Der Artikel über kostenlose Tools welche die Arbeit erleichtern ist ein Gastartikel von Jennifer Eder aus dem Twago.de Team.

Bei der Fülle an Aufgaben geht die Übersicht häufig verloren. Da können kleine Programme sehr hilfreich sein. Kostenlose Tools für Smartphones, Tablets oder Computer erleichtern den Alltag eines Freelancers und bieten mehr Raum für die wirklich wichtigen Aufgaben. Wir, von twago haben uns mal im World Wide Web umgesehen und die besten kostenlosen Programme für euch herausgesucht.

Aufgabenmanagement

Das in New York ansässige Producteev Team beschäftigt sich mit der Produktivitätssteigerung und hat gleich einmal eine übersichtliche To-Do-Liste mit allen wichtigen Basisfunktionen herausgebracht. Producteev, so der Name des Produktes, ist für Windows, Macintosh, Android und iOS verfügbar. Auch die bekannten 6Wunderkinder beschäftigen sich mit der Verbesserung des Aufgabenmanagements und schicken ihre Wunderlist ins Rennen. Diese kostenlose To-Do-Liste ist optisch sehr ansprechend und deckt zu dem auch Plattforen ab, die von anderen Apps eher vernachlässigt werden. Das Angebot runden die Synchronisation der Aufgaben über alle Plattformen und eine Web-Applikation ab. Dieses Programm ist ebenfalls für Windows, Android, iOS und Macintosh verfügbar und deckt zudem auch Blackberry und Linux ab. Das letzte Tool für Aufgabenmanagement ist das ToodleDroid, eine Software von Drittanbietern, die auf das Toodledo-Konto zugreifen lässt. Leider ist es nur für Android verfügbar, aber völlig kostenlos.

Zeitmanagement

Wie oft passiert es das man so an seine Arbeit vertieft ist, dass man völlig den kommenden Feiertag oder die Schulferien der Kinder vergisst. Auch hierfür gibt es ein Tool, das eine Übersicht über Ferien- und Feiertage gewährleistet. Das gilt für ganz Deutschland bis zum Sommer 2013. Also genug Zeit zum Planen. Derzeit ist es für Android und in ähnlicher Form auch für die iOS-Plattform verfügbar.

Kommunikation

Für Freelancer ist Kommunikation besonders wichtig. Auch hier haben sich viele Gedanken über hilfreiche Tools gemacht. Mit der früheren PinChat Applikation Touch ist das Versenden und Empfangen von Nachrichten, Videos und Bildern möglich. Ebenso unterstützt es auch die Gruppen-Chats. Verfügbar ist dieses kostenlose Programm für Blackberry, iOS und Android. Eine weitere App zur crossmedialen Kommunikation ist PingMe. Dabei sind alle Funktionen von Gruppenchats bis hin zu Push-Benachrichtigungen entahlten. Wieder kostenlos verfügbar für iOS, Blackberry und Android. Als einer der wenigen hat sich Samsung entschlossen seinen eigenen Chat-Client auf den Markt zu werfen. Mit ChatOn gibt es zwar aktuell nur eine Android-Version, aber es lohnt sich.

Die frühere reine Web-Applikation Meebo ist eine internetbasierende Plattform für Multiprotokoll-Chat. Möglich für iOS, Blackberry oder Android. Die bekannte Applikation AIM von AOL ermöglicht es mit anderen Nutzern zu chatten. Dabei wird eine Vielzahl von Protokollen unterstützt. Die wohl bekannteste Applikation ist Twitter. Die im März 2006 als Forschungsprojekt entwickelte Anwendung bietet den direkten Zugriff auf das eigene Konto. Verfügbar für alle gängigen Betriebssysteme. Ähnlich und daher ein auf Adobe Air basierender Client von Twitter ist Twhirl, verfügbar für Windows und Macintosh. Einen weiteren Schritt zur Vernetzung hat auch Facebook mit dem Facebook-Messenger getan. Neben der allen bekannten Applikation für Smartphones und Tablets gibt es auch eine extra Messenger-App. Mit Google+ schließt sich der Kreis der Kommunikationsapplikationen für soziale Netzwerke.

