Warum ich Sicherheits PlugIns mag

Und dann war ja doch Thorsten Landsiedels Blog Beitrag auf den ich noch eine Antwort schuldig bin: http://torstenlandsiedel.de/2016/12/16/warum-ich-keine-all-in-one-sicherheitsplugins-mag/

Angefangen hatte alles mit einem Tweet: 

Oha. Wenn so eine krasse Aussage von Thorsten kommt, dann werde ich hellhörig. Auf dem WP-Camp Berlin 2012 hatte Er einen (damals durch aus kontrovers diskutierten)  Vortrag zum Thema WordPress Sicherheit gehalten und mich mit damit angefixt. Sicherheit und Administraton war bis dahin schon mein Tagesgeschäft auf der Mac Seite. Das WordPress gleichermaßen einen Pflegebedarf hat, war mir bis dahin nicht in den Sinn gekommen. 

Schön, dass er deshalb meiner Bitte nach etwas mehr Ausführlichkeit nachkam. 

Nach aufmerksamer Lektüre des Blogbeitrags bleibt von der pauschalen Kritik an iThemes Security allerdings nicht viel übrig. Grundsätzlich richtig ist allerdings: „Das beste Werkzeug ist ein Tand in eines tumben Toren Hand.“ Ich habe es die Tage unlängst selbst wieder erlebt: nur mal eben das PlugIn installieren hilft halt nichts. Und willkürlich ein paar Haken reinsetzen leider auch nichts. 

Was ich dennoch an solchen Security Suites wie z.B. dem von iThemes mag:

  1. Ein komplettes Paket, das viele potentielle Lücken adressiert wird von der Performance nicht schlechter sein, als viele kleine, die jeweils für sich ein einzelnes Thema bedienen. 
  2. Wer sich in Sicherheit gründlich einarbeitet, kann jede Absicherung die iThemes Security bietet auch auf andere, direktere Art realisieren. Insbesondere für die zahlreichen Einträge in der .htaccess braucht es nicht zwingend ein PlugIn. Aber „for the rest of us“ ist es einfach, hilfreich und vor allem transparent es mit wenigen Klicks zu konfigurieren. 
  3. Ein Security PlugIn ist ein Security PlugIn ist ein Security PlugIn. Und Backup ist ein anderes Thema. Ebenso wie Spamabwehr. Die Tatsache das rudimentäre Funktionen dafür auch in iThemes Security stecken, heißt nicht, das man sie nutzen muss. Am ehesten kann man hier noch als Entschuldigung gelten lassen: besser als gar nichts. 

Den Kern der Kritik in Thorstens Blogbeitrag „ohne gesundes Wissen hilft kein PlugIn“ teile ich uneingeschränkt. Das gilt für Security und Administraton ebenso, wie für SEO, Performance oder Content Marketing. Nur ein PlugIn zu installieren ist and der Stelle ebenso gut, worauf Wunderheilungen zu hoffen. 

Den Rant auf Twitter, der alles ins Rollen brachte sehe ich schon durch seinen eigenen ausführlichen Beitrag als relativiert an. 

Ich mag meine Multisite nicht mehr … und jetzt?

Am Anfang waren es komplett getrennte Seiten. Eine für redaktiv mit WebDesign, eine für den MacSupport. Irgendwann kamen dann noch diverse private Seiten auf meinem Space dazu und die ganze Geschichte wurde von der Pflege her etwas anstrengend. Also ab damit in eine Multisite, damit schon mal alles an einem Platz lief. Noch ’ne Vorschaltseite mit dem eigenen Namen als Domain dazu, die Inhalte der Subseiten per RSS in Wigdets gepackt und fertig war die Multisite.

Und jetzt? Mit der Zeit reifte zunehmen die Erkenntnis, das alles – wirklich alles – was ich an Dienstleistungen anbiete, untrennbar mit meiner Person verbunden ist. Mit meinem Wissen, meinen Erfahrungen, meiner Integrität. Und zwar egal ob WordPress, MacSupport, ownCloud, Starface oder sonst was. Im Ergebnis wurde damit zum Jahreswechsel und mit Blick auf #Projekt52 die stefankremer.de aufgewertet., die Subdomains macsupport.redaktiv.de und webdesign.redaktiv.de wurden abgeschaltet und die Inhalte hier her übernommen.

Damit ihr auch was davon habt – außer dem ollen Content 😉 – hier ein paar Dinge, die ich dafür gemacht habe:

  1. Anstatt die Multisite zu verkleinern, habe ich sie erstmal noch um eine Unterseite vergrößert. Mit Hilfe von MultiSite Clone Duplicator wurde eine 1:1 Kopie für ein Staging von stefankremer.de erstellt. Darin liessen sich alle Importe erstmal durchtesten, ggf. wieder verwerfen, die Importroutine feinschleifen etc.
  2. Damit was zum importieren da ist, braucht es erstmal einen Export. Die Standard-Funktion unter Werkzeuge > Daten exportieren > alle Inhalte liefert das was wir brauchen.
  3. Der Import funktioniert dann ganz normal über den WordPress Importer.

Also Iteration 1: genau so mal alles reingeklatscht und geschaut, was funktioniert, was fällt um.

Erste Erkenntnis: es braucht eine andere (zusätzliche) Kategorisierung. Um die Inhalte den Überbegriffen MacSupport und WebDesign wieder korrekt zuzuordnen.

