähr so lange für die richtige Kombination benötigen) minimieren, auch der längst in Vergessenheit geratene Praktikant aus dem letzten Jahr kommt nicht mehr in das System.
• Jedem sein eigenes Kennwort:
  Apropos Praktikant: Wenn mehrere Personen zum System Zugang haben, dann aber bitte mit eigenen Zugängen. So kann man nämlich nicht benötigte Zugänge umgehend deaktivieren. Und natürlich gilt: Sein eigenes Passwort wird nicht weitergegeben und klebt auch nicht auf einem Post-It am Monitor.
• Standard-Benutzernamen vermeiden:
  In der Regel erfolgt der Zugang zum System über eine Kombination aus Benutzernamen und Kennwort. Dabei kann die Auswahl des richtigen Benutzernamens schon fast wie ein eigenes Kennwort wirken. Auf “admin”, “administrator” oder “root” sollte man deshalb besser verzichten.
• Aus dem System ausloggen:
  Nach getaner Arbeit sollte man sich unbedingt aus dem Redaktionssystem ausloggen – die “Logout”-Buttons sind ämlich nicht zum Spaß erfunden worden. Ansonsten kann es zu sogenannten MITM-Angriffen kommen, bei dem der Angreifer über offene Sessions in das System eindringt.

Diese Hinweise gelten natürlich nicht für den Benutzer im Redaktionssystem, auch z.B. für den FTP-Benutzer oder ganz besonders den eigenen Mail-Account. Denn ist dieser offen wie ein Scheunentor, kann ein Dritter über die “Passwort vergessen”-Funktionen auf nahezu sämtliche Accounts zugreifen, sofern diese nicht noch über einen extra Schutzmechanismus verfügen.

3. Regelmäßige Updates

Egal welches Redaktionssystem man nutzt, man sollte es immer aktuell halten. Oft werden mit einem Update nämlich nicht nur neue Funktionen zur Verfügung gestellt, sondern auch Sicherheitslücken geschlossen. Matt Mullenweg, der Entwickler von WordPress, schreibt in einem Blogpost:

The only thing that I can promise will keep your blog secure today and in the future is upgrading.

Bei TYPO3 erscheinen Sicherheitsupdates auch für die verschiedene Versionsstränge, so dass ein Update nicht zwangsläufig mit einem Versionssprung einhergeht und eine Aktualisierung nicht auf die lange Bank geschoben werden muss.

Um rechtzeitig über neue Updates informiert zu werden, sollte man angebotene Security-Mailinglisten o.Ä. abonnieren – so ist man zumindest nicht wesentlich später als der mögliche Angreifer informiert. Nützlicher Link dazu: Die TYPO3 Security Bulletins.

4. Der Webserver

Auch ein Webserver will gewartet und gepflegt werden. Und das nicht nur bei der Hardware. Das Betriebsystem, PHP, MySQL und Co. verlangen genauso nach permanenten Aktualisierungen wie das Redaktionssystem. Nur wenige von Euch werden einen eigenen Root-Server gemietet haben und müssen sich selbst um solche Updates kümmern. In der Regel ist es die Aufgabe des Hosters, solche Aktualisierungen einzuspielen und für Sicherheit und Stabilität zu sorgen. Leider verzichten einige Billiganbieter aus Kostengründe gerne darauf und spielen selten bis nie Updates ein. Im Zweifel hilft hier aber nur der Wechsel zu einem seriösen Anbieter mit entsprechender Leistung.

5. Der eigene PC

All die tollen Hinweise und Tipps nutzen recht wenig, wenn der Rechner mit dem man seine tägliche Arbeit verrichtet, verseucht ist und Dritte so Zugang zu sensiblen Daten erhalten. Deshalb gilt auch für das Betriebssystem des eigenes Rechners: Systemupdates sollten regelmäßig eingespielt werden. Nutzt man eine veraltete Version, für die keine Updates mehr erscheinen, sollte man ein Upgrade zu einer neuen Version des Betriebssystems in Betracht ziehen.

Ausserdem sollten zumindest Windows-Nutzer unbedingt eine Virensoftware nutzen, für die täglich neue Virendefinitionen erscheinen.  Nutzt man ein Windows-Betriebssystem, kann man z.B. auf die kostenlosen Security Essentials von Microsoft zurückgreifen.

