Beiträge aus der Kategorie: Web

AusgeFLoCkt

Ich habe noch keine Nachricht der ganzen Browser neben Chrome gesehen, die Googles Cookie-“Ersatz” FLoC zum Tracken des Userverhaltens integrieren wollen. Aber nur um auch wirklich sicherzugehen, dass die eigene Website bei der ganzen Sache nicht mitmacht, sollte man per Permissions-Policy das ganze unterbinden. Da es zur Zeit nur den OptOut mittels des HTTP Response Headers gibt, muss man entweder direkt über die Serverkonfiguration, der htaccess-Datei oder dem Setzen der Header mittels TypoScript dem Ganzen einen Riegel vorschieben:

config {
    additionalHeaders {
		10.header = Permissions-Policy: interest-cohort=()
    }
}

Die Reihenfolge im additionalHeaders-Array natürlich bitte anpassen, ich gehe doch davon aus, dass da noch ein paar weitere Header wie Content-Security-Policy usw. gesetzt sind.

2021-3

Tja, wie immer ist das mit den Vorhaben so eine Sache. Hat man (ich) sich entschlossen, genau diesen Weg zu verfolgen, kommen von links und rechts Lawinen angeschossen, um mich davon abzubringen. So rein metaphorisch gesprochen.

Fangen wir aber einfach mal wieder an, den hohen Berg der Links abzubauen:

2021-2

In Zukunft möchte ich einmal die Woche die besten und nützlichsten Artikel/Websites in einer Liste zusammenfassen, um auf der einen Seite meine Liste an noch zu lesenden Artikeln in Pocket klein zu halten und vielleicht hilft es auf der anderen Seite dem ein oder anderen. Wenn jemand überhaupt mein Blog liest. Was ich nicht annehme.

Fangen wir also an:

  • Xdebug bzw. eigentlich die Sponsoring-Seite von Derick, dem Maintainer und Erfinder des besten Debug-Tools für PHP. Los! Unterstützen! Denn auch Entwickler wollen Geld verdienen.
  • TYPO3 Rector: eigentlich wollte ich meinen Urlaub über die Feiertage für ganz viel Lernen und Anschauen nutzen, nur kam wie es so nun mal so ist ganz anders. Wird aber für das nächste Refactoring/Migration verwendet und werde darüber bestimmt berichten
  • Laragon: ich bin ja strenger Verfechter von DDEV als Serverumgebung für die lokale Entwicklung für TYPO3. Laragon möchte scheinbar so etwas ähnliches sein. Leider auch noch nicht angeschaut, weil ich halt auch mit DDEV mehr als zufrieden bin
  • Ein schöner "Früher war alles besser (anders)"-Artikel über die OpenSource-Entwicklung: The Golden Age of Open Source is Over

Alles muss raus

Im letzten Jahr, das man nicht beim Namen nennen darf, hatte ich so viel vor und echt mal wenig davon geschafft. Irgendetwas mache ich nämlich falsch (oder anders) als alle anderen, die auch im HomeOffice waren und gefühlt dauernd Freizeit hatten oder wenigstens sowas von tiefenentspannt waren, dass ich im Spätsommer mit Meditation angefangen habe, um auf das gleiche Level zu kommen. Das mit der Meditation habe ich dann schnell wieder verworfen, das klappt bei mir einfach nicht. Da muss man scheinbar genauso wie bei Homöopathie dran glauben und dafür ist mein Gehirn einfach nicht gemacht.

Zum Bloggen bin ich dann nämlich auch nicht gekommen, wie ich mir das so vorgenommen hatte. Einfach mal Texte schreiben. Für mich. Und die ins Internet stellen. Warum auch immer. Weil man das im frühen Internet auch so gemacht hat. Wo das Internet noch nicht ganz so kaputt war wie heute.

Vielleicht werde ich sogar demnächst hier eine Blogroll veröffentlichen, denn es gibt sie immer noch! Die kleine Blogosphäre und auch die Tech-Blogger. Anfangen werde ich aber mit einer Auswahl von Artikeln und Websites, die ich im letzten Jahr in Pocket abgespeichert und mit Vergessen gestraft habe. Von den knapp 300 Einträgen habe ich diese mal hier gelassen, vielleicht findet der ein oder andere ja noch was, was ihn weiterbringt.