All diese Tools können Freelancern, wie zum Beispiel ein Grafikdesigner helfen sich besser zu organisieren und das Hauptaugenmerk auf die wichtigen Projekte zu richten. Also probiert es aus!

Da ich es niemals besser auf den Punkt bringen könnte, hier ein aktueller Newsletter von avaaz.org der dazu aufruft sich gegen ACTA stark zu machen:

Liebe Freundinnen und Freunde,

Ein neues globales Abkommen könnte Konzernen erlauben, alles, was wir im Internet tun, zu überwachen. Letzte Woche drängten 3 Millionen von uns erfolgreich die Zensurgesetze in den USA zurück — wenn wir jetzt handeln können wir das EU-Parlament dazu bringen, das Abkommen zu begraben:

Letzte Woche konnten 3 Millionen von uns Amerikas Attacke auf unser Internet vereiteln — doch mit ACTA lauert eine noch größere Bedrohung. Unsere global agierende Bewegung für Internetfreiheit ist genau die Kraft, die diese Gefahr für immer aus der Welt schaffen kann.

ACTA — ein weltweites Abkommen — könnte Konzernen erlauben, das Internet zu zensieren. Es wurde von wenigen reichen Ländern und mächtigen Konzernen ausgehandelt und würde einen neuen, nicht gewählten, “ACTA-Ausschuss” ins Leben rufen, der es privaten Interessen erlauben würde, alles, was wir Online machen zu überwachen und drakonische Bußgelder — oder gar Gefängnisstrafen — gegen alle zu verhängen, die angeblich ihren Geschäften schaden.

Das EU-Parlament hat gerade mit dem Ratifizierungsprozess für ACTA begonnen — und ohne dessen Zustimmung würde der Angriff auf die Internet-Freiheit scheitern. Viele Parlamentarier haben sich schon früher gegen ACTA gestellt, doch einige sind unentschlossen — geben wir ihnen den nötigen Stoß, damit sie das Abkommen verwerfen. Unterzeichnen Sie die Petition — sobald wir 500.000 Unterschriften erreichen überreichen wir die Petition spektakulär in Brüssel:

http://www.avaaz.org/de/eu_save_the_internet/?vl

Es ist empörend — die Regierungen von 80 Prozent der Weltbevölkerung waren von den Verhandlungen um das Anti-Counterfeiting Trade Agreement (ACTA) ausgeschlossen und ungewählte Bürokraten haben eng mit Konzern-Lobbyisten zusammengearbeitet um sich neue Regeln und ein viel zu mächtiges Vollzugsverfahren auszudenken. ACTA würde zunächst die USA, EU und 9 weitere Länder abdecken und dann auf die ganze Welt erweitert werden. Doch wenn wir die EU jetzt zu einem Nein bewegen könnten wir dem Abkommen den Schwung nehmen und es schließlich ganz aufhalten.

Die repressiven Verordnungen könnten bedeuten, dass Menschen für das Teilen von Zeitungsartikeln oder das Hochladen eines Videos von einer Party, auf der urheberrechtlich geschützte Musik gespielt wird, bestraft werden. Verpackt als Handelsabkommen zum Schutz von Urheberrechten könnte ACTA darüber hinaus zum Verbot lebensrettender generischer Medikamente führen und den Zugang von Bauern zu Saatgut bedrohen. Und der Höhepunkt ist, dass der ACTA-Ausschuss eine Freikarte zum Ändern seiner eigenen Regeln hätte, ohne jegliche demokratische Kontrolle.

Mächtige Konzerninteressen drängen auf dieses Abkommen, aber das EU Parlament steht noch im Weg. Senden wir den Abgeordneten eine klare Botschaft, sich gegen die Lobbies zu stellen und für Internet-Freiheit einzutreten. Unterzeichnen Sie jetzt und erzählen Sie allen davon.

http://www.avaaz.org/de/eu_save_the_internet/?vl

Letzte Woche sahen wir, was wir gemeinsam erreichen können, als Millionen von uns die USA davon abhielten, ein Internetzensurgesetz zu verabschieden. Wir haben der Welt gezeigt, wie mächtig unsere Stimme sein kann. Erheben wir sie erneut um gegen diese neue Bedrohung vorzugehen.