Generell gilt bei Windows-Rechnern: Wurde ein System einmal kompromittiert, ist es nicht mehr vertrauenswürdig. Sensible Daten sind dort nicht mehr sicher. Auf Versuche, den Virus oder Trojaner zu beseitigen kann man deshalb verzichten, stattdessen sollte man seine Zeit lieber in die Neuinstallation investieren.Dieses Vorgehen hat Microsoft selbst vor Jahren in einem Knowledgebase Artikel empfohlen.

Fazit

Für ein Mindestmaß an Sicherheit zu sorgen ist nicht schwer. Man muss nur den inneren Schweinehund und die eigene Bequemlichkeit ablegen. Der Name der Ehefrau taugt nicht unbedingt als Passwort für seinen Mailaccount, eBay und den WordPress-Admin. Wenn man ein paar Grundlagen beachtet und sich etwas Mühe macht, entstehen die am häufigsten genutzten Sicherheitslücken erst gar nicht.

Weitere Tipps, Hinweise und Kritik sind natürlich gerne in den Kommentaren gesehen.

Update: Christian hat zu dem Punkt “sichere Passwörter” einen eigenen Blogbeitrag geschrieben und gibt noch ein paar sehr nützliche Tipps.

Ähnliche Artikel:

1. Sweetcron: Lifestream im Eigenbau Aufgrund der gerade zurückliegenden re:publica ’09 war es in den...

Ähnliche Artikel:

1. Kurze de-Domains kommen – schon nächste Woche Das was um uns herum schon Gang und Gebe ist,...
2. DNS-Server in der Fritz!Box umstellen Die Gründe einen alternativen DNS-Server zu verwenden, sind verschieden: Ob...

Das nächste ist kein Programm, sondern eine Website – aber heutzutage macht das ja eh kaum noch einen Unterschied.

Wer schon einmal mit einem Layout beim Kunden gesessen und dort erlebt hat, wie der Kunde anfing, sich über einzelne Wörter oder Begriffe zu unterhalten, der weiß, dass Blindtexte nicht nur als Lückenfüller dienen, wenn es noch keine echten Texte gibt, sondern dass sie auch das Auge des Kunden weg vom Text aufs Layout lenken können.

Die schönsten Blindtexte gibt es bei blindtextgenerator.de. Neben dem Klassiker “lorem ipsum” ist für Schöngeister und Sprachfetischisten (Werther und Kafka), für Typographen (“Hinter den Wortbergen“) und Krimifans (“Er hörte leise…“) etwas dabei. Und wer noch erzieherisch tätig werden will, der wählt den Blindtext über Webstandards und macht ganz nebenbei den Wert der eigenen Arbeit klar.

Alle Texte sowie bequeme Einstell-Möglichkeiten, wie lang und breit und bunt der Text sein soll finden sich in einer nett anzusehenden Oberfläche.

Die Oberfläche von www.blindtextgenerator.de

www.blindtextgenerator.de

Ähnliche Artikel:

1. Tool Time “Schreib was über Webdesign”, hat Ben gesagt, bevor er in...
2. MySQLDumper – Wenn phpMyAdmin nicht mehr reicht… Wieso habe ich eigentlich den MySQLDumper noch nicht vorgestellt? Wahrscheinlich,...

Immer im Autostart ist zum Beispiel der ClrPicker.

Das ist alles: Der ClrPicker

Diese kleine Palette schwebt irgendwo auf meinem Bildschirm, ist “always on top” und bietet erst einmal eine Pipette, mit der ich von jeder beliebigen Stelle des Screens eine Farbe aufnehmen kann. Damit das gut klappt ist eine Lupe dabei – wenn ich zum Beispiel hier im Artikel die Farbe des roten Kreuzchens genau wissen will, dann sieht das so aus:

Lupe am ClrPicker

Weil man ja nicht immer nur fürs Web arbeitet kann das kleine Ding die Farbwerte in RGB, Hex-Code (also für Html/CSS), Delphi, VB und C++-Code ausgeben. Letztere habe ich noch nie gebraucht, aber wer weiß?