Also Iteration 2: den Clone wegwerfen und einen neuen erzeugen. Erste Importroutine durchführen und danach alle neu importierten Beiträge Kategorisieren. Danach den gleichen Schritt mit dem zweiten Importbulk der anderen Seite entsprechend. Da nach dem Clone gerade mal zwei Artikel existieren (die beide mit zu WebDesign gehören – also das zu erst rein!), ist der Teil einfach. Und der zweite Schwung kann nach dem Ausschlußprinzip identifiziert werden.

Auf der ToDo Liste:

Im nächsten Schritt werden dann noch ein paar Schlagwörter normalisiert und auf die neue Struktur angepasst.

Ein paar meiner alten Artikel haben durchaus etwas Aufmerksamkeit erzielt. Auch wenn sie heute ggf. nicht mehr aktuell sein sollten, Links dorthin mag man ungern verlieren. Also werden noch ein paar Redirect-Regeln geschrieben, damit die bisherigen Links wenigstens per 301 weitergeleitet werden. Damit leben ein paar Bookmarks draussen in der weiten Webwelt weiter und Google ist auch glücklich.

Zu guter Letzt: die Unterseiten in der Multisite Installation werden gelöscht. Nächster Halt: aus der Multisite wird wieder eine einfache WordPress Instanz. Aber das ist ein eigenes Thema und im Moment noch nicht auf der Agenda, weil noch ein paar andere Altlasten diese Installation bevölkern ;-).

Gute Vorsätze, #Projekt52 und anderes zum Jahresanfang 

Sollte ich mir tatsächlich vornehmen in 2017 mehr und eigentlich überhaupt zu bloggen?  Bisher beschränkten sich meine textlichen Ergüsse auf ein paar Tipps und Tricks, mal ein paar Best-Practice Beispiele aus meiner Arbeit oder ein paar Links, die fast mehr für mich selbst, denn für meine Umwelt dokumentiert habe. Und das alles verteilt auf knapp ein halbes Dutzend Webadressen und bestenfalls alle Jubeljahre einmal.

Den aktuellsten Tipp in Sachen Bloggen habe ich wimret bei Chris Lema aufgeschnappt: wenn du dich mehr als 20 Minuten mit etwas befasst hast, kannst Du es auch eben so gut per Blog teilen.

Ok. Here we go. Die Gedanken zur KW1.

Im Moment fange ich etwas Frühlingsluft an der türkischen Riviera ein. Damit der Schornstein trotzdem raucht, braucht es die Nabelschnur nach Hause. Also Internet. WiFi ist größtenteils verfügbar, aber z.T. lausig lahm oder mit sporadisch funktionierenden Anmeldeprozessen. Ein Prepaid Datentarif von lokalen Anbieten bietet zwar ein gutes Preis-/Leistungsverhältnis (4 GB für umgerechnet ca. 20 €) ist aber für nur eine Woche etwas überdimensioniert. Dann lieber ab und an mal ein Datenpaket bei der Telekom dazu gebucht (50 MB/24 h zu 2,95 €) wenn mal kein WLAN verfügbar ist. Und 50 MB pro Tag geben eine gute Entscheidungshilfe, was wirklich wesentlich ist und jetzt durch die Leitung muss!

Um gleich den Naserümpfern in Sachen Türkei den Wind aus Segeln zu nehmen: die Sicherheitslage in Alanya und Umgebung ist hervorragend. Hier ist so dermaßen tote Hose, dass die notwendige Öffentlichkeit den Terror sucht sich einfach nicht einstellen will. Und mit dem Geld dass ich hier unten lasse unterstütze ich sicher auch Herrn Erdogan (mindestens mit dem ermäßigten Umsatzsteuersatz von 8 % auf Lebensmittel) aber noch viel mehr die gastfreundlichen Menschen in Bars, Restaurants, Supermarkt und Hotel. Deren Duldsamkeit aufgrund der wirtschaftlich nicht einfachen Situation ist bewunderns- und unterstützenswert. Ohne explizit nachgefragt zu haben, würde ich annehmen, dass die meisten Geschäftsleute sich sehr wohl bewusst sind, wo ihre Probleme herkommen.

Die oben angesprochene Nabelschnur konnte ich auch dank VPN ins heimische Büro nutzen um Rechnungen zu schreiben, Bankgeschäfte sicher zu tätigen und ganz profan diverse Nachrichtenkanäle wie eMail, Twitter, Slack und Konsorten abzuarbeiten.

Und natürlich macht so ein kleiner Urlaub auch die Birne frei und liefert neuen Input. Nächster Halt in KW 2: die Umstrukturierung meiner diversen Webadressen und deren Inhalte. Stay tuned!

Heute ist »Data Privacy Day«

und damit eine sehr gute Gelegenheit auf das Projekt »OwnCloud«, mit dem ich mich nun auch schon etwas länger beschäftige aufmerksam zu machen.

Ich vertrete schon seit Jahren die Auffassung, das Cloud-Computing nur so lange gut und akzeptabel sei, solange die Wolke mir – dem User – gehört. Exakt das, was § 1 des User Data Manifesto postuliert.

Entsprechend bin ich kein allzugrosser Freund von DropBox, Box.com, SkyDrive, Google Docs, iCloud oder wie sie alle heissen mögen. Erst recht nicht von Mega!  Das K.O.-Kriterium war und ist für mich in allen Fällen der US Patriot Act, der es US-Sicherheitsbehörden erlaubt meine persönlichen Daten einzusehen.

In der Vergangenheit hiess die Lösung daher oft genug: die Daten lagern auf dem eigenen Unternehmensserver, der im Büro des Kunden steht (schlicht: weil dort der überwiegende Teil der Zugriffe stattfindet). Für den selteneren Fall das die Daten unterwegs verfügbar sein sollten, wurde ein VPN-Zugang zum Server gelegt. Dank Mac OS X war das kein Hexenwerk, sowohl server- wie auch clientseitig war alles mit ein paar Klicks zuverlässig eingerichtet.

