Bei Software-Verkaufsgesprächen wird gerne stundenlang über Funktionen, Anwendungen und Vorteile der angebotenen Produkte gepredigt. Kommt man allerdings zum harten Kern jedes Verkaufsgesprächs und fragt nach dem Preis einer Komplettlösung, so kann kaum ein Verkäufer vernünftige Zahlen nennen. Meist benötigt man für eine Lösung mehrere Komponenten, die mit unterschiedlichsten Lizenzbedingungen angeboten werden. Im harbar.net Blog findet man einen Einstiegsartikel, der zumindest die wichtigsten Faktoren bei der Preisfindung von Microsoft benennt. Wenn man den Artikel durchgelesen hat, wird man verstehen warum Software as a Service so eine tolle Idee ist. Offensichtlich ist beim Kauf von Software die Einschaltung eines kundigen Rechtsanwalts zwingend erforderlich. Für meinen gehosteten MOSS Server bezahle ich dagegen 67.60 € im Jahr, betreibe mehrere öffentliche und private Websites und muss mich weder um die Lizenzpolitik von Microsoft noch um Installation, Update, Backup usw kümmern. Ich nehme an, dass es sich bei dem Angebot um ein “Lockvögeli” von Microsoft handelt und die Preise für die Hoster anziehen werden, wenn sich genügend Kunden für die Angebote gefunden haben. Vor Preiserhöhungen und Änderungen in der Verfügbarkeit oder beim Service ist man aber bei keinem Softwareangebot sicher.    

Obwohl der Großteil der Uni Absolventen zugibt, dass sie den Großteil des an der Uni vermittelten Wissens im Leben nie gebraucht haben, wird an den Hochschulen weiter viel Sinnloses gelehrt und schlimmer noch auch gelernt. Wichtig scheint im Leben zu sein, sich rechtzeitig eine Strategie für die Umgehung sinnloser Arbeiten zuzulegen. Die Rezepte der Harvard Studienabbrecher und Miliardären Bill Gates (Microsoft) und Mark Zuckerberg (Facebook) sind durchaus interessant. Bill Gates empfiehlt, die unwichtigen Vorlesungen zu schwänzen und sich die Kenntnisse für die Prüfung  in einem kurzen Crash Kurs anzueignen. Mark Zuckerberg setzt da noch eins drauf. Da er beim Aufbau von Facebook  auch keine Zeit zum Lesen aufwenden wollte, hat er den Kollegen eine Comunity Plattform für die unnötigen Kurse angeboten und hat dann das dort zusammengetragene Wissen in der Prüfung genutzt. Er hat die Prüfung geschafft aber dann trotzdem das Studium abgebrochen.  Von Mark lernen heißt siegen lernen. Mir ist aber keine Initiative von deutschen Studenten zur geordneten Zusammenarbeit mit Web 2.0 Tools bekannt. So wird man wahrscheinlich nie Milliardär!      

Der raffiniertesten Sicherheitssystem können leicht gebrochen werden, wenn die den Verfahren zu Grunde liegenden Zufallszahlen keine wirkliche Zufallszahlen sind. Das lernt man bereits als Anfänger in jdem Kurs über Kryptographie. Trotzem schleichen sich immer wieder Fehler bei der Generierung von Zufallszahlen ein wie zum  Beispiel beim OpenSSL Debakel . Der Fehler wurde durch einen Programmierer verursacht, der zur Lösung eines anderen Problems die Pseudo Generierung der Zufallszahlen praktisch abgeschaltet hat. Damit bekommt dann jeder Server den gleichen (oder einen leicht berechenbaren) Schlüssel, was für Hacker natürlich ungemein praktisch ist. Deshalb sollte jeder Programmierer - auch wenn er kein Sicherheits-Spezialist ist, in Grundzügen die wesentlichen Sicherheitsmechanismen kennen. Microsoft hat beispielsweise alle Programmierer durch solch einen Grundkurs geschickt und tatsächlich eine wesentliche Verbesserung der Sicherheit der Software erreicht. Bei OpenSource kann man das wohl nicht machen.