Außerdem besitzt der ClrPicker netterweise eine History mit den letzten 10 Farbwerten und hat sich mit diesen wenigen aber durchdachten Funktionen seinen Platz im Autostart verdient.

Download (~1.6MB, Win XP, Vista): www.adesclrpicker.com

Ähnliche Artikel:

1. Tool Time (2) Weiter geht’s mit den Tools, die in meiner Werkzeugkiste nicht...
2. MySQLDumper – Wenn phpMyAdmin nicht mehr reicht… Wieso habe ich eigentlich den MySQLDumper noch nicht vorgestellt? Wahrscheinlich,...

Das ganze Webstandards-Magazin erinnert mich zwar schon stark an die T3N, aber das muss ja nicht unbedingt negativ sein. Der News-Teil am Anfang fällt kürzer aus, dafür gibt es mehr Platz für Artikel, die in folgende Rubriken gegliedert sind:

• E-Business + Trends
• Webdesign
• Accessibility + Usability
• Web-Anwendungen

Was hier auffällt: Die Einteilung ist praktisch veranlagt und nicht so Plattformspezifisch wie  in der T3N mit seinem fixen TYPO3-Teil. Die Themen der aktuellen Ausgabe lesen sich dementsprechend gut:

• Grids vs. Design
• CSS-Spezifität
• Diskussionsrunde Frameworks
• Wireframes & Prototyping
• Web2Print
• CSS-Frameworks
• Icons im Eigenbau
• Erste Schritte mit 960.gs
• Accessibility-Tools
• TYPO3 standardkonform
• PHP-Frameworks
• Druck-Stylesheet mit MooTools
• OpenWeb-Kolumne

Unter den Autoren finden sich viele Bekannte, z.B. Heiko vom Webstandard-Blog oder Peer von Selbständig im Netz. Der größte Teil der Autorenschaft ist aber gemeinläufig besser als “Die Webkrauts” bekannt.

Als einzig störend empfinde ich lediglich die mit Informationen sehr knausrige Website zum Magazin. Da dürfte schon etwas mehr stehen – keiner erwartet ja ein ähnliches Portal wie es um die T3N (und das ehemalige Hype) aufgebaut worden ist. Trotzdem: Ohne beide Ausgaben intensiver studiert zu haben (das passiert im Urlaub) bin ich äußerst positiv angetan und kann euch das Webstandards-Magazin guten Gewissens empfehlen.

Ähnliche Artikel:

1. IE6ify: Verwüste das Netz Wenn ich einen Blick in die Besucherstatistiken verwerfe, möchte ich...

Was sich auf den ersten Blick gut anhört, eröffnet natürlich auch einige Schwierigkeiten.

Die neuen Möglichkeiten

• Ein- und zweistellige Domains
  Bsp: a.de, ab.de
• Reine Zifferndomains
  Bsp: 1.de, 12345678.de
• Domains, die einem Kfz-Kennzeichen entsprechen
  Bsp: kle.de, bo.de
• Domains die einer andern TLD, also der Domainendung eines anderen Landes, entsprechen
  Bsp: com.de, es.de
• Maximallänge einer Domain von 63 Zeichen

Registrierungen schon ab nächster Woche

Die Denic gibt an, mit die Registrierung am 23.10. um 9:00 Uhr zu starten. Also nächste Woche Freitag.Das ist natürlich sehr kurzfristig und stellt auch einige  Hoster vor Probleme. Die haben natürlich automatische Tools, damit ihre Kunden direkt Domains buchen können – und die müssen jetzt entsprechend umgebaut werden. Domainfactory schreibt dazu:

Das ist der absolute Wahnsinn und wird intern für viel Wirbel sorgen, jetzt auf die Schnelle die erforderlichen Systemanpassungen für zweistellige .de-Domains und möglichst eine wie auch immer geartete Vorregistrierung auf die Beine zu stellen. Wir sitzen ja nicht rum, drehen Däumchen und warten auf gute Gelegenheiten um mal wieder was zu tun zu haben.

Wer zuerst kommt…

Die Denic setzt dabei wieder auf das Prinzip “wer zuerst kommt, malt zuerst”. Also wer als erstes Registriert bekommt den Zuschlag:

Da es sich um eine beschränkte Anzahl potenzieller neuer Domains handelt, und weil sich ‘First come – first served‘ als Verfahren bei der Domainregistrierung bewährt hat, entschieden wir uns bewusst wieder dafür.

