PrivatesPortal

Da Benutzer nur ungern immer wieder Benutzername und Password eingeben wollen, arbeiten viele Programme u.a. Google, WordPress (z.B. dieser Blog) mit Cookies, in denen eine Benutzerkennung auf dem PC abgelegt wird. Man sollte von Zeit zu Zeit prüfen wieviele  Cookies auf dem eigenen PC abgespeichert sind (z.B. bei Internet Explorer -> General -> (Browsing History) -> Settings -> View Files).  Man wird über die Menge der gespeicherten Cookies überrascht sein - allerdings werden nicht alle auch für automatisches Login verwendet. So bequem Cookies auch für den Benutzer sind, so können sie bei typischen Internet Benutzern auch einige Probleme machen. Diese können  die Akzeptanz von Web Lösungen für die private Nutzung erheblich erschweren. Im privaten Bereich greifen die Benutzer nicht so häufig auf das System zu wie z.B. in einem Unternehmen. Dadurch werden Benutzername und Passwort noch häufiger vergessen. Man kann sich im privaten Bereich ja keinen teuren Help Desk nicht leisten.

1. Da die Benutzer ihren Benutzernamen und  Passwort nie eingeben müssen, werden beide gern vergessen. Geht das Cookie nun verloren, oder versucht der Benutzer  von einem anderen Computer zuzugreifen, ist der Zugriff nicht möglich. Der unbedarfte Benutzer sieht dann keinen Ansatz zur Lösung des Problems.  Die Benutzer sollten angeleitet werden, wenigstens eine Liste der genutzten Websites anzulegen. Häufig kann man dann nur mit Kenntnis der eigenen eMail Adresse ein neues Passwort erhalten. Verlangt die Website aber die Angabe von Benutzername oder stellt eine sogenannte Passwortfrage, dann hat der Benutzer meist verloren.   
2. Bei Browser Updates oder beim Umstieg auf einen anderen Browser gehen die Cookies ohne spezielle Aktion des Benutzers verloren.
3. Greift man von zwei verschiedenen Systemen z.B. vom Handy und dem PC auf eine Website zu, so können nicht alle Websites korrekt mit den Cookies umgehen.  Der Benutzer kann dann in komplexe Fehlersituationen kommen.
4. Manche Websites arbeiten mit Time Outs - das Cookie ist nur für eine begrenzte Zeit gültig. Typische Benutzerreaktionen “Das hat bis jezt immer funktioniert!”, “und dann waren meine eingegeben Daten plötzlich weg!” 

Folgende Massnahme haben sich bei Privaten Portalen oder bei externen Unternehmensportalen bewährt. 

1. Der Benutzername sollte die eMail Adresse des Benutzers sein. Das ist häufig der einzige Benutzername, den man sich bei seltener Nutzung merken kann.
2. Selbstbedienung (Self Service) zur Rückstellung des Passworts. Nur bei wirklich hohen Sicherheitsanforderungen sollte ein Administrator eingreifen müssen. (Bei Sharepoint Hosting wird das zur Zeit nicht angeboten)
3. Passwort Hilfefunktion sollte ohne Passwort zugänglich sein und das Vorgehen bei Sperre des Zugangs auch für Internet Laien verständlich beschreiben. 

Zugangsprobleme sind häufig der Grund für Akzeptanzprobleme von Systemen. Häufig wird das damit entschuldigt dass komplizierte Login und Registrierungsverfahren die Sicherheit von Systemen erhöhen, was häufig keinesfalls richtig ist.

Die Übersetzer bei Microsoft haben meiner nach bei der Deutschen Übersetzung einen recht guten Job gemacht. Dennoch erschließt sich die Bedeutung eine Begriffs wie Websiteinhaltstyp-Katalog nicht jedem Benutzer intuitiv. Häufig möchte man auch bei Problemen, mit den englischen Begriffen im Internet suchen, da deutsche Sharepoint Benutzer noch eine relativ kleine Minorität sind. Zur Erleichterung dieser Arbeit empfehle ich eine Website (Teamspace, Wiki … ) mit Sprache English anzulegen, dann kann man die Begriffe und ihre Verwendung in der Originalsprache nachsehen.   