Voller Hoffnung und Entschlossenheit,

Dalia, Alice, Pascal, Emma, Ricken, Maria Paz und das ganze Avaaz-Team

Weitere Informationen:

Sogar der ACTA-Verantwortliche tritt zurück und warnt die Bürger
http://activepolitic.com:82/News/2012-01-26d/EU_ACTA_chief_resigns_in_disgust_over_disrespect_at_citizens.html 

EU-Parlament beginnt Debatte um ACTA-Ratifizierung (Heise)
http://www.heise.de/newsticker/meldung/EU-Parlament-beginnt-Debatte-um-ACTA-Ratifizierung-1421066.html

Warum ist ACTA so umstritten? Und warum sich Politiker und Bürger dafür interessieren sollten! (Digitale Gesellschaft)
http://digitalegesellschaft.de/2011/10/warum-ist-acta-so-umstritten-und-warum-sich-politiker-und-burger-dafur-interessieren-sollten/

US-Senator stoppt Pipa-Abstimmung (Spiegel)
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,810408,00.html

The secret treaty: Anti-Counterfeiting Trade Agreement (ACTA) and Its Impact on Access to Medicines (auf Englisch)
http://www.msfaccess.org/content/secret-treaty-anti-counterfeiting-trade-agreement-acta-and-its-impact-access-medicines

Die Wunderkit Beta ist nun nach längerer Wartezeit verfügbar. Der erste Eindruck ist schon gar nicht schlecht. Wunderlist habe ich nie aktiv genutzt, da ich mit der Actionmethod Lösung von Scott Belsky arbeite. Wunderkit wirkt jedoch vielversprechend. Speziell die soziale Integration und die Möglichkeit auf eine weite Verbreitung sind interessant. Wenn sich Wunderkit durchsetzen kann und viel genutzt wird, könnte es die Todo-Verwaltung und Zusammenarbeit an Projekten Kundenübergreifend vereinfachen. Ich bin gespannt, Potenzial ist vorhanden. Wer einen Invite möchte, bitte einfach einen Kommentar hinterlassen.

Hier ein Video das die Beta und die Features vorstellt:

http://www.youtube.com/watch?v=dlzMjoD8sgg

Im Rahmen meiner Recherchen zu einem neuen Serverschrank bin ich auf einen Service gestossen der für so manchen Serverraum den ich von innen gesehen habe zu empfehlen wäre. Im Detail geht es um Dienstleister für die Serverreinigung und IT-Reinigung. Wer Zuhause mal nach ein paar Monaten einen Blick in die eigene Workstation riskiert oder neue Hardware einbaut kennt das Problem. Überall sammelt sich Staub an. Während eine Workstation meist über Nacht ausgeschaltet wird ist bei einem Server 24/7 Dauerbetrieb angesagt. Eine stabile Kühlung ist also enorm wichtig. Zudem ist Staub generell ein noch größeres Problem, da leistungsstarke Lüfter viel Luft (und somit auch Staub und Partikel) durch ein relativ flaches Gehäuse pusten müssen. Hier sammelt sich die Staubschicht deutlich schneller an und wächst entsprechend schneller. Speziell Kühlkörper und interne Lüfter, also Komponenten die für die Kühlung von großer Bedeutung sind, werden auf Dauer vom Staub immer mehr okkupiert.

Wenn hier nicht irgendwann gehandelt wird kann sich eine schlechtere Kühlleistung negativ auf die Serverhardware wie z.B. Chipsätze und die CPU auswirken, da sie nicht mehr bei optimaler Temperatur gehalten werden können. In einem klimatisierten Rechenzentrum ist dies tendenziell weniger ein Problem. Jedoch habe ich schon viele “Serverräume” gesehen die eigentlich mehr Abstellraum als IT-freundliche Umgebung waren. Wenn dort im Sommer die Temperatur zusätzlich ansteigt kann es schnell zu Systemabstürzen und unerklärbarem Verhalten führen. Daher hier als Tipp, falls sich jemand von den oben genannten Punkten angesprochen fühlt: Es gibt Dienstleister die mit professioneller Hilfe die eigene IT wieder komplett säubern können. Die Investition kann sich wirklich auszahlen. Die eigene IT wird es ihnen sicher danken. =)