In der Regel kann man Sicherheitsmechanismen am leichtesten bei der Zufallszahlengeneration unterlaufen, indem man z.B. das Programm zur Generierung der Zufallszahlen manipuliert - manchmal genügt bereits die Kenntnis wie dieses Programm funktioniert um es auszuhebeln. Der Benutzer meint dann z.B. eine Datenverbindung mit hoher Sicherheit zu benutzen, die aber jeder, der den Schlüssel kennt, leicht auslesen kann. Hochwertige und geprüfte Zufallsgeneratoren gibt es eigentlich nur bei Sicherheitschips z.B. auf Smartcards, die auch als Sicherheitschips in PCs eingebaut werden. Diese werden aber von den meisten Programmen nicht benutzt, da sie nicht in allen PCs eingebaut sind. Opera Mini generiert den Schlüssel für die SSL Verbindung mit dem Server aus einer Zufallszahlensequenz, die der Benutzer durch Bewegen des Cursors auf dem Bildschirm generiert. Das ist ein recht gutes Verfahren aber nur solange das Zufallszahlenprogramm nicht manipuliert wird. 

Der Schlüsel zur Sicherheit liegt deshalb wirklich bei den Schlüsseln und beim Schlüsselmanagement. Darüber wird bei vielen Projekten wie z.B. bei der deutschen Gesundheitskarte nur ungern gesprochen. Private Benutzer, die keinen Server betreiben und nicht im Vorstand der Telekom sitzen, sind in der Regel sehr sicher, da sich niemand für ihre Daten interessiert.   

Immer wieder beklagen sich Benutzer, dass mit Internet Explorer beim Anklicken einer MP3, diese nicht abgespielt wird, obwohl man den Windows Media Player (WMP) für das Abspielen gewählt hat. Mit anderen Browsern wie Firefox oder Opera funktioniert aber alles prächtig. Meist liegt das daran, dass IE die neueste Version des WMPs aufruft, die aber auf dem Rechner gar nicht installiert ist. Der Browser “hängt” dann einfach. Das Problem kann man meist so lösen, dass man die neueste Version des Media Players installiert (zum Download) .  

Die Ursache des Problems liegt wie häufig in der verqueren Business Strategie von Microsoft. Microsoft hat im Kampf gegen den Real Player den WMP zum Bestandteil des Betriebssystems erklärt. Der WMP wird aber nicht automatisch upgedated. Dadurch laufen der Internet Explorer und der WMP nicht synchron. Das kann man sehen, wenn man prüft mit welcher Anwendung der MIME Type MP3 geöffnet wird. Das geht so: ->Start -> Systemsteuerung -> Ordneroptionen ->  Dateitypen [Mp3]  -> Erweitert  [Wiedergabe] -> Bearbeiten - Anwendung für diesen Vorgang  hier kann man nun prüfen ob die angezeigte Anwendung auch installiert ist.

Verwendet man einen anderen Media Player wie Real oder Quick Time kann es ähnliche Probleme mit dem Internet Explorer geben. Die anderen Browser sind offensichtlich klüger und verlassen sich nicht auf eine fest eingestellte Applikation sondern verwenden die im System aktiven Versionen der Player.  

Der Zugriff zu Google Anwendungen wird mit Cookies so gestaltet, dass der Benutzer nicht immer wieder Name und Passwort eingeben muss. Das ist besonders für Laien sehr angenehm. Etwas überrascht ist man dann allerdings wenn plötzlich folgende Meldung von Google auf dem Bildschirm erscheint:

 ——————————————————————————-

Es tut uns leid, aber …

… Ihre Anfrage ähnelt automatisierten Anforderungen, wie sie von Computerviren oder Spyware-Anwendungen verwendet werden. Zum Schutz unserer Nutzer können wir Ihre Anfrage zum jetzigen Zeitpunkt nicht verarbeiten.

Wir werden Ihren Zugriff schnellstmöglich wiederherstellen. Versuchen Sie es in Kürze wieder. Falls Sie den Verdacht haben, dass Ihr Computer oder Netzwerk infiziert sein könnte, sollten Sie ein Virenprüfprogramm oder einen Spyware-Entferner ausführen. So können Sie sicherstellen, dass Ihre System frei von Viren und sonstiger missbräuchlicher Software ist.

Falls dieser Fehler ständig angezeigt wird, können Sie das Problem eventuell lösen, indem Sie das Google-Cookie löschen und danach Google erneut besuchen. Spezifische Anleitungen für Ihren Browser erhalten Sie in der Online-Hilfe des Browsers.

Sollte Ihr gesamtes Netzwerk betroffen sein, lesen Sie die weiteren Informationen in der Google Websuche-Hilfe.

Wir entschuldigen uns für eventuell entstandene Unannehmlichkeiten und hoffen, Sie bald wieder bei Google begrüßen zu dürfen.