Während die Fachpresse von weltumspannenden Webservices und komplexen SOA Architekturen schwärmt, basieren die wirklich benutzen Webservices auf kleinen Programmen, die ähnlich wie HTML auf beliebigen Webseiten platziert werden. Ähnlich wie wenn man Türen und Fenster an einem Haus offen stehen läßt, handelt man sich dabei aber eventuell Sicherheitsprobleme ein. Nun ist es selbst für Fachleute schwierig die Sicherheit solcher Module zu beurteilen. Es schadet aber nicht, einige einführende Artikel zu diesem Thema zu lesen. 

Microsoft: Inspect Your Gadget   Google Gadget Entwicklung  Harmful Badgets & Widgets

Will man z.B. Sharepoint in einer Gruppe oder einem Verein nutzen, stellt man sehr schnell fest, dass es keine vernünftige Kommunikationsmöglichkeit gibt. eMail Listen müssen außerhalb des Systems in Outlook geführt werden. Eigentlich ist Sharepoint als zusätzliches System für Organisationen konzipiert, die ihre Messaging und eMail Listen bereits haben.  

NING, das neueste Baby von Netscape Gründer Marc Andreessen, ist ein Social Network Portal, das extrem elegant und benutzterfreundlich gemacht ist. Ein Portal ist innerhalb von Minuten aufgesetzt. Die wichtigste Funktion für eine Gruppe neben Forum, Blog usw ist wohl Broadcast mit der man Nachrichten (auch SMS) an alle Mitglieder der Gruppe senden kann. Das ist genau die Funktion, die man in Gruppen häufig braucht und die z.B. in Sharepoint fehlt. Der Basis Service bei NING inklusive einer privaten Netzwerk Option ist kostenfrei - natürlich gibt es auch Optionen für die zusätzliche Gebühren anfallen.

Im Moment ist NING noch nicht in Deutsch verfügbar. Es lohnt sich aber mal reinzuschauen, um zu sehen wie benutzerfreundlich Private Portale heute gemacht werden können. NING ist sicher ein ideales System für kleine Gruppen und Vereine.

Siehe z.B. NING Diabetes Community

Bei Kalendereinträgen möchte man häufig Referenzen wie z.B. URL der Veranstaltung verwenden. Leider verwendet MOSS 2007 den alten Sharepoint 2003  Editor und nicht den neuen Rich Text Editor für Kalendereinträge - damit kann man keine ‘Pretty Names’ für Referenzen eingeben - man muss die URL direkt angeben. Das ist besonders bei den langen, kryptischen URLs bei Verweisen auf Inhalte im Portal besonders lästig. In der Funktion Ankündigungen wird der neue Rich Text Editor dagegen verwendet. Es ist unverständlich, dass der neue Rich Text Editor nicht durchgängig bei allen Eingaben im Portal verwendet wird. Die Microsoft Programmierer und Planer scheinen doch eigene Wege bei ihren kleinen Funktionen zu gehen. Das Nachsehen hat mal wieder der Benutzer, dieser ist es ja schon von Outlook gewohnt, dass kein moderner Rich Text Editor benutzt wird. Man möchte wohl die Microsoft Kunden nicht auf die Idee bringen, dass für die meisten Anwendungen ein Rich Text Editor genügt und man den Moloch WORD gar nicht braucht.    

Das wesentliche Kennzeichen von Web 2.0 Anwendungen ist, dass sich Benutzer zur Nutzung personalisierter Funktionen mit Benutzerkennwort [User Identification UID) und Passwort [password PW] identifizieren müssen. Im privaten Bereich führt das dazu, dass der Benutzer eine Vielzahl von UIDs und PWs benötigt, wobei die Systeme häufig noch verschiedene Systeme zum Passwort Management einsetzen, denen der Benutzer häufig völlig hilflos gegenüber steht. Im PrivatesPortal Blog und im Tips&Tricks Blog werden demnächst einige dieser Probleme und einfache Lösungsansätze aufgezeigt.