Webdesign

TYPO3

DevOps

PHP

Programmierung allgemein

Twitter ist (so gut wie) tot

Die erste Änderung in der Twitter-API ist seit ein paar Tagen scheinbar aktiv, was bedeutet, dass Third-Party-Clients diese Woche noch periodisch Zugriff auf diverse APIs (Site Stream und User Stream) haben, die aber dann endgültig am 23.08. abgeschalten werden. Die DirectMessage-API darf noch bis zum 17.09.18 existieren und eine Woche vorher treten dann noch die neuen API-Restrictions und neuen Regeln für das Entwickeln von Apps in Kraft, die es den inoffiziellen Clients noch schwerer machen werden.

Zwar kann man angeblich den Support anbetteln, dass die eigene App die aktuell geltenden Limits zurückbekommt, aber das ist so schön formuliert, dass die Ausnahme nur für die aktuelle App gilt. Sollte also eine neue Version von Tweetbot herauskommen, werden nur noch die neuen Limits gelten. Und damit das Aus für Tweetbot & Co. bedeuten.

Ich habe keine richtige Ahnung, warum sich Twitter so verhält und die Wünsche ihrer User ignoriert. Ich denke mal, dass es um die Maximierung von Werbeeinahmen und bezahlten Tweets geht, die in den 3rd-Party-Clients nicht angezeigt werden. Twitter scheint sich sehr an Facebook zu orientieren, was die Umgestaltung seiner Streams angeht. Die anfangs noch chronologisch geführte Timeline wurde in der Webansicht und in der offiziellen Client-App durch Algorithmen und Werbeanzeigen kaputt gestaltet, dass diese eigentlich unbenutzbar sind.

Seit ein paar Tagen schaue ich mir Mastodon an, dass ein sehr ähnliches Konzept wie Twitter verfolgt, aber in erster Linie nur ein Stück Software ist, das jeder nutzen kann, um eine eigene Instanz zu erstellen. Die Mastodon-Instanzen können sich dann untereinander unterhalten, können aber auch geblockt werden, wenn sich eine Instanz zum Beispiel als Versender von Spam herausstellt.

Die Idee dahinter ist verlockend und durch die Twitter-Ankündigung sind die verfübaren Mastodon-Instanzen auch mit Accounterstellungen überrant worden. Trotzdem befinden sich zur Zeit einfach zu wenige Nutzer auf den Instanzen, so dass sich ein ähnliches Gefühl wie bei Diaspora breitmacht. Diaspora war damals mit einem ähnlichen Ansatz gegen Facebook angetreten, hat aber in den bestehenden knapp acht Jahren seiner Existenz noch nicht einmal die Millionen-Marke an Benutzern geknackt.

RSS ist am Leben

Gestern habe ich den Kommentar auf Heise zum Sterben von RSS mit Verwunderung gelesen. Wie oft ist eigentlich RSS schon gestorben? Schon mit dem Wegfall von Google Reader Mitte 2013 wurde RSS schon zu Grabe getragen. Klar, das war ein herber Einschnitt und seitdem entwickelt sich RSS beziehungsweise die Clients nicht sonderlich weiter. Auch mein Lieblingswerkzeug Fever wird seit 2016 nicht mehr weiter entwickelt.

Aber tot ist RSS in meiner Filterblase nicht. Mein Rasen ist tot, wie man auf dem Foto gut sehen kann. Aber RSS konnte sich in seiner Form einfach nicht durchsetzen, aber die Idee dahinter ist doch nichts anderes als das Abonnieren eines Facebook-Kanals, nur dass man hier leider eine gefilterte Version bekommt und nicht alle Einträge chronologisch sortiert.

Vielleicht muss man einfach nur mal wieder mehr Werbung für RSS machen? Ich entwickele seit einiger Zeit eine TYPO3-Erweiterung, die einen ähnlichen Funktionsumfang wie Fever hat. Einfach, weil ich Fever für mich als die beste Lösung fand. Es war selbstgehostet, die Daten bleiben also bei mir und es gab sogar Apps auf iOS (auf Android wahrscheinlich auch), die die Fever-Schnittstelle abfragen konnten.

Die Einträge von mir können übrigens auch per RSS abgeholt werden. Die deutschen Artikel bekommt man unter der Adresse https://www.insomniaonline.de/feed und die englische Übersetzung unter https://www.insomniaonline.de/en/feed.

Doppelt aber nicht dreifach

Twitter hat die maximale Zeichenanzahl von Tweets verdoppelt. Von 140 auf 280 Zeichen. Und alle drehen durch. Wenn ich ehrlich bin, hat es mich schon immer gestört, nur so wenig Zeichen zur Verfügung zu haben und musste auch schon mehrfach, Texte auf mehrere Tweets aufteilen. Und jetzt hat man halt 280 Zeichen zur Verfügung, was in meinen Augen jetzt kein großer Bruch mit dem Kern des Dienstes zu tun hat, sondern schlicht und einfach mit den verschiedenen Sprachen.