Links zum Thema:

• Serverreinigung / EDV Sanierung

Ein Kunde hat mich gefragt wie ich mein Wissen rund um PHP, Linux und das Web erlangt habe. Die Frage fand ich ziemlich interessant. Es ging ihm speziell darum dass er gerne die Kompetenz der hauseigenen Entwickler stärken wollte, sich jedoch gefragt hat was hier ein guter Weg sein könnte. Als spezielle Hürde hat sich in dem Gespräch herausgestellt dass keiner der Entwickler mit Leidenschaft Programmierer ist und für das was er tut wirklich brennt. Wäre dies der Fall ist das “Lernen” eigentlich Nebensache, quasi Mittel zum Zweck, da nicht das Wissen sondern Ergebnisse und Projekte im Fokus stehen.

Nun, mein Wissen rund um das Webumfeld habe ich mir durch reine Faszination an den verschiedenen Technologien selbst angeeignet. Es gab sicher auch viel theoretische Informationen die von außen an mich herangetragen worden sind und man lernt natürlich auch immer von anderen. Allerdings ist der wirkliche Grundstein aus reinem Interesse entstanden, ohne den Anspruch damit jemals Geld zu verdienen. Programmieren ist wie das Beherrschen einer normalen Sprache. Anfangs ist die Grammatik umständlich und viele Wörter neu. Auf Dauer wird es immer leichter sich gewählt auszudrücken und am Ende kann man aus dem Bauch heraus entscheiden ob ein Ausdruck richtig ist. 

Da es natürlich eine Menge Zeit kostet und das nicht “über Nacht” gemacht werden kann ist es ein guter Mittelweg, vor allem wenn kurzfristig Wissen benötigt wird, PHP Schulungen zu besuchen. Man kann von Experten lernen, bekommt eine direkte Einsicht in best-practices und vor allem kann man aus den Fehlern von anderen lernen. Wer bisher noch nie objektorientiert gearbeitet hat und neben PHP auch keine andere Sprache wie Java beherrscht, hat auf sich allein gestellt einen weiten Weg vor sich um die Konzepte und objektorientierte Denkweise zu verinnerlichen. Wenn das Wissen wie bei meinem Kunden zeitnah benötigt wird ist eine Schulung aus meiner Sicht ein sehr guter Versuch bevor beim Personal umstrukturiert wird. So gibt man dem Personal noch eine letzte Chance an sich selbst zu arbeiten. 

Vermutlich hat nahezu jedes Homeoffice, jeder Kleinunternehmer und mittleres Unternehmen heutzutage einen Internetanschluss. Schnell kommt zum DSL-Anschluss mit Splitter, Modem und/oder Router noch ein Switch hinzu damit mehrere Rechner oder Accesspoints in das lokale Netzwerk eingebunden werden können. Wer zusätzlich ein NAS-System als zentralen Datenspeicher betreibt, evt. sogar mit zusätzlichen externen Festplatten, hat schnell ein kleines Netzwerk aufgebaut. Mein Netzwerkequipment das ich für das Homeoffice und die private IT benötige ist in etwa dieser Form strukturiert. Damit jegliche Hardware möglichst zentral untergebracht ist steht sie in der Nähe der Netzabschlussdose der Telekom im Keller. Lange Zeit war dort alles weitestgehend ungeschützt auf einem kleinen Tisch untergebracht und die Kabel endeten nahezu ungeordnet. Sicher, Kabelsalat ist gesund. Jedoch ist es ein deutlich besseres Gefühl wenn der “Hauptnerv” der eigenen IT-Infrastruktur vor äußeren Einflüssen geschützt ist. Es musste also Abhilfe geschaffen werden.

