Webseiten professionell Wiki

Wer Webanwendungen entwickelt, bei denen Logins oder andere sensible Daten verwaltet werden müssen, weiß, dass man solche Daten nicht in Klartextform in der Datenbank oder in Dateien speichern sollte. Denn eine Datenbank oder einzelne Daten daraus können gewollt oder ungewollt in falsche Hände geraten. Die meisten Entwickler befolgen das und wenden heutzutage mehrheitlich das Hash-Verfahren MD5 an, um Passwörter und ähnliche Daten zu kryptisieren.

Hash-Funktionen stellen eine Einwegverschlüsselung dar, d.h. es gibt keine Gegenfunktion zum Entschlüsseln. Eine Hash-Funktion erzeugt aus beliebigen Daten einen Prüfsummen-String mit fester Länge (bei MD5 ist es ein String mit 128 Bit). Gibt der User sein Passwort richtig ein, führt die Anwendung des Hash-Verfahrens wieder zum gleichen Prüfsummenergebnis.

Wenn es um Login-Passwörter für eine Quassel-Community geht, ist dieser Schutz im Falle eines nicht autorisierten Auslesens der gespeicherten Passwortdaten sicherlich ausreichend. Wenn es jedoch um sensiblere Daten geht, beispielsweise um Kreditkartennummern oder bei Zugangsdaten zu persönlichen Daten, die wiederum andere wichtige Zugangsdaten enthalten, sollte man sich als Entwickler ein paar Gedanken mehr machen.

Ein amüsant geschriebener und lesenswerter Beitrag zu diesem Thema ist der Blog-Beitrag Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes von Thomas Ptacek. Er macht deutlich, dass die hohe Verarbeitungsgeschwindigkeit von Hash-Algorithmen wie MD5 in Verbindung mit moderner Rechenleistung und mit Attackier-Methoden wie Rainbow Tables das Knacken von MD5-gehashten Daten durchaus lohnenswert macht.

Als eine mögliche Lösung, die Datendieben das Leben schwerer macht, werden sogenannte Salts empfohlen. Ein Salt (das kann irgendeine Zahl oder Zeichenkette sein) schützt vor Angriffsbeschleunigern wie Rainbow Tables. Als weitere Lösung nennt Thomas Ptacek das Secure remote password protocol (SRP). Dieses weniger bekannte Verfahren basiert auf Schlüsseltausch. Im Gegensatz etwa zu X.509 oder OpenPGP erfordert es jedoch keine Zertifikate und Zertifizierungsverfahren. Ein User kann sich damit einem System gegenüber mit Hilfe eines Passworts identifizieren.

Thomas Ptacek äußert gegenüber der SRP-Lösung jedoch diverse Bedenken. Das Verfahren sei patentiert, was den Anwender juristisch vom Wohlwollen des Patentinhabers abhängig macht. Außerdem sei damit zu rechnen, dass Implementierungen in beliebten Programmiersprachen wie PHP zunächst lausig und unzuverlässig seien. Als der Weisheit vorläufig letzter Schluss verkündet Ptacek stattdessen das Verschlüsselungs-Tool bcrypt. PHP-Entwickler, die damit nun gar nichts anfangen können, sollten sich einmal mit dem Portable PHP password hashing framework beschäftigen.

Kaum hat das halbe Volk den Kraftakt geschafft und per Download oder via Computer-Bild die 3er-Version des Firefox-Browsers erworben, da ist auch schon Firefox 3.1 angekündigt.

Für die Mehrheit der Anwender werden dabei Neuerungen wie die neue, visuelle Miniatur-Screenshot-Vorschau beim Tab-Wechsel mit [Strg]+[Tab] im Vordergrund stehen. Für Webentwickler, die heute schon gerne mal die Features von morgen testen wollen, dürfte aber auch die Unterstützung einiger HTML-5-Features interessant sein. Wie das Magazin Maclife berichtet, wird Firefox 3.1 die beiden neuen HTML-5-Elemente video und audio unterstützen.

Maclife verrät auch noch mehr Details: so soll Firefox 3.1 die beiden Elemente so interpretieren, wie sie zunächst vorgesehen waren: nämlich mit in die Browser-Software integrierten Dekodern für die OpenSource-Multimediaformate OGG Vorbis (Audio) und OGG Theora (Video). Das Magazin betont, dass Apple und Microsoft durchgesetzt hätten, dass nicht nur diese beiden Formate unterstützt werden, sondern (gegebenenfalls via Plugin) auch andere Formate.

Angesichts des Mega-Erfolgs von YouTube und vergleichbarer Services stellt sich der kritische Sachverstand allerdings die Frage, welche Chance die neuen HTML-5-Elemente audio und video tatsächlich haben werden, wo doch mit Flash alles so einfach geht und längst auf breiter Basis funktioniert. Allerdings könnte auch Flash davon profitieren, wenn es sich mit Hilfe der neuen, spezialisierten Multimedia-Elemente in HTML referenzieren ließe. Denn die derzeit übliche Praxis zur Referenzierung von Flash-Movies, ein Markup-Kauderwelsch aus object und embed mit vielen historisch gewachsenen Attributen, bedarf dringend einer semantischen Überarbeitung.