Die Anforderungen haben sich geändert

Der Zugriff unterwegs ist nicht mehr die Ausnahme von der Regel, sondern wird spätestens mit iPhone, iPad und anderen mobilen Devices zum Normalfall. Und nun? Den OS X Server ins Rechenzentrum schaffen? Wäre zwar eine Möglichkeit, aber keine die meiner Meinung nach ernsthaft zu verfolgen wäre. Ein Mac mini muss mit Extraufwand Rackmount-tauglich gemacht werden, ein MacPro ist unter HE- und Stromkostengesichtspunkten eher eine Katastrophe und die XServes sind durch Apple abgekündigt.

Umgekehrt ist Speicherplatz auf Linuxkisten im Rechenzentrum als Root-, Managed- oder Virtualserver für wirklich kleines Geld zu haben. An dieser Stelle kommt OwnCloud als Lösung ins Spiel. Vom Funktionsumfang her ist es eine Mischung aus iCloud und DropBox. Einerseits können Kontakte und Termine ähnlich wie iCloud per CardDAV/CalDAV zwischen verschiedenen Devices verwaltet werden. Andererseits bietet ein lokaler Sync-Client eine vergleichbaren Komfort in Sachen Datenaustausch mit der Cloud wie man es von DropBox und Konsortien gewohnt ist.

Die Software selbst ist OpenSource, als Community Variante kostenlos erhältlich und bedarf serverseitig lediglich der üblichen Verdächtigen PHP/MySQL. Wer sich selbst nicht an die Installation traut, findet zwischenzeitlich auch deutsche Dienstleister, die das nach deutschem Recht auf deutschen Servern übernehmen. Und CIA, FBI und NSA bleiben draussen.

WordPress Plugins

Beim letzten WP Meetup Franken hab ich das ein oder andere zum Thema »Wordpress Plugins« erzählen können. Eine kleine Zusammenfassung davon findet sich unter https://wpmeetup-franken.de/allgemein/ruckschau-3-wp-meetup-am-24-2.html

[Update] Heiter bis wolkig

Nein, es geht nicht um’s Wetter, sondern um den allgegenwärtigen Hype »Clouds«. I.d.R. sprechen wir dabei über mehr oder minder Speicherplatz auf irgendwelchen Servern (die zumeist in Amerika stehen und deren Sicherheit und Privatheit man nun glauben kann oder nicht).

Egal wie: allen gemeinsam ist, das sie ein einfaches und bequemes Mittel darstellen um Daten immer und überall griffbereit auf allen Devices zu haben. Neben dem »Altvater« DropBox für den es ab Werk 2 GB Speicherplatz kostenlos gibt plus weiteres für neugewonnene Mitglieder (ACHTUNG: Aktion bis 31.10.2011: 2 x 50 GB extra zu gewinnen !) kommt nun Apple mit iCloud daher. Zunächst einmal ist sehr erfreulich, dass nach dem nicht immer runden und recht teuren MobileMe nun eine kostenlose Alternative bereitsteht, die immerhin 5 GB mitbringt. Richtig nett wird iCloud bei uns aber wohl erst werden, wenn iTunes dort verfügbar wird. Das Angebot ist derzeit nur in den USA verfügbar – dort kann man offenbar mit Musiklabels zu vernünftigen Einigungen kommen :-/. Auch wenn iTunes in der Cloud ein kostenpflichtiges Extra wird – für 25 $ (€?) pro Jahr die komplette Library (die bei mir rund 22.000 Titel umfasst) von Apple tip-top aufbereitet zu bekommen, ohne eine Nachfrage ob die MP3-Dateien selbst gerippt wurden oder als (erlaubte!) Privatkopie den Weg auf den Rechner fanden, finde ich sehr attraktiv.

5 GB sind nicht die Welt und so kommt aktuell box.net mit einem Top-Angebot daher: 50 GB Speicherplatz, wenn die Cloud über iPhone oder iPad eingerichtet wird. Die Aktion läuft bis zum 30.11.2011 (50 Tage). box.net-App downloaden, anmelden und (fast) fröhlich sein. Wieso fast? Weil iPhone und iPad unterstützt sind, eine Mac und Win-Applikation ähnlich wie Dropbox sie bietet aber noch in der Pipeline stecken. Schlimm? Nein!

Zum ersten ist die Weboberfläche nicht die allerschlechteste – inklusive Drag’n Drop Upload per Browserfenster. Zum zweiten gibt es schon eine kleine Mac-App namens Box Simple Share die zumindest ein paar rudimentäre Funktionen wie einen Upload, insbesondere von Screenshots auf der Pfanne hat. Und zum dritten – und besten – kann man box.net auch per WebDAV direkt aus dem Finder heraus ansprechen. Michael Preidel beschreibts auf seiner Page:

Interessant dabei ist, dass sich der Speicherplatz bequem über WebDAV ins Filesystem einbinden lässt: Unter Mac OS X im Finder Befehl-K drücken (oder im Menü Gehe zu > Mit Server verbinden … auswählen), bei Serveradresse „http://box.net/dav“ eintragen und anschließend Benutzer und Kennwort des Box.net-Accounts eintragen.