Bei der Suche nach einer geeigneten Lösung bin ich auf 19 Zoll Netzwerkschränke von Lehmann IT gestossen. Das Sortiment bietet für nahezu jeden Bedarf eine passende Lösung, angefangen bei kleinen Schränken für KMUs (kleine und mittlere Unternehmen) bis hinzu den Anforderungen von Rechenzentren. Da ich selbst allerdings keine 19″ Server (mehr) Zuhause betreibe reicht für meine Anforderungen ein kleiner Netzwerkschrank aus. Dieser ist nicht sehr tief, nimmt somit kaum Platz vom Raum selbst in Abspruch und bietet dank des 19″ Standard die Möglichkeit dort dennoch ein Patchpanel unterzubringen. Daher können die Netzwerkkabel sauber angeschlossen werden. Im Gehäuse mit 7 Höheneinheiten ist zudem genug Platz für das NAS-System, externe Festplatten die im Wechsel für Backups genutzt werden und meinen Switch und den kleinen Linux Router. Dank der Wandmontage ist die sensible IT-Infrastruktur nun vor Staub, unabsichtlichen Gewalteinwirkungen und Grundwasser bis ca. 1,5m Höhe geschützt. Und sollte das Wasser jemals so hoch steigen wäre die IT etwas worum ich mir als Letztes Sorgen machen würde, da immer eine Backupplatte in einem Schließfach in der Bank untergebracht ist. Ganz klar zur Nachahmung empfohlen.

Im Gastartikel von Wojciech Dziedzic, twago.de, geht es um Outsourcing. Er hat an der Humboldt Universität zu Berlin Germanistische Linguistik, Anglistik und Polonistik studiert und seinen Magister erworben. Er arbeit nun bei Twago im Bereich Online Marketing.

Viele Selbstständige und Freelancer machen den Fehler und sind nur auf dem lokalem Markt tätig. Manche haben vielleicht Angst einen Schritt weiter zu gehen. Andere kennen die Vorteile des größeren Arbeitsmarktes nicht. Es gibt auch welche, die von Outsourcing wahrscheinlich noch nichts gehört haben oder sehr wenig zu diesem Thema wissen. Eine direkte Übersetzung dieses Begriffs würde etwa äußere (out) Quelle (source) bedeuten. In einfachen Worten gesagt, heißt es nicht mehr, als die Vermittlung eines Projekts an einen Spezialisten, der sich außerhalb des eigenen Unternehmens befindet. Wie das funktioniert ? Ist es sicher? Ist das etwas für mein Unternehmen? Diese Frage haben sich bestimmt viele Unternehmer gestellt. Die Ergebnisse aus dem amerikanischen Arbeitsmarkt zeigen, dass etwa 30 Prozent aller Beschäftigten als Freelancer arbeiten. Das sind Leute, an die man Projekte „outsourcen“ kann. Um das an einem Beispiel zu zeigen, kann man folgende Situation nehmen:

Das Unternehmen „A“ braucht eine neue Webseite mit einigen Javascripten und dynamischen PHP-Effekten. Die Firma kann natürlich Spezialisten auf dem lokalen Markt suchen, aber eine globale Suche wäre viel effektiver und könnte auch einen Dienstleister anbieten, der diesen Auftrag für einen günstigeren Preis machen würde. Seit Jahrhunderten gilt die Regel, dass Angebot und Nachfrage den Preis bestimmen. Das Unternehmen „A“ entscheidet sich einen Spezialisten auf dem globalen Markt zu finden. Aber wie? An dieser Stelle bieten sich die Dienste von Online-Projektvermittlungsplattformen, wie zum Beispiel twago. Bei den meisten Anbeiter ist die Registrierung kostenlos. Man schreibt ein Projekt aus und wartet auf die Angebote der passenden Spezialisten. Wenn sich das Unternehmen schon für einen Freelancer entscheidet, oder bei komplexeren Projekten für mehr Spezialisten, wobei jeder seine Teilaufgabe des Projekts macht, kann die Arbeit anfangen. Am Ende bekommt der Dienstleister sein Geld überwiesen und beide Seiten können eine Bewertung abgeben. Das ist sehr hilfreich für die Zukunft und bildet eine gewisse Reputation im Web sowohl für den Freelancer, als auch für den Auftraggeber.

Externe Links

• Projektauktionen auf Twago.de

Bei der Suche nach einem zuverlässigen und zugleich günstigen Anbieter für Server Überwachung bin ich auf serverstate.de gestossen. Ich habe zwar eigene Server die ich bereits mit Nagios überwache, jedoch vermittelt eine externe Überwachung ein zusätzlich beruhigendes Gefühl. Zudem habe ich derzeit keine Anbindung an ein SMS Gateway. Fällt also der falsche Server aus, bekomme ich die Alarmmeldung nicht, da der Mailserver nicht mehr erreichbar ist. Ebenso könnten Probleme beim Provider verhindern dass die Alarmmeldung per E-Mail empfangen werden kann.