Firmensysteme sind heute noch weitgehend egozentrisch. Interaktion mit Kunden und Lieferanten ist typisch verdächtig und von den CIOs dieser Welt nicht gerne gesehen. Einen schönen Überblick über die Irrungen und Wirrungen bei der Absicherung von Firmen Systemen gibt es bei SAP.  Bezeichnenderweise kommt es dem Autor gar nicht in den Sinn, dass Mitarbeiter anderer Unternehmen auf das System zugreifen oder dass eigene Mitarbeiter bei anderen Unternehmen Zugriff haben sollten. Hier sind mal wieder die privaten Benutzer in der Web 2.0 Nutzung ähnlich wie bei der frühen Nutzung von PCs weit voraus. Wie selbstverstänlich werden privat Services von vielen Anbietern genutzt. Die Vielzahl der hierfür notwendigen UIDs und Passwörtern wir aber immer mehr zu einem Ärgernis. Versuche mit Single Sign On von Microsoft oder der Open Source Community sind wahrscheinlich der falsche Ansatz, die die Zuverlässigkeit und die Verantwortung für Zugriffe durch Technik nicht allein gelöst werden kann. Der von mir vorgeschlagene Ansatz der ‘User Centric’ Identifikation und Authorisierung , die nur direkte Beziehungen des Kunden mit den Service Lieferanten erlaubt (wie im heutigen Geschäftsleben auch) hat wohl auch keine Chance auf weite Verbreitung, weil Unternehmen wie Apple, Google, Microsoft und Co. Benutzer Identifikation als Machtinstrument im Internet nutzen wollen. Auch in Deutschland sind die Versuche, die digitale Signatur zur Identifikation oder Authorisierung einzuführen, kläglich gescheitert.

In einer kleinen Reihe werden hier demnächst pragmatische Lösungsansätze für den privaten Bereich beschrieben und diskutiert.     

Eine äusserst sinnvolle Funktion ist z.B. die Anzeige einer MOSS Ankündigungsliste, Tageskalender, Routen usw auf einem Handy als RSS Feed. Die Filterfunktionen von MOSS, die man mit Ansicht Erstellen fein einstellen kann, sind ideal um die Daten zu komprimieren und für das Handy geeignet darzustellen. Leider funktioniert funktioniert das Lesen von MOSS RSS Feeds bei vielen Handys mit einem Standard Browser nicht(auch bei Opera 3.0 gibt es Fehler - mit Opera Mini 4.0 funktioniert es ab 12/2007). Man braucht also eine Möglichkeit die MOSS RSS Feeds in vereinfachter Form auszugeben.  

Ein ähnliches Problem hat man, wenn Sicherheitsmaßnahmen in manchen Firmen verhindern, dass MOSS aspx Seiten im Firmennetz angesehen werden können. Damit kann man die Zusammenarbeit über Firmengrenzen hinweg wohl vergessen. Besonders können die Mitarbeiter die Ankündigungen z.B. von Berufsverbänden usw nicht einsehen. Sinn und Unsinn dieser Sicherheitsmaßnahme zu diskutieren, macht für Betroffene wohl wenig Sinn.

Mit folgender Methode kann man aber MOSS Listen z.B. über anstehende Termine, neue Dokumente usw als HTML Seite mit eingebettetem Script zur Verfügung stellen. Man verwendet eine externe Website mit RSS Feed Generator, die MOSS RSS Feeds in Java Script umwandelt wie z.B.

www.webmaster-verzeichnis.de/contentsyn/

Die Adresse des MOSS RSS Feeds erhält man -> Anzeige der Liste -> Aktionen -> RSS Feed anzeigen -> Feedeigenschaften anzeigen und dann die Adresse (links oben) kopieren. Diese Adresse in den RSS Feed Generator eingeben. Die Optionen HTML (yes) und UTF-8 (nicht selektiert) müssen richtig gesetzt werden.