Das wird spannend, zumal auch einige Hoster (s.o.) wieder “Vorregistrierungen” anbieten werden. Eigentlich praktisch, da ich z.B. dann im Urlaub bin. Natürlich werden sicherlich auch viele Leute bei unterschiedlichen Anbietern die Vorregistrierung nutzen, um ihre Chancen zu erhöhen. Am Ende wird das schon ein schönes Chaos werden und einige Leute freuen sich, dann einige schöne Kurzdomains verkaufen zu können.

Ähnliche Artikel:

1. Welche Domains liegen noch auf meinem Server? Mit dem Reverse IP Domain Check lässt sich herausfinden, welche...

Google sei dank, kam ich schnell auf die Lösung: Schuld war scheinbar 1&1, wo PHP5 nicht zugeschaltet war. Einige WordPress 2.8.x-Funktionen setzen aber PHP5 voraus – unter anderem das Import-Modul. Deshalb einfach im Root-Verzeichnis eine .htaccess-Datei mit folgendem Inhalt erstellen und schon klappt’s auch mit dem Importieren:

[HTML]

AddType x-mapp-php5 .php
AddHandler x-mapp-php5 .php

[/HTML]

PS: Dafür wird es aber auch sicherlich eine Option im Kundenmenü geben – so ging’s jetzt aber im konkreten Fall am Schnellsten.

Ähnliche Artikel:

1. Mac OS Lion: FTP-Zugriff wieder aktivieren Seit einigen Tagen ist der Löwe also frei: Apple hat...
2. iPhone: Tethering-Funktion aktivieren Seit OS 3.0 verfügt das iPhone auch über die Möglichkeit...

Die Demo und ersten Einblicke konnten mich überzeugen, so dass ich Collabtive installiert habe. Bevor ich zu einem späteren Zeitpunkt von der genaueren Nutzung berichte, hier nun erstmal die Infos zur Installation. Die geht wirklich schnell vonstatten (in maximal 5 Minuten) und ist leicht zu vollziehen. Für halbwegs erfahrene Nutzer also völlig unspannend, betrachtet das Folgende einfach als schnellen Überblick. Der Vollständigkeit halber und für eventuell unerfahrenere Nutzer, will ich die Prozedur kurz erläutern.

Voraussetzungen

Collabtive ist sehr genügsam. Serverseitig benötigt ihr PHP 5.1 oder besser und eine MySQL 4-Datenbank. Collabtive selbst braucht knappe 15 MB Speicherplatz, dazu kommen natürlich noch die Dateien die ihr später im Rahmen der Nutzung hochladet.

Upload der Dateien Collabtive

Keine Installation ohne Dateien – deshalb zuerst Collabtive herunterladen und entpacken. Den Ordner per FTP auf euren Server hochladen (oder falls ihr Shell-Zugang habt, die zip-Datei  erst dort entpacken) – die 15 MB brauchen nicht lange.

Danach müssen noch die folgenden Rechte angepasst werden (chmod 777):

• /templates_c
• /files
• config/standard/config.php

Installation und Sicherung

Danach ruft ihr die Installationsdatei auf, also z.B. http://eure-collabtive-installation/install.php. Die Eingabemaske ist eigentlich selbsterklärend. Es wird nochmal geprüft, ob PHP 5 verfügbar ist und die Dateien beschreibar. Ihr müsst noch die Angaben zur Datenbank eingeben und nach einem Klick auf Fortsetzen euren gewünschten Benutzernamen und das Kennwort eingeben. Fertig, Collabtive ist ab jetzt lauffähig.

Wichtig ist nur, dass ihr danach die Dateien

• install.php
• update.php

löscht, da die Dateien scheinbar über keinen Schutz verfügen und man irgendwelche Daten eingeben kann, die die Vorhandenen überschreiben (so sieht es zumindest aus, das Testen habe ich mir gespart).

Fazit

Die Installation verbraucht kaum Ressourcen und sollte in 5 Minuten abgewickelt sein. Ideal auch dafür, Collabtive für einen genaueren Test schnell zu installieren.