Kategorie-Archiv: Web Programmierung

Überarbeitung der MyBB Projekte

Ich habe die beiden MyBB-Projekte Mybboard.biz und MybbDesign.com überarbeitet.

Mybboard.biz leitet nun nicht mehr einfach auf MybbAddons.com weiter sondern beinhaltet einen Blog, der sich kritisch mit der Entwicklung der MyBB Software beschäftigt und Anleitungen zu MyBB bereitstellt.

MybbDesign.com stellt nach wie vor Demos und Downloads von MyBB Themes bereit, verfügt nun aber über eine suchmaschinenoptimierte Startseite mit einer Liste und Screenshots der vorhandenen Themes.

Beide Seiten funktionieren jetzt auch einwandfrei auf mobilen Geräten.

Behebung des Piwik Update Fehlers curl_exec: SSL certificate problem

Nachdem wir kürzlich unsere Piwik Installation zur Datenanalyse auf einen neuen Server umgezogen hatten, schlug das automatische Update für Piwik über die Weboberfläche fehl.
Der Fehlercode lautete curl_exec: SSL certificate problem: unable to get local issuer certificate. Hostname requested was: builds.piwik.org
Das Problem war, dass unsere CURL Installation dem SSL-Zertifikat von builds.piwik.org nicht vertraute.

Um dieses Problem zu beheben wird im Netz erstaunlich oft dazu geraten, die Option CURLOPT_SSL_VERIFYPEER, false zu verwenden. Diese deaktiviert die SSL-Überprüfung (wird auch gerne bei selbst erstellten Zertifikaten benutzt) – öffnet aber Tür und Tor für Man-in-the-Middle Attacken.

Stattdessen sollte man sich eine aktuelle, gültige Zertifikatsliste besorgen. Hier bekommt man beispielsweise die aktuelle Trusted Zertifikatsliste von Mozilla. Vor Einsatz aber unbedingt nochmal überprüfen!
Diese kann man sich anschließend herunterladen und in sein Piwik Verzeichnis unter /core/DataFiles/cacert.pem speichern. Piwik nutzt die cacert.pem Datei dann selbstständig (getestet mit Version 2.12.1). Das löst das Update Problem ohne auf die Sicherheit der SSL-Überprüfung zu verzichten.

Erste Infos zu MyBB 2.0

Es gibt erste Informationen zur nächsten großen MyBB Version, MyBB 2.0. Offenbar ist die Version bereits in der Entwicklung und zwar basierend auf dem PHP-Framework Laravel und unter Nutzung der Template-Engine Twig.

Abgesehen davon gibt es aktuell noch wenige Überraschungen – SEO-URLs werden wohl an Bord sein, ebenso wie relevante Meta-Tags, Canonical Links und ein responsives Basisdesign. Alles eigentlich schon länger Standard bei Content Management Systemen und damit längst überfällig.

Ein Zeitrahmen für die Veröffentlichung wurde nicht bekannt gegeben, eine Alpha-Version könnte aber wohl noch 2015 auf Github veröffentlicht werden.

Was ich schade finde, ist, dass die Community bei der Entwicklung der nächsten Version dieser Open Source Software bei wichtigen Fragen nicht einbezogen wird. Das Entwicklerteam hat sich für Laravel entschieden und Wünsche der Community wie Symfony oder YII einfach ignoriert. Eine Begründung, wieso ausgerechnet Laravel das richtige Framework für das neue Bulletin Board sein soll, gibt es nicht.

Nichtsdestotrotz bin ich gespannt auf die weitere Entwicklung von MyBB.

Google weist mobil optimierte Seiten aus

Nachdem Google bereits seit kurzem in seinen Suchergebnissen vor Flash warnt (Beitrag dazu), weist Google zukünftig seine Nutzer auch darauf hin, ob eine Seite für mobile Geräte optimiert ist.