[Update 07.02.2012]Schade: box.net hat mir nichts dir nichts die (bis dahin inoffizielle) WebDAV-Unterstützung komplett rausgenommen. Damit ist box.net auf dem Mac komplett unbrauchbar geworden :-/

owncloud-square-logo-150x150Aktuell bin ich dabei owncloud.org zu testen. Schaut auf den ersten Blick auf jeden Fall um Welten besser aus, als das, was man gemeinhin aus der Linux/Opensource-Ecke gewöhnt ist und soll auch CalDAV und CardDAV unterstützen, was u.U. sowohl iCloud, wie auch einen OS X Server für den Hausgebrauch obsolet machen könnte!

 

CTI für Telefonsupporter

Ich hatte ja an anderer Stelle bereits von Dial!Fritz und der FritzBox berichtet. Zwischenzeitlich wurde die 7270v2 durch einen Blitzschlag dahingerafft und durch eine 7390 ersetzt. Wesentlichste Mehrwerte für mich sind dabei Möglichkeit ein (schnelles) Gast-WLAN zu unterhalten und die Gigabit-Anbindung der FritzBox an mein Netz. Auch Dial!Fritz hat gute Fortschritte gemacht und ist in der aktuellen Version 1.4 eine echte Cocoa-App mit einer hübscheren Oberfläche geworden. Bis auf die fehlende Möglichkeit ausgehende Faxe direkt vom Rechner via Pseudo-Druckertreiber zu versenden (was die Fritz.mac Suite von Meilenstein bietet, die aber ansonsten deutlich weniger gelungen ist) bietet mir Dial!Fritz alles, was ich für meine Zwecke brauche. Sehr gelungen finde ich dabei die Möglichkeit via AppleScript eigene Aktionen bei eingehenden und/oder ausgehenden Anrufen auszulösen.

Auf dieser Basis habe ich mir eine kleine Lösung geschafffen, die ich heute vorstellen will. In der Vergangenheit habe ich meine Telefonate, insbesondere die, in denen ich qualifizierte Antworten und Lösungen »so zwischendurch« an meine Kunden durchgereicht habe nicht wirklich nachgehalten und im Rahmen der Rechnungsstellung »pi mal Daumen« meinen Supportaufwand am Telefon kalkuliert. Dank Dial!Fritz, TimeLog4 und zwei kleinen AppleScripten aus meiner Feder findet die Aufzeichnung nun automatisiert statt.

[download id=“2″]

Das Regelwerk, das ich abbilde lautet wie folgt: eingehende Anrufe auf meinen Büronummern erzeugen beim Beginn des Anrufs einen Eintrag in iCal mit einer Default-Anrufdauer von 15 Minuten. Am Ende des Gesprächs (beim Auflegen) wird die korrekte Dauer dann eingetragen. Wird die Rufnummer von Anrufer übermittelt, kann Anhand des Adressbuchs der Name ermittelt und eingetragen werden. Ebenso werden für TimeLog ein paar Parameter wie eine passende URL, eine Kategorie (die die Höhe des Stundensatzes bestimmt) und ein Projektname (hier immer »Telefonsupport«) hinterlegt. Zusätzlich erscheint am Ende des Telefonats ein PopUp-Dialog in dem eine kurze Notiz zum Gespräch erfasst werden kann oder der Eintrag (weil keine abrechenbare Leistung) gleich komplett verworfen werden kann.

TimeLog integriert sich in iCal, nutzt die dortigen Einträge um daraus eine Stundenerfassung für Kundenprojekte zu erzeugen und (sofern man das Schwesterprodukt GrandTotal einsetzt) Abrechnungen dafür zu erzeugen. Am Ende eines Quartals läppert sich u.U. so eine recht erkleckliche Summe zusammen, die ich in der Vergangenheit auch oft genug mal zu grosszügig zu Gunsten meiner Kunden eingeschätzt und Leistung, sprich Geld verschenkt hatte.

Es sind einige händische Anpassungen an den Scripts erforderlich. Über Feedback freue ich mich und noch mehr falls jemand an der Lösung mitarbeiten mag 😉

Online Banking reloaded

Man muss es offen zugeben: MacGiro war in die Jahre gekommen. Seit einer gefühlten Ewigkeit – schon unter OS 8 – nutzen wir MacGiro um Online-Banking auf dem Mac zu betreiben und seither hat sich am Look and Feel eigentlich nichts wirklich geändert. Vor 10, 12 Jahren als wir anfingen war MacGiro mit seiner HBCI/Schlüsseldatei-Unterstützung absolut konkurrenzlos und die Frage nach einer Alternative stellte sich überhaupt nicht, wollte man den – immer noch – bestmöglichen Schutz eines solch sensiblen Verfahrens wie Onlinebanking sicherstellen.

Ein kurzer Exkurs zum Thema gängige Online-Banking Verfahren

Ein erstes Unterscheidungsmerkmal ist die Bedienung via normalem Internetbrowser gegenüber einem expliziten Clientprogramm. Der Hauptvorteil eines dedizierten Clients liegt klar darin, dass anstehende Transaktionen zunächst offline erfasst werden können sowie offline auch Auswertungen wie Liquiditätsplanungen etc. erstellt werden können. Nur für die eigentliche Übertragung der Geschäftsvorfälle bedarf es einer kurzen Onlineverbindung zum Bankserver. Aus sicherheitstechnischer Sicht heisst das: schon der zeitliche Rahmen für einen Angriff ist deutlich geringer als bei einer browserbasierten Anwendung, die einer permanenten Onlineverbindung bedarf. SSL hin oder her – auch da gibt es genügend Unterschiede in der Stärke und die Möglichkeit einer Rückrechnung steigt mit der preiswerten Verfügbarkeit von skalierbarer Rechenleistung im Internet.