—————————————————————————

Was ist passiert? Beim Testen von Browsern waren zufällig der Opera Browser und der Internet Explorer gleichzeitig aktiv und damit wurden zwei verschiedene Google Cookies für den Zugriff benutzt. Das sollte eigentlich kein technisches Problem sein. Jedoch hat die Google Security Truppe da wohl eine Überreaktion eingebaut. Na ja, da gibt es wohl sicher noch viel zu tun bis der Zuatz BETA bei Google Apps gestrichen werden kann.  

Besonders unangenehm ist, dass der Internet Exporer keine Möglichkeit hat, Cookies per Anwendung zu löschen (der Opera kann das!). Sollte man bei Tausenden von Benutzern zur Problemlösung alle Cookies löschen müssen, sollte sich der Administrator wohl besser gleich nach einem neuen Job umsehen.       

Private Portale z.B. für kleinen Gruppen, Kunden  oder Vereine werden anders als Unternehmensportale in der Regel nicht täglich besucht. Änderungen im Portal werden deshalb von Benutzern häufig nicht oder zu spät wahrgenommen. Die flexiblen Funktionen zur Benachrichtigung von Personen und Gruppen sind deshalb ein wesentlicher Vorteil eines Sharepoint Portals gegenüber einer traditionellen Website. Ein klassisches Beispiel ist das automatische Versenden von eMails bei Eintrag einer neuen Ankündigung oder eines Termins (siehe Evaluation Portal) . Unter Einstellungen kann man für Listen, Bibliotheken oder einzelne Elemente in Bibliotheken Benachrichtigungen einrichten.  Dies ist besonders bei der Einführung eines Portals hilfreich, da viele Benutzer den Schritt von “Benachrichtigung” zu “Selfservice” im Portal erst lernen müssen. Benachrichtigungen können von den Administratoren aber auch von den Benutzern selbst verwaltet werden. 

In der Projektarbeit in freiwilligen Gruppen sind Benachrichtigungen über neue Dokumente und Änderungen sehr wichtig, da sonst die notwendigen Arbeiten immer wieder verzögert werden. Bei professionellen Gruppen, die täglich mit dem Portal arbeiten, werden eMail Benachrichtigungen dagegen schnell zu Belästigung. Hier ist es meist besser mit einer zentralen Projektinformationsseite (Schwarzes Brett, Kalender, Projekt Blog) zu arbeiten. Zusätzlich können die Mitarbeiter bei Bedarf selbst Benachrichtigungen einrichten und auch wieder löschen.

Im allgemeinen bin ich mit dem Support meines Sharepoint Hosters www.genotec.ch  recht zufrieden. Der Support über eMail ist gut organisiert und die Antwortzeiten sind sehr vernünftig. Allerdings werden Probleme, die in der Sharepoint Software bei Microsoft liegen und damit außerhalb des Bereichs des Sharepoint Hosters liegen, nicht gelöst. Das ist man auch bei anderer Software von Microsoft gewohnt. Allenfalls erhält man von Benutzer Foren Hilfe, wie man die Probleme eventuell umgehen kann. Bei einem ernsthaften Hosting Angebot, sollte die Hosting Provider aber eine vernünftige Möglichkeit haben, wirklich kapitale Probleme in angemessener Zeit gelöst zu bekommen. Nur wenn diese Frage gelöst ist, kann man Sharepoint Hosting für kritische Anwendungen einsetzen. 

Besonders störend sind Probleme, die durch Updates der Microsoft Betriebssystem neu verursacht werden und bisher gut funktionierende Sharepoint Funktionen unbrauchbar machen. Dem Zorn der Benutzer steht dann der Administrator hilflos gegenüber. 

OpenID ist ein einfaches Verfahren mit dem Benutzer mit einem Benutzernamen und einem Passwort auf viele Websites zugreifen können. Der Benutzer meldet sich zuerst bei einem beliebigen OpenID Anbieter mit benutzername und Passwort an.  Er erhält dann eine OpenID in URL Form wie zum Beispiel:  http://benutzername.meinopenid.com .

Meldet man sich nun bei einer Site an, die OpenID unterstützt, wird ein Login Formular ähnlich  http://spielerkabine.net/login angezeigt.

Dort gibt man nun seine persönliche OpenID anstatt wie üblich Benutzername und Passwort an. Danach wird man auf die Login Seite des gewählten OpenID Providers (hier im Beispiel Verisign) umgeleitet. 