Anforderungen an den Monitoring Dienst

In erster Linie wichtig war mir nicht die Möglichkeit komplexe Testszenarien abbilden zu können wichtig. Wesentliche Kriterien bei der Auswahl des richtigen Monitoring Dienstes waren, da es sich für mich um eine zusätzliche Sicherheit handelt, eher die folgenden Faktoren:

• günstige Konditionen (max ca. 5 Euro / Monat)
• Zuverlässigkeit
• SMS Benachrichtigung verfügbar

Server Monitoring mit serverstate.de

Das Angebot von serverstate.de ist unter den Monitoring Lösungen noch relativ neu, bietet aber für meine Zwecke die optimalen Voraussetzungen. So kann ich bei geringen monatlichen Kosten die grundlegende Erreichbarkeit sowie elementare Dienste prüfen. All dies vereint serverstate.de aus meiner Sicht mit einer unkomplizierten Registrierung und einer sehr einfachen Einrichtung von Überwachungsaufträgen sowie Empfängern von Alarmmeldungen. Auch das Tarifmodell ist sehr transparent gestaltet. Die Kosten für einen Überwachungsauftrag, welcher die Überwachung eines konkreten Dienstes darstellt, richten sich nach dem Abstand zwischen den einzelnen Prüfungen:

• 60 Minuten: 0,07 EUR/Monat
• 30 Minuten:  0,14 EUR/Monat
• 5 Minuten:  0,85 EUR/Monat
• 1 Minute:  4,32 EUR/Monat

Ich habe mich für eine Checkintervall von 15 Minuten entschieden und zahle somit für jeden Auftrag 0,29 € im Monat! Für jede notwendige SMS fallen dann jeweils noch einmal 0,15 € an, was ebenfalls vergleichsweise günstig ist. Insgesamt überwache ich 3 Dienste, habe also somit monatliche Kosten von 0,87 € (vorrausgesetzt es kommt nicht zu einem Ausfall). Das unterschreitet mein ursprüngliches Budget deutlich.

serverstate.de Features

Es können für die eigenen Testszenarien verschiedene Prüfungen konfiguriert werden. Diese werden über ein schlichtes, aber sehr übersichtliches Kundeninterface, verwaltet:

Zu den Überwachungsaufträgen wird zu jeder konfigurierten Prüfung eine eigene Statistik angelegt:

Ausbaufähig ist definitiv noch die Unterstützung der verfügbaren Tests. Dies ist der einzige Punkt an bei dem ich Verbesserungen vorzuschlagen hätte. Ein einfacher Test von TCP/UDP Ports wäre z.B. sehr hilfreich (ohne Protokoll Prüfung). Bei den Prüfungen selbst werden derzeit nur wenige Protokolle unterstützt:

• http / https (inkl. Inhaltsprüfung)
• ftp
• pop3
• smtp

Fazit

Links

LiveTest ist ein schlankes Monitoring Tool für Webseiten. Es ist auf die Überwachung unterschiedlichster Faktoren eines Webauftritts ausgelegt und bietet dank flexibler Architektur ideale Voraussetzungen für Erweiterungen. Interessante Features sind z.B. die Überwachung von HTTP Status Codes, Prüfung von HTML Dokumenten auf vorhandene/nichtvorhandene Strings, Suche nach regulären Ausdrücken und die Überwachung der Seitengröße. Einmal als Cronjob eingerichtet meldet es zuverlässig alle Abweichungen vom Normalzustand. Initiator und Hauptentwickler von LiveTest, Nils Lagner von phphatesme.com, hat da ein echt tolles Projekt ins Leben gerufen!