Das zweite wichtige Kriterium betrifft das Signaturverfahren mit dem die Aufträge an die Bank übermittelt werden. Die beiden in Deutschland wesentlichsten Verfahren sind dabei PIN/TAN (mit mehreren Unterformen wie iTAN, mTAN, …) und HBCI (Homebanking Computer Interface). Kurz gesagt: jede Form von TAN darf heute als unsicher gelten. Das inkludiert auch das HBCI-TAN Verfahren. Jeder Versuch dies über indizierte Listen, Versand von SMS etc. etc. zu kaschieren war nur von kurzem Erfolg. Das Verfahren ist broken-by-design. Wer – nach aktuellem Stand der Technik – Onlinebanking wirklich sicher betreiben will, kommt am HBCI Verfahren mit einer Schlüsseldatei nicht vorbei. Vom Angebot dieses Verfahrens sollten Sie durchaus die Auswahl ihrer Bank abhängig machen!

Nicht zuletzt durch den mehr als angestaubten Touch von MacGiro, der unerfahrene Benutzer verzweifeln liess und die vom Mac gewohnte Einfachheit der Bedienung in vielen Stellen komplett ad absurdum führte, stieg die Zahl der Mitbewerber. BankX beispielsweise zog funktional sehr rasch auf Augenhöhe, war aber optisch um Längen voraus. Selbst Newcomer wie Pecunia, die als aktuelle Version 0.3 eher im Rohzustand sind und OutBank – der Mac-Ableger der iPhone Banking Software iOutBank – noch im Beta-Stadium (und damit eigentlich ein NoGo für einen solch sensiblen Sicherheitsbereich) oder das freie Hibiscus, dessen Installation alles andere als Mac-like ist, fanden sehr schnell Freunde. Mit der aktuellen Version 7 hat MacGiro die Zeichen der Zeit erkannt. 2 Tage vor dem offiziellen Release von Mac OS X 10.7 (Lion), welches Rosetta endgültig in den Himmel schickt, war die Notwendigkeit einer grundlegenden Überarbeitung gegeben. Die nun vorliegende Version hat dabei sowohl optisch wie auch funktional erheblich dazu gewonnen.

Hauptfenster MacGiro

Beim Erzeugen von Überweisungen, Daueraufträgen oder erwarteten Zahlungseingängen darf man sich z.B. ein – lange vermisstes – AutoFill Feature freuen. Ein beliebiger Namensbestandteil wird im Fremdkontenstamm gefunden, Name, Kontonummer und BLZ automatisch eingesetzt. Eine erhebliche Vereinfachung und Zeitersparnis!

Autovervollständigen unter MacGiro

Ändern sich wiederholende Abbuchungen in ihrer Höhe, kann der neue Betrag mit nur einem Klick für die künftigen Buchungen übernommen werden. Auch hier: ein deutlich kürzerer Weg zum Ziel und ein Produktivitätsgewinn. Geblieben sind die flexible Darstellungsmöglichkeiten für Listen, die weitreichende Konfigurierbarkeit der Buttonleiste. Auf der Wunschliste bleiben noch die etwas bessere Bedienbarkeit ausschliesslich über Tastatur – ein paar Shortcuts lassen sich dank Mac OS X zum Glück einfach nachrüsten. Die Optik ist deutlich aufgefrischt, nicht wirklich hip, sondern immer noch eher etwas konservativ, was dem Einsatzzweck aber durchaus angemessen ist. Sämtliche Darstellungen erfolgen in einem einzigen Fenster, über die Seiteleiste wechselt man schnell in den gewünschten Bereich ohne sich wie bisher in zig Fenstern (Übersicht, Eigenkonten, pro Konto ein Kontobuch, Log, …) verlaufen zu müssen.

Fazit: die Kontenstände werden mit MacGiro noch nicht wirklich besser, aber sie werden hübscher dargestellt. Und wenn Zeit tatsächlich Geld ist, dann sollte der Kontostand langfristig aufgrund der Zeitersparnis durch die neuen Funktionen anwachsen.

Sind ihre Passwörter sicher?

Es vergeht fast kein Tag mehr, an dem nicht von irgendeinem Hack – Sony, Sega, US-Senat, GoogleMail, etc., etc. – zu lesen ist und bei dem Passwörter erspäht oder sogar veröffentlich werden. Wer auch nur eine handvoll Webdienste mehr oder minder intensiv nutzt und evtl. sogar Einkäufe oder Geldtransfers tätigt der sollte spätestens jetzt alarmiert sein. Wenn dann noch die oft vorherrschende (Un)Sitte ein Passwort für mehrere Dienste einzusetzen dazu kommt, wird’s wirklich ernst!

Ich gebe zu: in der Vergangenheit bin ich auch mit 3 bis 4 Passwörtern im Internet ausgekommen. Eines für relativ triviale Zwecke wie einmalige Einsätze um Downloads zu erhaschen oder an Gewinnspielen mal teilnehmen zu dürfen. Eines für Forenzugänge, eines für Einkäufe und ein »Hochsicherheitspasswort« für wirklich wichtige Sachen. Aber ehrlich: 6 bis 8 Buchstaben, die sich evtl. sogar in der eingesetzten Reihenfolge auch noch in einem Wörterbuch finden lassen sind nicht Hochsicherheit! Und ein Passwort für alle Foren könnte – sofern auch nur ein Forum gehackt würde – zu einer erheblichen »Identitätskrise« führen, wenn ein Angreifer die gewonnenen Erkenntnisse reihum einsetzen würde um mir eher unliebsame Dinge in meinem Namen zu verbreiten. Von irgendwelchen Auswirkungen auf meinem Konto, wenn demnächst jemand mal bei Amazon, mal bei ebay in meinem Namen einkaufen geht ganz zu schweigen.