Darauf wird zukünftig in den Suchergebnissen hingewiesen, so der Google Webmaster Blog. Das wird wohl so aussehen:
mobil-optimiert

Um als mobil optimierte Seite zu gelten, sollten folgende Faktoren gegeben sein:
– Es sollte auf Software, die mobile Geräte vielleicht nicht unterstützen, verzichtet werden. Dies betrifft beispielsweise Flash
– Texte sollten lesbar sein, ohne dass der Besucher hineinzoomen muss
– Inhalte sollten responsiv sein, sich also automatisch an die Bildschirmhöhe- und breite anpassen, damit der Benutzer nicht viel scrollen muss
– Hyperlinks sollten groß genug und mit Abstand zueinander platziert werden, damit sie einfach anwählbar sind

Ob die eigene Seite für mobile Geräte optimiert ist, kann man hier überprüfen lassen. Das sieht dann im besten Fall so aus:
Mobile-Friendly-Test

In Zukunft könnte die Eignung für mobile Geräte sogar zum Ranking-Faktor für Webseiten avancieren. Dadurch könnten optimierte Internetseiten bessere Platzierungen erhalten, als nicht für mobile Geräte optimierte Seiten. Die Experimente dazu hat Google nach eigenen Angaben bereits gestartet.

Wenn Sie noch eine Internetseite nutzen, die nicht für mobile Geräte optimiert ist, sollten Sie schnell umsteigen. Andernfalls riskieren Sie weniger Besucher und langfristig ein schlechteres Ranking bei Google.

Zahlreiche MyBB Foren via Github gehackt

Am 15. November wurden zahlreiche MyBB Foren gehackt. Ermöglicht wurde der Hack durch einen kompromittierten MyBB Entwickleraccount auf Github. Mit diesem wurde der Versionscheck, den MyBB Foren normalerweise automatisch ausführen, verändert. Statt der aktuellen Version übertrug der Angreifer einen Javascript Schadcode. Mit diesem Schadcode gelang es dem Angreifer, zahlreiche Datenbanken von Foren herunterzuladen. Insbesondere die Entwendung der user Tabelle ist kritisch, weil dort Login-Keys und verschlüsselte Passwörter gespeichert sind.

Weder Zaiendo.de noch MybbAddons.com waren von diesem Hack betroffen. Unsere Plugins lassen keinen solchen Angriff zu. Auch weitere von mir betreute Foren konnten die Angriffe erfolgreich abwehren.

Forenbetreiber, die in der Zeit zwischen 0:00 und 16:30 Uhr am 15.11.2014 in ihrem Admin CP waren und keine zusätzlichen Sicherheitsplugins aktiviert hatten, wurden aber vermutlich Opfer des Angriffs. Nachsehen können Sie das im Admin AP unter dem Menüpunkt Tools & Verwaltung -> Administrator-Log. Wenn dort in dem Zeitraum steht, dass ein Backup heruntergeladen wurde, wurde das Forum gehackt.

Als Administrator eines gehackten Forums sollte man sofort sein eigenes Passwort ändern und die eigenen Cookies löschen. Anschließend sollte man alle Nutzer zur Wahl eines neuen Passworts auffordern und den update_check Cache erneuern.

Die Nutzer müssen unbedingt über den Vorfall informiert werden, damit sie sich schützen können – gerade wenn sie das gleiche Passwort auf mehreren Plattformen benutzen.

Nutzern von Internetdiensten empfehle ich, nur ein Passwort pro Internetdienst zu haben und dieses regelmäßig zu ändern. Andernfalls können Angreifer schnell über mehrere Internetdienste hinweg Zugriff auf die Accounts erhalten.
Besonders wichtig ist dabei das Passwort des E-Mail Accounts über den sich Passwörter meistens zurücksetzen lassen, wenn sie vergessen oder verloren wurden.

Für Entwickler lässt sich daraus die Lehre ableiten, dass stets auch von einem Datenleck im eigenen System ausgegangen werden sollte. Wäre dieser Fall bedacht worden, hätten die Foren bei dem Versions-Check geprüft, ob es sich um einen Integer oder etwas anderes handelt und alles verworfen, was kein Integer ist. Dann wäre ein Hack dieses Ausmaßes nicht möglich gewesen.
Mittlerweile nutzt der betroffene Entwickler die 2-Faktor-Authentifizierung von Github, so dass ein solcher Hack nicht mehr möglich sein sollte. Das empfehle ich auch allen anderen Entwicklern auf Github.

Offizielle Erkärung von MyBB

MyBB 1.8

Ich habe sowohl Zaiendo als auch MybbAddons diese Woche auf die neue MyBB Version aktualisiert. Bei beiden Foren musste dadurch das Design geändert werden, außerdem waren einige Plugins nicht kompatibel und mussten überarbeitet werden.