Das sieht zunächst nicht nach einer großen Erleichterung aus, da man anstatt wie üblich Benutzername und Passwort auch noch den OpenID eingeben muss. Ist man jedoch bei seinem OpenID Provider bereits eingeloggt, tauschen das Zielsystem und das OpenID System die Login Anfrage/Bestätigung automatisch aus. Der Benutzer muss damit nur noch seine OpenID angeben, die man sich natürlich leicht merken kann und die man ähnlich wie die eMail Adresse auch nicht geheimhalten muss. Der OpenID ist dann nur noch durch das Passwort gesichert, was bei vielen Sicherheitsfans starke Bedenken auslöst. Manche OpenID Provider bieten deshalb eine zusätzliche Sicherheitsstufe an, bei der ein Zertifikat anstatt einem Passwort verwendet wird. Dieses Zertifikat kann auch ein sicheres Zertifikat auf einer Smartcard sein. Damit kommt man mit OpenID schon ziemlich meinem 2003 beschriebenen Wunschverfahren zur persönlichen Identifikation nahe.  

Natürlich muss man sich auch bei Verwendung des OpenIDs registrieren, wenn man zum ersten Mal auf eine personalisierte, geschützte Site zugreift. Die Registrierung wird aber dadurch erleichtert, dass die im OpenID gespeicherten Profildaten mit einem Klick in die neue Site übernommen werden können.   

Für Service Anbieter ist es äusserst interessant die OpenID Funktionalität anzubieten, da ja die Benutzer sich zunächst immer auf ihrer OpenID Site einloggen müssen. Deshalb bieten Firmen wie Google, IBM, Microsoft, Yahoo, Technorati oder auch WordPress OpenIDs an. Man kann zum Beispiel  den Benutzernamen und das Passwort von WordPress (das man z.B. für seinen Blog verwendet) auch als OpenID z.B. ähnlich http://myname.wordpress.com  verwenden. Der Teufel steckt aber wie immer im Detail. OpenID ist zwar “standardardisiert” aber trotzdem können die Implementierungen von Zielsite und OpenID Site inkompatibel sein. Nach meiner Erfahrung funktionieren Verisign OpenIds im Format http://myname.pip.verisignlabs.com recht gut, da die meisten Programmierer auch mit diesen OpenIDs testen.

Eine wesentliche Erleichterung verspricht OpenID bei mobilen Anwendungen. Man muss dann am Handy nur einmal Benutzername und Passwort eingeben!

Hat man nun einen OpenID so ist es nicht ganz einfach, Sites zu finden, die OpenID auch unterstützen. Alle möchten halt OpenID Chef und nicht OpenID Diener sein. Die Basissicherheit bei OpenIDs beruht bei den üblichen Registrierungsmethoden auf der eMail Adresse und sind damit nicht sicherer als bei üblichen Verfahren mit Benutzername und Passwort. Insgesamt ist die Frage Sicherheit komplexer, da man eine mehrgliedrige Sicherheitskette benutzt, die ja immer so stark wie das schwächste Glied ist. Deshalb sollte man zur Zeit OpenID bei Sites, wo es um Geld oder  Bestellungen geht, nicht verwenden. Bei den vielen “social” Diensten kann OpenID das Leben im Web aber wesentlich erleichtern.   

Im Web findet man eine Vielzahl von Verfahren, um den Zugriff auf persönliche Daten in Portalen und speziell im Web 2.0 Umfeld zu sichern. Je mehr Sites Benutzername und Passwort verwenden, desto größer wird die Wahrscheinlichkeit, dass die Benutzer Name und Passwort vergessen. Deshalb ist es gängige Praxis, neue Passwörter an die vom Benutzer angemeldete eMail Adresse zu schicken. Die eMail Adresse ist damit die Verbindung zur Identität des Benutzers. Wer auf die persönliche eMail zugreifen kann, kann auch Passwörter neu beantragen oder ändern.  

Für die eMail Adressen- und Berechtigungsverwaltung gibt es zwei wesentlich unterschiedliche Verfahren

1. Man melder sich bei einem eMail Provider wie z.B. Telekom, Arcor, GMX, Google usw an. Dabei schließt man einen Vertrag zu den jeweilgen Geschäftsbedingungen des Anbieters ab. Bei Google beinhaltet das z.B. dass in der eMail Anwendung des Benutzers Werbung angezeigt wird. 
2. Man besorgt sich eine eigene Domain von einem Anbieter, die auch eMail Service beinhaltet. Das hat den Vorteil, dass man eigene eMail Adressen z.B. in der Firma oder im Verein vergeben kann, ohne dass jeder einzelne Benutzer einen Vertrag mit dem Anbieter abschließen muss. Allerdings ist der Domain Owner für die vergebenen eMail Adressen verantwortlich und kann diese auch ändern. In der eigenen Domain kann man auch sinnvolle Benutzernamen wählen ( z.B. meinname@mydomain.com) und auch mehrere Identitäten/eMail Adressen mit Weiterleitung an die Hauptadresse einrichten. Der eMail Administrator kann eMail umleiten, eine Kopie der eMail automatisch an andere Benutzer schicken oder die eMail Adresse löschen.  