Die sichere Variante schaut so aus:

  1. jeder Webdienst bekommt sein eigenes, individuelles Passwort
  2. Passwörter müssen sicher sein, sprich: eine willkürliche Kombination aus Buchstaben – evtl. sogar noch Gross- und Kleinschreibung unterschieden, Zahlen und evtl. noch Sonderzeichen

Klingt aufwändig? Ist es erstmal auch, insbesondere dann, wenn man wie ich schon eine Vielzahl von Logins sein eigen nennt und die erstmal nach diesen Richtlinien geändert werden müssen. Aber es ist eigentlich wie immer: Sicherheit und Bequemlichkeit sind zwei Dinge, die sich diametral entgegen stehen und zwischen denen jeder für sich einen gangbaren Weg finden muss. Ich für meinen Teil habe nach den o.g. Vorkommnissen gerne den etwas steinigeren Pfad gewählt.

Dabei gibt es einen – für mich zwischenzeitlich unverzichtbaren – Helfer, der eigentlich schon seit längerem seinen Dienst bei mir tut, den ich aber noch sie so strapaziert habe wie jüngst. Die Rede ist von 1Password.

Mit einem merkfähigen Masterpasswort bekomme ich den Zugriff auf beliebig viele sichere Passwörter für die div. Internetdienste.

01-1P-Loginscreen.jpg  

Damit merkfähig nicht automatisch unsicher heisst – also etwa der Mädchenname meiner Grossmutter oder der Geburtstag der Katze – gibt es mehrere Möglichkeiten um ein solches Passwort zu generieren. Kleiner Exkurs »wie baue ich ein Passwort«:

  1. Der Merksatz
    »Das ist das Haus vom Nikolaus« gäbe etwa das Passwort »DidHvN«. Noch etwas kurz und bis jetzt lediglich Buchstaben – immerhin schon Gross- und Kleinschreibung gemischt. Da Nikolaus stets am 6.12. gefeiert wird, könnte also »DidHv612« draus werden und schon wären zum einen zwei Zeichen und sogar Ziffern dazu gekommen. Qualität schon in der Rubrik mittelprächtig
  2. Ein verfremdetes Wort
    Als erstes ein Wort finden das min. 8 Zeichen umfasst und irgendwie in den zu schützenden Kontext gehört. Nehmen wir als Beispiel doch einfach »Privatsphäre«. Innerhalb dieses Wortes finden sich nun Buchstaben, die sich durch Zahlen ersetzen lassen. Ein »E« ist nichts anderes als eine gespiegelte »3«, eine »4« schaut einem »A« ähnlich, je nach Schrifttype sind »1« schon mal leicht mit dem großen »I« oder dem kleinen »l« und die »0« mit »O« zu verwechseln. So könnte aus »Privatsphäre« leicht »Pr1v4tsph43r3« werden. Noch etwas Gross- und Kleinschreibung gemischt und »pR1v4tSph43R3« geht als klasse Passwort durch
  3. Tastenläufe
    ob man’s glauben mag oder nicht … »qwertz123456« ist aufgrund seiner Länge und der Mischung von Buchstaben und Zahlen ein sicheres Kennwort. Grosses Aber: es sollte niemand hinter einem stehen und spicken, wenn man es auf der Tastatur eingibt!
  4. Aussprechbare Kunstwörter
    »soveraida« oder »rotantiou« sind keine wirklichen Wörter, auch wenn Sie auf den ersten Blick so aussehen und so klingen. Nicht einmal in einer Fremdsprache. Es sind nach dem »FIPS-181« Standard erzeugte Kennwörter. Mit etwas mehr Textlänge (ab 21 Zeichen) oder in Kombination mit Ziffern dürfen sie als sicher gelten. »bukolufotatamana123« könnte so eine Zauberformel für den Zugang zu ihrem Passwort-Tresor werden

Erster Disclaimer: keines der o.g. Bespiele kommt bei mir zum Einsatz ;-).

Nichts spräche dagegen nach dieser Methodik sich nun für jede Seite ein entsprechendes Passwort aufzubauen und z.B. über die einschlägige Browserfunktion die sich Kennwörter einmerkt abzuspeichern. Mehr noch: Sofern der Browser auf den Mac OS X Schlüsselbund zugreift (Safari, Camino) steht auch dort ein Passwortgenerator zur Verfügung, der z.B. FIPS 181 kompatible Kennwörter erzeugen kann.

Aber es geht eben mit 1Passwort noch einfacher und an ein paar Ecken – da kommen wir noch zu – auch komfortabler. Wie schon gesagt: von dieser Sorte Passwort brauche ich bei Verwendung von 1Passwort genau eines. Nämlich das, das mir den Zugang zu 1Passwort und seiner Passwort-Datei eröffnet. Innerhalb von 1Passwort – und damit für jeden Webdienst – bietet mir das Programm selbst einen sehr guten Passwortgenerator an. Meine Voreinstellungen für neue Passwörter steht zwischenzeitlich bei 20 Zeichen, Ziffern und Buchstaben gemischt, Reihenfolge zufällig.

02-1P-Kennwort-erzeugen.jpg

Sofern eine Webseite ordentlich genug programmiert ist und maximale Längenbeschränkungen für Passwörter übermittelt werden, kürzt 1Passwort diese Vorgabe automatisch ein, ansonsten ist an der Stelle noch etwas Handarbeit gefragt um ein neues Passwort gemäss den Vorgaben einer Webseite zu erzeugen, sprich: etwas unsicherer zu machen ;-).