Von der Community wurden die Änderungen gut aufgefasst, das Feedback war positiv. Insbesondere das neue responsive Design dürfte für Smartphones und Tablets deutliche Verbesserungen bringen.

Google Suchergebnisse warnen zukünftig vor Flash

Laut einem aktuellen Blogeintrag von Google werden Internetseiten, die auf Flash basieren, künftig abgestraft. Wenn Nutzer mit mobilen Geräten bei Google suchen, werden Seiten, die auf Flash basieren, speziell markiert um die Nutzer zu warnen.

Google Flash Notiz

So wird der Hinweis aussehen:

 

Der Grund dafür ist, dass Flash Homepages weder von iOS-Geräten, noch von Geräten mit Android 4.1 oder neuer unterstützt werden.

Laut PRinguin Webstatistik konnten 92% der Besucher in den letzten zwei Monaten Flash Inhalte darstellen, mit Zunahme der mobilen Geräte nimmt die Anzahl aber immer weiter ab:

Browser Plugin Statistik

Nutzer werden künftig im Vorfeld gewarnt und werden Flash-Seiten wohl auf mobilen Geräten meiden – für Webseitenbetreiber, deren Seiten noch auf Flash basieren bedeutet dies aber einen Verlust von Besuchern.

Mein Tip: Wenn Sie noch eine Internetseite nutzen, die auf Flash basiert, sollten Sie möglichst schnell auf eine HTML 5 Homepage umsteigen, am besten mit einem responsiven Design. Dann können Sie sicher sein, dass Ihre Inhalte auch auf mobilen Endgeräten gut dargestellt werden.

WP3 Total Cache ersetzt

Nachdem das W3 Total Cache Plugin ohne Fehler- oder Debugmeldung einfach nicht funktionieren will habe ich mich nach einigen Stunden erfolgloser Fehlersuche jetzt für das WP Minify Fix Plugin und einige manuelle Performance Optimierungen entschieden.

Das gibt nicht nur bei YSlow sondern auch bei Google PageSpeed jetzt recht gute Ergebnisse und WordPress lädt endlich zügiger.

Remigration auf WordPress

Ich habe mich bei PRinguin mit einer Vielzahl von Content Management Systemen auseinander setzen müssen und mittlerweile auch einige Systeme selbst geschrieben. Nachdem viele Kunden WordPress als Content Management System präferieren, musste ich mich wieder öfter mit WordPress auseinandersetzen – dem System, mit dem ich diesen Blog anfangs betrieben hatte.

Nun habe ich den Blog wieder auf WordPress zurück migriert. Der Hauptgrund ist einfach der, dass mich die Wartung eines eigenen Systems nur für meinen Blog zu viel Zeit kostet und ich so gezwungen bin, mehr mit WordPress zu arbeiten und automatisch auf dem neuesten Stand bleibe.

Allerdings habe ich auch direkt einige Nachteile von WordPress zu spüren bekommen, die ich nicht nachvollziehen kann.

1. WordPress unterstützt keine Mehrsprachigkeit von Haus aus. Dazu bräuchte man ein Plugin und die verfügbaren Plugins gefallen mir von Aufbau und Code nicht wirklich. Daher werde ich meine Seite zukünftig nur noch auf Deutsch führen und die englische Version der Seite einstellen.

2. WordPress bringt kein Kontaktformular mit. Ich kenne keine Homepage, die ohne Kontaktformular auskommt und dass so ein Basisfeature in WordPress nicht enthalten ist wundert und ärgert mich. Immerhin gibt es hier mit Contact Form 7 ein gutes Plugin – hoffentlich hält der Autor es aktuell.

3. Miese SEO- Einstellungen von Haus aus und wenig Einstellmöglichkeiten. Da bieten andere CMS und Blogging-Plattformen von sich aus mehr – ohne Plugins. Auch Social-Integrationen wurden in WordPress 3.9 offenbar eingespart.

4. Flexibler Inhalt nur via HTML oder Plugins. Ein einfacher Slider erfordert entweder Eigenarbeit oder eben eines der – in dem Fall zugegebenermaßen massenhaft vorhandenen – Plugins.

Nichtsdestotrotz werde ich WordPress jetzt eine Chance geben. Los geht’s!