Firefox ist auch nicht der einzige Browser, dessen Entwicklerteam bereits unruhig nach HTML 5 schielt. In der Schmiede das Opera-Browsers ist man auf Sichthöhe. Derzeit ist eine experimentelle Opera-Version downloadbar, die ebenfalls die HTML-5-Elemente video und audio mit Dekodern für die OGG-Formate unterstützt. Auf der verlinkten Seite finden Sie auch Links zu Beispielseiten, auf denen Sie die multimedialen HTML-5-Fähigkeiten der Browser austesten können.

Mikroformate klinken sich in HTML ein und und nutzen vorhandene Möglichkeiten der Markup-Strukturierung. Die Semantik der Mikroformate steckt dabei überwiegend in frei wählbaren class-Attributnamen. <span class="given-name">Anna</span> wird von jedem Browser, jedem Spider und jedem Screenreader gleich interpretiert, von Mikroformate-Parsern jedoch erkannt.

So weit es möglich und vertretbar ist, sollen jedoch nicht nur konventionalisierte Klassennamen herhalten, um Mikroformate zu definieren. Deshalb gibt es noch einige andere, sogenannte Design Patterns zur Definition von Mikroformaten. Man möchte eben so gut es geht sinnvolles, vorhandenes HTML-Markup zur Definition von Mikroformaten nutzen. Eines dieser Design-Patterns, nämlich das abbr-Design-Pattern, ist zuletzt heftig in die Diskussion geraten. Denn bei diesem Pattern wird das Universalattribut title= genutzt, um semantische Informationen zu speichern. Leider hat sich herausgestellt, dass es dabei zu Konflikten mit anderen HTML-Interpretationsabsichten kommt. So blenden viele Browser den Inhalt von title-Attributen beim Überfahren des Elementinhalts mit der Maus in einem Tooltipp-Fenster ein. Auf viele Anwender wirkt es jedoch irritierend, wenn in einem solchen Fenster eine Information wie 2008-07-30T20:45+01:00 auftaucht, die eigentlich für auslesende Software gedacht ist, nicht für Menschen. Dazu kommt, dass einige Screenreader so einstellbar sind, dass sie den Inhalt des title-Attributs in abbr-Elementen laut vorlesen. Diese Tatsachen haben den englischen Sender BBC dazu bewogen, hCalendar-Mikroformate aus seinen Inhalten zu entfernen. Innerhalb der Mikroformate- und eigentlich der ganzen Webstandards-Szene wurde das als herber Rückschlag empfunden, da gerade die BBC zu den wichtigsten großen Vorreiter-Websites für den Einsatz von Mikroformaten gehört.

Matthias Pfefferle, Betreiber des Notizblogs, beschäftigt sich intensiv mit Mikroformaten. Heute hat er einen Blick in die entstehende HTML5-Spezifikation geworfen. Dabei ist ihm das neue time-Element aufgefallen, welches einen semantisch sinnvollen Ausweg aus der abbr-Design-Pattern-Misere weist. Mit seinem datetime-Attribut ist es wie geschaffen für Datums-/Zeitangaben innerhalb des hCalendar-Mikroformats.

HTML5 is made for Microformats, titelt Pfefferle deshalb. Als weiteres Beispiel nennt er das besondere HTML-5-Universalattribut data-. Dieses kann beliebige Ausprägungen haben, es muss lediglich mit data- beginnen. Damit eignet es sich hervorragend, um maschinenlesbare Daten aufzunehmen, während im Elementinhalt menschenlesbare Inhalte stehen können.

Innerhalb des Wikis von microformats.org wurde mittlerweile auch eine Seite mit dem Titel Microformats in HTML 5 eingerichtet, die alle für Mikroformate relevanten Neuerungen in HTML 5 dokumentieren soll.

In einem Xing-Forum gab es neulich einen Thread mit dem Titel Schönste Website. Gefragt wurde nach inspirativen, richtig gut aussehenden Websites. Am Ende kam eine Liste von Adressen zusammen, die nicht unbedingt jeder kennt, die aber möglicherweise Quellen der Inspiration sein könnten. Neben einigen direkten Links waren dabei vor allem Links zu Quellen interessant, die sich genau das hier behandelte Thema auf die Fahnen geschrieben haben: Quellen der Inspiration zu sein. Hier ein paar Adressen dieser Art:

• http://www.webcreme.com/
• http://www.mostinspired.com/
• http://www.webdesignerwall.com/trends/2008-design-trends/
• http://www.cssbeauty.com/
• http://www.cssclip.com/
• http://bestwebgallery.com/

Die Sites ähneln sich darin, dass sie andere, ausgesuchte Websites in Form von Vorschau-Screenshots verlinken. Die Ziele sind häufig Homepages von Leuten oder Agenturen, die Design und Kreativität anbieten und deshalb natürlich durch avandgardistisches Webdesign auffallen wollen.