Klar haben chinesische oder japanische Nutzer jetzt noch viel mehr "Platz" und können wahrscheinlich ganze Romane in einen Tweet packen. Aber deutschsprachige Tweets können ab sofort sorgfältiger ausformuliert werden und vielleicht wird damit nicht weiter eine Kunstsprache erzeugt, wie man es in den letzten Jahren beobachten konnte.

Was ich nur nicht ganz verstehe, ist, warum es Twitter nicht schafft, seinen Dienst zu professionalisieren. Und vielleicht ein Fremium-Modell einzuführen. Die API, die 3rd-Party-Clients verwenden müssen, ist beschnitten und erlaubt unter anderem nicht den Zugriff auf Votings und ähnlichem. Warum schafft es Twitter nicht, für einen gewissen Betrag, Usern die Möglichkeit zu bieten, die komplette API in ihren Clients zu verwenden. Gepaart mit der Möglichkeit zahlende User von nichtzahlenden Usern unterscheiden zu können. So könnte man auch diesen unsäglichen Spam-Bots ein wenig Einhalt gebieten. Man möchte ja nicht für 1000 erstellte Spambots fünf bis zehn Euro zahlen, wenn man dann auch noch schnell geblockt wird.

Twitter ist für mich das mittlerweile einzige Social Network, dass ich aktiv verwende. Facebook ist einfach unbrauchbar geworden, Instagram hat mich nicht gepackt, da das anfängliche Bildformat einfach zu grausam war und Accounts viel zu viel mit Hashtags um sich geworfen haben, um massig Follower zu generieren. Twitter ist momentan noch das einzige Netzwerk, in dem ich Herr über meinen Stream und Followern bin. Ohne mit Werbung zugebombt zu werden und ich das Gefühl habe, dass es eigentlich keinen Einfluss hat, was ich so zu sehen bekomme.

SSH Keys ganz sicher verwahren

Mit der Sicherheit ist das ja so eine Sache. Eine vollkommen zufriedenstellende Sicherheit kann es meiner Meinung nach nie geben. Schon gar nicht im technischen Umfeld. Dafür verändern sich die Ausgangslagen einfach zu schnell. Was heute noch als sicher gilt, kann morgen schon geknackt sein.

Bis vor kurzem habe ich meine SSH Keys in macOS unter dem bekannten Verzeichnis ~/.ssh unterhalb meines Benutzerordners gespeichert und war nur gezwungen auf jedem Endgerät, dass ich genutzt habe, diese auch vorrätig zu haben. Ich verwende mehrere SSH Keys: Privat, Arbeit und auch muss ich mir aus logistischen Gründen diverse Keys mit anderen Leuten teilen (Deployment auf Server). Bis jetzt habe ich die ganzen Keys in ein verschlüsseltes Disk-Image in einen Cloud-Service gepackt, um immer Zugriff auf die Schlüssel zu haben.
Das die Schlüssel aber, obwohl alle immer noch mit einer Passphrase abgesichert sind, quasi offen auf meinen Rechnern "herumliegen", habe ich nach einer Lösung gesucht, um dieses Verfahren transportabler zu gestalten.

Dieser Artikel von Tammer Saleh ist mir unter die Augen gekommen und seitdem trage ich meine Schlüssel in einer verschlüsselten Partition auf einem USB-Stick mit mir herum. Das Skript sorgt dafür, dass diese für eine definierte Zeit dem SSH Agenten zur Verfügung gestellt werden. Nervig ist nur, dass ich beim Import-Vorgang für jeden Schlüssel die Passphrase (die sich unterscheiden) eintippen muss. Bei ein paar Schlüsseln kann das schon etwas ausarten.

Über den Weg Gelaufenes in KW9

Der Frühling ist da. Sagt mein Körper. Und geht mir seit Tagen auf die Nerven, indem er mich total lahmlegt. Grippegefühl, Fieber, Muskelschmerzen und die Lunge tut weh. Allergiker kennen sowas. Nicht-Allergiker schauen einen immer unverstanden an. So von wegen "ist doch nur Frühling?". Egal, mal wieder zu nichts gekommen, noch nicht mal zum Zocken. Mit Kopfschmerzen und einer Reaktionszeit eines schmelzenden Gletschers kommt man Computerspielen nicht weit.