Die Sicherheit im Web wird also im wesentlichen dadurch bestimmt, wie eMail gehandhabt wird. Ich bevorzuge für mich die 2. Methode und empfehle diese auch für Portale und soziale Netzwerke. 

Bei offenen, privaten Portalen haben die Benutzer in der Regel selbstgewählte eMail Adressen und sind nicht gewillt, andere eMail Adressen zu verwenden, während in geschlossenen Firmennetzen die eMail Adressen zentral vergeben werden. Offene Systeme müssen also in der Lage sein, mit beliebig gewählten eMail Adressen zu arbeiten. 

In Sharepoint kann man inder Regel (nicht bei allen Hosting Anbietern!) die beliebige eMail Adresse des Benutzers als Benutzername verwenden und Benachrichtigungen über Änderungen oder Aufgaben im Workflow an beliebige eMail Adressen automatisch versenden. Allerdings gibt es keine Möglichkeit eMail Adresslisten zentral einzurichten oder zu verwalten. Hierfür sollte man nach Meinung von Microsoft die Microsoft Kommunikationssoftware verwenden. Das ist aber bei offenen Systemen nicht realisierbar.

Bei Google Diensten ist es zum Teil zwingend vorgeschrieben, dass die Benutzer eine Google eMail Adresse haben (und damit auch einen Vertrag mit Google eingehen!). Das ist für öffentliche Portale mehr als hinderlich.  

Eine recht interessante Methode ist es, Mailing Verteiler Listen für Gruppen bis zu 100 Teilnehmern zentral in Google Mail zu verwalten und diese den Sharepoint Nutzern und den Sharepoint Funktionen zur Verfügung zu stellen.  In den Google Mail Verteiler Listen kann man beliebige Adressen (nicht nur Google Adressen) angeben. Damit kann man eine zuverlässige, flexible, kostenfreie Kommunikationsinfrastruktur für kleinere Gruppen aufbauen.

Schöner wäre es natürlich, wenn die eMail (und Messaging) Funktionen z.B. in  Sharepoint wirklich integriert wären. Da steht sich aber Microsoft wohl selbst mit seinen unterschiedlichen Firmenphilosophien im Weg.

In der Mehrzahl der Häuser gibt es keine Möglichkeit Ethernet Leitungen zu verlegen. Man muss deshalb mit WLAN arbeiten. Nun ist nicht jede Hausfrau begeistert wenn anstatt des Telefonanschlusses plötzlich ein WLAN Router im Wohnzimmer installiert wird. Installiert man das WLAN im Keller, so hat man das Problem, dass das Signal durch mehrere Betondecken stark gedämpft wird. In der Regel reicht das WLAN Signal jedoch in einem typischen Einfamilienhaus aus. Es wird jedoch häufig Problemzonen im Haus geben. Häufig kann  man den Empfang durch Verändern der Position der Antenne des Routers im Keller und/oder durch geringe Veränderung der Empfangsantenne am PC (z.B. Fritz USB WLAN Stick)  verbessern. 

Leider ist die Anzeige der WLAN Signalstärke bei Windows XP mit bis zu 5 Balken Symbolen nicht sehr gut. Häufig wird guter Empfang angezeigt, obwohl das Signal sehr niedrig ist.  Bei Vista gibt es einen sehr guten Verbindungsmonitor. Zuerst klickt man das WLAN Symbol mit der rechten Maustaste an, danach Verbindunsmonitor und kann den Verbindungsmonitor starten. Dabei kann man auch sehen, dass der Empfang nicht konstant ist, sondern mehr oder weniger variiert.  Bereits geringe Änderungen der Position der Antennen können bereits wesentliche Verbesserungen bewirken.

Bei Windows XP kann man durch einen DSL Speedtest indirekt die Qualität der WLAN Verbindung testen. Da der Speedtest über mehrere Sekunden läuft, kann man damit die mittlere Qualität der WLAN Verbindung ganz gut testen und die Position der Antennen optimieren.