Dass es sich vorwiegend um Ziele im angloamerikanischen Raum handelt, ist vielleicht von Vorteil. Denn so führt die Reise in teilweise andere als hierzulande übliche Vorstellungen von schönen oder spannenden Farbkombinationen. Auch mutig platzierte Grafiken oder Schriftzüge sowie collage-artige Anordnungen statt Standard-Zwei- oder Dreispalter sind bei vielen der verlinkten Websites als Stilmittel erkennbar. Ganz unterschiedlich sind allerdings die technischen Prioritäten. Vom reinen Flasher bis zum XHTML-strict-Apostel ist alles dabei.

Ein paar direkte Beispiele noch zum Abschluss:

• http://www.loewydesign.com/
  Blau-in-Blau-Komposition mit interessanter Navigation
• http://e-knjige.net/novosti/
  Derzeit nicht ganz unbeliebte Spielerei, Webseiten als vergilbtes Buch zu gestalten. Über Hintergründe dieses Formwillens darf spekuliert werden.
• http://adaptd.com/
  Gewollt gewagte Verstöße gegen gutbürgerliche Usability-Regeln oder geschmackloser Farbrausch ohne geringstes Gespür für Formen?
• http://www.cakephp.org/
  Ebenfalls gewagt vielfarbig, großschriftig und mit dezent eingestreuten schiefen Ebenen versehen.

Eine ordentlich durchgestylte und gleichzeitig flüssig benutzbare Website zu realisieren ist eine hohe Kunst. Jeder, der es gewissenhaft versucht, sehnt sich am Ende nach produktivem Feedback. Denn zahlreiche Faktoren galt es bei der Realisierung zu berücksichtigen. Viele Kompromisse mussten im Laufe der Realisierung gefunden werden, und nicht jeder berechtigte Wunsch konnte erfüllt werden. Gewissenhaften Webdesignern lässt das keine Ruhe, und sie suchen häufig Feedback in Fachforen. Wenn sie Glück haben, bekommen sie dort sogar produktives Feedback. In der Regel bekommen sie aber entweder gar kein Feedback oder nur bissige Verriss-Kommentare von Netizens, denen das Niederbügeln fremder Leistung besonderes Vergnügen zu bereiten scheint.

Verständlich daher der Ansatz, den Wunsch "sagt mir, wie gut meine Website ist!" einem "…ator" zu überlassen, also einer Software-Maschine, die eine Site nach einem Kriterienkatalog durchforstet und abschließend bewertet. Mittlerweile gibt es einige solcher Maschinen (sprechen wir besser von web-basierten Services, sonst versteht uns keiner mehr).

Beginnen wir mit dem hochoffiziellen Designministerium. Dieses bietet einen Bürger-Service namens Designbewerter an. Wie — das Ergebnis erscheint Ihnen nicht seriös? Na gut, Britta Boland und Michael Zirlewagen, Lehrbeauftragte der FH Düsseldorf in den Fachbereichen Design und Medien, die Macher hinter dem Designministerium, haben es nicht bös gemeint. Sie brauchten nur ein Thema für einen Sommersemester-Kurs.

Den Wert einer Site ernsthaft zu vermessen verspricht dagegen der Service Seitwert. Es gibt sechs Blöcke von Faktoren, darunter die Gewichtungen bei Google und Yahoo, die Verlinkungsdichte bei Social-Bookmark-Services sowie technische Details beim Seitenlayout. Websites können bei ganz unterschiedlichen Faktorenblöcken punkten, was insgesamt eine gewisse Chancengleichheit schafft. Inwieweit die Ergebnisse jedoch tatsächlich eine objektive und nicht nur eine irgendwie errechnete Beurteilung darstellen, sei dahingestellt. Die FAQ verraten, dass der Seitwert-Service mit zahlreichen netztechnischen Problemen zu kämpfen hat, für die er nichts kann, und dass die Bewertungsalgorithmen fortlaufend verbessert werden. Offengelegt werden die Algorithmen jedoch nicht. Auch ist der Service nicht uneingeschränkt nutzbar, da die Anzahl erlaubter Abfragen pro Tag begrenzt sind. Übrigens: der Versuch, seitwert.de selber mit seitwert.de zu testen, wird mit der Meldung »Ach nee…möchte ich nicht testen« quittiert.

Seitwert wird von ActiveValue, einer Düsseldorfer Online-Agentur, bereitgestellt. Ganz ähnlich verhält es sich mit dem Qualidator, einem weiteren Rundum-Checker-Service für Websites, von dem es auch eine Variante gibt, den Qualidator Singlepage Analyzer. Das von dem Unternehmen seven49.net bereitgestellte Tool konzentriert sich stärker auf die Technik von Webseiten und weniger auf die vorhandene Sichtbarkeit in Suchmaschinen. Für Webdesigner, die neu entwickelte Projekte technisch überprüfen möchten, ist der Qualidator deshalb wohl die bessere Wahl. Auch bei diesem Tool sind die Bewertungsalgorithmen nicht offen dokumentiert. Mit der Anwendung auf sich selber hat der Qualidator allerdings keine Probleme und verkündet selbstbewusst: »Gratulation! Die getestete Website schneidet in der Gesamtanalyse exzellent ab und spielt in der "Premium League"!« Na, denn!