  • Kleiner Rand über Docker Die technischen Probleme kann ich so zwar nicht nachvollziehen, die Hürde Docker in einem relativ kleinen Entwicklungsteam, das überwiegend Websites oder Teile von Websites entwickelt, ist aber viel höher als der Nutzen.
  • Passwort-Apps auf Android und ihre Lücken Ein Team des Fraunhofer Instituts für Sichere Informationstechnologie hat mal die gängigen Passwort-Manager-Apps auf Android-Basis auseinandergenommen. Jetzt hätte ich gerne mal so ein Dossier für iOS-Apps. Danke.
  • Schöne Anleitung zum Deployen per FTP und Bitbucket Pipelines Boah, FTP, da bekomme ich immer noch Gänsehaut, warum das im 21. Jahrhundert scheinbar immer noch die gängige Methode ist, um sich mit Webspace zu verbinden. Schlimm das. Die YAML-Konfiguration kann man sich aber auch einfach auf SSH zurechtbiegen.
  • git flow als einfaches Branching-Model Kleine Teams brauchen geringen Overhead beim Entwickeln. Wenn man dann eigentlich noch einen Manager fürs Versionieren und Deployen brauchen würde, was zwar eigentlich sinnvoll wäre, würde das Budget kleinerer Projekte nicht mehr reichen.
  • Ein weiteres einfaches Branching-Model für git Ich habe es mir noch nicht durchgelesen, aber beim Überfliegen habe ich es so verstanden, dass immer im Master entwickelt wird. Das ist für mich keine Option, weil mein Deployment auf gewisse Branches aufsetzt. Wenn in diese gepushed wird, wird das entsprechende Deployment ausgelöst und der Master-Branch ist halt gleichzusetzen mit dem Stand im Livesystem.
  • Kleines und feines Best Practices in Extbase Oliver Klee hat sich die Mühe gemacht und eine Menge Tips und Tricks zum Entwickeln in Extbase zusammengestellt. Kann man einiges lernen und sich für seine eigene Entwicklung abschauen.

Über den Weg Gelaufenes in KW8

Die letzte Woche war geprägt von Arbeit, selbst gemachtem Freizeitstress und irgendwie viel zu wenig Zeit zum Internet durchforsten oder Podcast hören. Von daher fällt die Liste recht unspektakulär und kurz aus.

  • GitKraken Ausprobiert und für gut befunden, auch wenn ich eigentlich keinen Standalone-Git-Client brauche, da mir der eingebaute Client in PhpStorm reicht. Ich werde dem Kraken aber die nächste Woche mal an seiner Stelle verwenden, vielleicht hat er ja das ein oder andere Feature, was mir mehr zusagt.
  • Anleitung zur Integration des CKEditors in TYPO3 Ich habe leider noch überhaupt keine Zeit gehabt, mir den neuen WYSIWYG-Editor von TYPO3 anzuschauen, obwohl ich den alten RTEHtmlArea mit aller Inbrunst hasse. Auch mal für nächste Woche vornehmen.
  • Cloudbleed Das schlug ja ein wie eine Bombe letzte Woche, auch wenn der nächste Punkt in der Liste viel schlimmer ist. Trotzdem hatte Cloudflare monatelang einen Fehler in seinem SSL-Proxy, der nicht nur den angeforderten SSL-Traffic zum Client auslieferte, sondern auch Teile des SSL-Verkehrs anderer User. Wenn da jemand sich die Mühe gemacht hat über diesen Zeitraum brav mitzusniffen, dürfte jemand jetzt über eine Menge Rohdaten mit Passwörtern und Kreditkarten-Informationen verfügen.
  • Zwei gleiche Hashes darf es nicht geben Ich habe es jetzt nicht überprüft, aber in der dunklen Erinnerung haben früher ziemlich viele Systeme ihre Hash-Verfahren auf SHA1 basieren lassen. Seit Jahren ist dies aber auf dem absteigenden Ast und wird durch andere Verfahren wie RSA ersetzt. Zum Glück.
  • Ist Zelda 1 das bessere Zelda? Ein Video, in dem erörtert wird, dass das erste Zelda das bessere Zelda ist. Weil es in erster Linie den Spieler nicht an die Hand nimmt, wie es fast jedes aktuelle Spiel macht. Ich sollte mir vielleicht doch einen NES Mini besorgen, um zu testen, ob das stimmt. Oder mal schauen, ob es das noch für den 3DS gibt. The Legend of Zelda habe ich zu meiner Schande noch nie gespielt.