-> Generate Java Script

Das generierte Java Script kopiert man nun in eine mit einem beliebigen Editor erstellte HTML Seite. (Achtung MOSS 2003 generiert immer aspx Seiten und kann hierfür nicht verwendet werden! MOSS 2007 kann auch Standardseiten generieren.) Ich verwende z.B. FrontPage zum kreieren der HTML Seite. Man kopiert dann den generierten Java Script String in die HTML Seite ein. Damit die Umlaute richtig gezeigt werden muss die Zeile  

<meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″>

vor und nach dem generierten Code einkopiert werden.

Jetzt kann man die HTML Seite mit Preview prüfen und dann abspeichern. Anschließend die HTML Seite und alle Komponenten in eine Portal Bibliothek hochladen.  

Damit können auch Benutzer, die nur auf externe HTML Seiten zugreifen können, die neuesten Nachrichten aus dem Portal ansehen. Durch den Umweg über einen externen Server ist die Anzeige natürlich nicht sehr schnell!

Wesentlich eleganter wäre es natürlich, wenn MOSS eine solche Funktion eingebaut hätte. Mit PHP scheint das wenig Probleme zu machen.

Hat man mühselig eine Master Seite für den Layout eines Portals erstellt, so wird man beim Erstellen von nachgeordneten Websites (Team Space u.a.) mit Enttäuschung feststellen, dass bei neuen Websites immer der Layout der Main Website verwendet wird. Es gibt keine Option, den Master der übergeordneten Website zu verwenden - was in der Praxis wohl in den meisten Fällen erwünscht ist. Man muss das von Hand machen.

So geht’s 

Interessant ist, dass die Sharepoint Freak Community solche Denkfehler völlig kritiklos akzeptiert. Na ja, die meisten verdienen ja ihr Geld damit, dass sie solche Fehler der MS Entwicklung ausbügeln.

Handy Spam kann aus unerwünschten SMS Nachrichten oder eMail Nachrichten bestehen. Handy Spam mit eMail ist noch relativ selten, da nur wenige Benutzer mobile eMail benutzen. Allerdings wird sich das mit iPhone und Kollegen bald ändern. Im Gegensatz zu Internet Spam, kann Handy Spam richtig teuer werden, da die meisten Benutzer keine Flatrate für die Datenübertragung haben - deshalb schicken die Netzbetreiber auch sehr gerne freundliche eMail an ihre mobilen Kunden! Da die eMail Adresse z.B. bei Vodafone identisch mit der Handy Telefonnummer ist,  kann jeder, der diese Nummer kennt, Spam an den Adressaten schicken. Die Handy Nummer sollte vorausschauend also möglichst nicht im Internet frei verfügbar sein. Es ist auch keine gute Idee, die Handy Nummer im Absender jeder eMail zu senden. Zunehmend wird auch mit dem “Handy Sicherheits Trick” gearbeitet. Bei der Registrierung wird, um “zusätzliche Sicherheit” zu gewährleisten, eine Registriernummer an das Handy des Interessenten geschickt. Dafür braucht man natürlich die Handy Nummer ! Das war’s dann schon - willkommen bei der Handy Nummern Börse!

SMS Spam ist in Deutschland noch relativ selten, da der Absender für das Senden der SMS etwas bezahlen muss. Kommt die SMS jedoch aus dem Ausland, ist der Empfänger für die Kosten ab Grenze zuständig - egal ob die SMS erwünscht ist oder nicht. (Das ist eine in der Telekommunikation einmalige Tarifsituation, die schnell verbessert werden sollte - eine lohnende Aufgabe für Herrn Seehofer!) Es gibt genügend Staaten auf der Welt, die einem kleinen Deal mit ein paar Handy Piraten nicht abgeneigt sind. Bevor man einen unentgeltlichen SMS Service über das Internet nutzt, sollte man unbedingt klären, ob dieser Service SMS aus dem Inland oder aus dem Ausland verschickt.

Häufig müssen große Listen in das Sharepoint Portal importiert werden. So geht’s