Durch die Integration in den Browser schlägt 1Password bei neuerkannten Logins automatisch vor, diese einzumerken.

03-1P-Abruf-im-Browser.jpg

Dabei können die Login-Einträge innerhalb von 1Password in Unterordner gruppiert und/oder mit Etiketten getaggt werden.
Damit wären en passant schon zwei Vorteile von 1Password gegenüber dem Mac OS X Schlüsselbund genannt. Zum einen die Integration in alle Browser, nicht nur in die, die den OS X Schlüsselbund nutzen. Einmal einen Eintrag erzeugt, greifen alle Browser – auch Firefox, Opera und Chrome, die ansonsten ihr eigenes Süppchen kochen – auf den gemeinsamen Passwortspeicher zu. Die Integration umfasst sogar Programme, die nur im Nebenberuf Browser sind, wie z.B. den RSS-Client NetNewsWire oder das Dokumentenmanagement DevonAgent.
04-1P-Settings-Integration.jpg

Zum zweiten die sehr viel weitergehenden Sortiermöglichkeiten über Unterordner und/oder Etiketten mit deren Hilfe sich eine vernünftige Struktur in die gesammelten Passwörter bringen läßt.
Als drittes wäre der schnelle Zugriff auf die Logins zu nennen. Anstatt erst URL einzugeben und dann den Login abzurufen, bietet 1Passwort einen sehr schnellen Weg über das Menü »Anmeldung zeigen«, das mit einem Tastenkürzel (Alt-Shift-Umschalt-+) aufgerufen werden kann.
05-1P-Quick-Access.jpg
Name des Eintrags oder Teile der URL reichen als Suchbegriff aus um den gewünschten Login zu identifizieren, ein Return um die Seite fixfertig mit Anmeldung aufzurufen. Diese Funktion fand ich derart nützlich, das ich das Kürzel via Butler gleich Systemweit eingeführt habe.
06-1P-Global-Shortcut.jpg
Mit der Tastenkombination wird ausserhalb von Safari, in jedem beliebigen Programm Safari in den Vordergrund geholt und der entsprechende Eintrag im Menü dort aufgerufen.
Ein weiteres Plus gegenüber dem Systemschlüsselbund: pro Webdienst kann ich mir mehr als nur einen Zugang abspeichern. Das ist für mich eine erhebliche Arbeitserleichterung, habe ich doch z.B. auf einem Webhosting-Server mehrere Zugänge zu Kundenpräsenzen. Diese sind alle über ein- und dieselbe URL erreichbar, unterscheiden sich aber naturgemäß durch die Login-Daten. Mit 1Passwort kann ich nun je einen Eintrag »Webhosting Kunde A«, »Webhosting Kunde B«, … erzeugen und kriegen diese als Login passend präsentiert.

07-1P-Multi-Logins.jpg
Weiterhin kann ich verschiedene Zahlungsinformationen wie Bankkonten und Kreditkarten verwalten und sogar (sofern die Feldbezeichnungen in Webformularen richtig erkannt werden) ausfüllen lassen. Ebenso können Anmeldevorgänge bei Webseiten beschleunigt werden. Immer wieder abgefragte Informationen wie Anschrift, Geburtsdatum etc. werden aus den in 1Passwort hinterlegten Identitäten abgefragt. Dabei können auch hier wiederum mehrere Identitäten – beispielsweise private und geschäftliche, aber auch unterschiedliche Personen – dort hinterlegt werden. Oder auch eine »Pseudoidentität« für Dienste die allzu neugierig und vielleicht sogar geschwätzig sind ;-).
1Passwort liefert zudem ein paar Ordnungskriterien, die die laufende Arbeit an Passwörtern vereinfachen. Über einen Intelligenten Ordner kann ich z.B. alle tendenziell unsicheren und schon länger im Gebrauch befindlichen Passwörter identifizieren. Sprich: hier steckt eigentlich mal die nächste Arbeit drin, diese Zugänge zu härten.
Zweiter Disclaimer: gar nicht erst anstrengen. Die meisten der hier gelisteten Passwörter sind entweder eh publik und keine Zugangssicherung im engeren Sinne oder nur intern in meinem Netz verfügbar oder eine Vorgabe meiner Kunden auf die ich (leider) (bisher) keinen Einfluss habe
07-1P-Verwaltung.jpg
Neben den schon beschriebenen Abteilungen für Web-Anmeldungen, Zahlungsinfos und Identitäten können auch Informationen zu anderen Zugängen, z.B. über Programme wie iTunes zum iTS, sichere Notizen und Seriennummern von Programmen sicher eingemerkt und verwaltet werden.
08-1P-Software.jpg
An der Stelle sind die Unterschiede zum Schlüsselbund eher marginal. Bestenfalls die Möglichkeit per Drag ’n Drop Bilder und eMails aufzunehmen verdient eine Erwähnung.
Sehr viel wichtiger als Funktion ist mir dagegen die Möglichkeit die Daten auch zu meinem iPhone spielen zu können. In diesem speziellen Fall sogar ohne den für andere Plattformen notwendigen Weg via Dropbox, sondern direkt via WLAN Peer-to-Peer zwischen den beiden Programmversionen für Mac und iPhone. Wer sich traut seinen (verschlüsselten) Kennwortspeicher von 1Passwort der Dropbox anzuvertrauen, dem stehen auch Syncronisationsmöglichkeiten zwischen mehreren Rechnern – Mac und PC – sowie zusätzlich der Android-Plattform offen.
1Passwort ist kostenpflichtig. Die Einzellizenz für Mac oder Windows liegt bei knapp $ 40, beide Plattformen zusammen sind für $ 60 zu erwerben. Bei mehreren Rechnern lohnt ein Blick auf die 5er Lizenz. Für eine einzelne Plattform (Mac oder Win) sind dafür $ 70 fällig, plattformübergreifend $ 20 mehr. Im iTunes AppStore finden sich Versionen für iPhone/iPod touch oder iPad zu je 7,99 € oder eine 1Password Pro Version, die die iPad- und iPhone/iPod touch-Version in sich vereint zu 14,99 €.
1Passwort taucht oft genug auch in den einschlägigen Bundle-Angeboten auf. Aktuell (21.6.2011) z.B. im Freelance Mac App Bundle. Wer dort weitere für sich interessante Programme (Billings und TextExpander sind auf jeden Fall einen Blick wert!) ausmacht, kann zu einem Preis von $ 49 zuschlagen.

Kann ich SL schon einsetzen?

Eine Frage, die mir häufiger von meinen Kunden gestellt wird. Neben der Lust auf »Neues«, der Neugier auf den jeweils letzten Release aus dem Hause Apple und z.T. der Notwendigkeit (oder soll ich es »Nötigung« durch Apple nennen :-o) durch die Auslieferung neuer Rechner mit dem aktuellen System gibt es aber gerade im Business-Einsatz ein paar Dinge mehr zu beachten.

Da wäre zum Ersten die Unterscheidung zwischen Server-Betriebssystem und Client-Rechnern. Was für den Client i.d.R. schon recht ordentlich funktioniert, muss für den OS X Server noch lange nicht gelten. Nachzuschlagen bei 10.5., wo ich Serverinstallationen guten Gewissens erst mit 10.5.6 angefangen habe. Im Prinzip verhält es sich mit SL recht ähnlich. Gerade wenn es darum geht neue Features der Serverversion einzusetzen kann man nur warnen. Bei 10.5. entpuppte sich der als Killerfeature hochgelobte iCal-Server als absolut anfällig. Unter 10.6 stellt zunehmend der Adressbuchserver als (im Moment, Stand 10.6.1) unbrauchbar heraus. Hier gilt es entspannt abzuwarten oder Drittprodukte einzusetzen. Bei bereits erprobten und seit vielen Versionen implementierten Funktionen kann darüberhinaus auch der alte Grundsatz gelten: never change a running system. Warum aus 10.4 oder 10.5. nun mit Gewalt 10.6. machen, wenn die eingesetzten Dienste absolut ident bleiben?!

Zum Zweiten das Zusammenspiel in Netzwerken. Was auf dem Einzelplatzrechner noch prima funktionieren mag, muß für eine Netzwerkinstallation noch lange nicht gelten. Die Liste von Unverträglichkeiten die Apple im Rahmen von Updates in Sachen Netzwerk produziert hat ist lang: hier mal ein DNS nicht mehr tat was er sollte, dort mal ein »verbessertes« AFP-Protokoll, das halbe Netzwerke lahmlegte und Server Amok laufen liess, … Die Aussage: »Bei mir läuft alles bestens, keine Probleme mit SnowLeopard!« bekomme ich denn i.d.R. auch von Leuten, die einsam und alleine mit ihrem MacBook auf weiter Flur unterwegs sind.

Zum Dritten die Konsistenz von Betriebssystemen innerhalb eines Netzes und damit ggf. verbunden die Notwendigkeit von Investitionen in neue Hardware. Was wie gerade beschrieben für ein Netzwerk im Allgemeinen gilt, gilt umso mehr für ein Netzwerk aus gemischten OS Versionen. Dabei muss man nicht mal in die Ferne zu Windows und Linux schweifen; schon der gemischte Einsatz von 10.4., 10.5. und 10.6. – von noch älteren Sachen, sehen wir wirklich mal ab – kann unerwünschte Verhalten im Netzwerk produzieren. So wurden beispielsweise die Formate von iCal und Mail zwischen den Versionen immer wieder mal geändert – was auch für den Laien recht leicht erkennbar ist an den Dialogen der ersten Installation: »Mail muß ihre Postfächer importieren« oder so ähnlich schlägt es einem nach erfolgtem Systemwechsel entgegen. Ein hin- und herwechseln zwischen verschiedenen OS-Versionen z.B. im Zusammenhang mit serverbasierten Homeverzeichnissen ist dann zum scheitern verurteilt! Scheidet dann noch ein Upgrade von Rechnern aus – bei SnowLeopard betrifft dies z.B. sämtliche PPC-Rechner – so entsteht aus dem Wunsch nach einer neuen OS-Version schnell ein größerer Bedarf an Ersatzinvestitionen!

Und zum Vierten wäre da noch die Verträglichkeit der vorhandenen Software mit SnowLeopard zu prüfen. Neben einigem an kunden- oder branchenspezifischen Programmen (die i.d.R. aufgrund ihres begrenzten Marktes und den dadurch schmalen Ressourcen in der Entwicklung und im Support zumeist mit Freigaben für aktuelle Betriebssysteme etwas hinterher hinken) sind auch die üblichen Verdächtigen wie Office Pakete, Mal- und Zeichenprogramme oder das eine oder andere liebgewonnene Tool auf SL-Tauglichkeit zu untersuchen. Hierbei hilft erfreulicherweise recht unkompliziert die Software »SnowChecker«.

Unterm Strich bleibt daher zu sagen: Ja, cleintseitig kann SnowLeopard bereits eine Option sein, wenn es sich in die vorhandene Installationsbasis einfügt. Wer dringend neue Rechner braucht, sollte darauf achten, das ggf. ein Downgrade auf 10.5. noch möglich ist!