LiveTest bietet dank einer streng objektorientierten Implementierung mehr als optimale Voraussetzungen um benötigte TestCases schnell und sauber implementieren zu können. TestCases sind vereinfacht dargestellt PHP Klassen in denen konkrete Tests abgebildet werden. Die Applikation basiert nicht unmittelbar auf dem Zend Framework, macht sich aber einige der Klassen dieser mächtigen Bibliothek zu nutze. Für eigene TestCases steht damit allerdings eine sehr umfangreiche Basis bereit und eine ganze Reihe an Möglichkeiten entsteht. Z.b. habe ich irgendwann mal ein Tool gesucht das automatisch HTML Dokumente validieren kann. Da ich finde dass LiveTest wie geschaffen für derartige Anwendungen ist fehlte aus meiner Sicht ein Validator für HTML. Den habe ich in den letzten Tagen als TestCase implementiert. Nach ein paar Anpassungen die ich in Absprache mit Nils noch gemacht habe wird er nun in LiveTest aufgenommen. Das freut mich natürlich! Wer ebenfalls mithelfen möchte dieses sinnvolle Tool zu entwickeln sollte unbedingt auf der neuen Webseite vorbeischauen (Achtung: noch ganz neu) und LiveTest bei Github besuchen.

Das Tool ist aber nicht nur rein pragmatisch betrachtet toll. Es wird in PHP entwickelt und ist wirklich super strukturiert. Ein Musterbeispiel für aufgeräumten und sauberen PHP Code. Der Quellcode wird von Unittests abgedeckt (mein Validator übrigens auch), native PHP Namespaces die seit PHP 5.3 zur Verfügung stehen strukturieren den Quellcode und Events/Listener führen zu einer klaren Trennung von Verantwortlichkeiten der Klassen. Alles in allem bin ich von der Applikation total begeistert. Noch vor ca. einem Jahr hätte ich derartige Aufgaben aus dem Bauch heraus von Python erledigen lassen. LiveTest ist eine Anwendung mehr die zeigt dass PHP auch dafür bestens geeignet ist. Alles in allem merkt man dass viel Liebe und kreative Energie schon in die Planung geflossen sind. Und genau das macht LiveTest auch für Entwickler interessant. Saubere PHP Entwicklung die für jeden überschaubar ist. Es soll sogar Leute geben die auch heutzutage von objektorientierter Programmierung nichts halten. Hier zeigt es sich am Beispiel welche Vorteile ein elegantes Software Design haben kann. Also unbedingt mal anschauen!

• Installation von LiveTest
• LiveTest bei Github
• LiveTest Homepage

Der Artikel im letzten PHP Magazin über den YubiKey hat mich neugierig gemacht. Der YubiKey wirkte wie eine günstige OTP (One Time Password) Lösung. Eigentlich schien alles eher unspektakulär da ich mit One Time Password immer den Abschied von gespeicherten Logins und viel Tipparbeit in Verbindung gebracht habe. Aus Erfahrung kann ich jetzt jedoch sagen: Der YubiKey ist alles andere als umständlich! Im Gegensatz zu anderen OTP Ansätzen, z.B. dem iTan-Verfahren, muss man hier nicht manuell ein Passwort eingeben. Dies übernimmt der YubiKey!

Zudem stellt die Herstellerfirma Yubico offene Software für den YubiKey zur Verfügung. Das hat mich dann überzeugt. Für 45$ habe ich direkt zwei YubiKeys bestellt. Eine erste Überraschung war dann die Lieferzeit. Die angegebenen 7-14 Tage wurde mit 4 Tagen deutlich unterschritten! Sonntags bestellt und Donnerstags bereits Post aus England! Ein erster Pluspunkt also: Bei Bedarf kann man schnell an neue YubiKeys kommen.

YubiKey: So funktionierts

Der YubiKey emuliert eine USB Tastatur und gibt per Knopfdruck ein 44-stelliges Passwort aus. Dies ist je nach konfiguriertem Modus immer wieder ein anderes (OneTime Password) oder jeweils das selbe Passwort (static). Unterstützt eine Webseite oder anderes System die Authentifizierung mittels YubiKey werden die Benutzerdaten über einen entsprechenden Webservice validiert. Yubico stellt diesen Dienst zur Verfügung. Zusätzlich wird eine offene Software angeboten über die ein eigener Webservice eingerichtet werden kann. Zum einen ist also wirklich alles transparent und zum anderen müssen derart empfindliche Daten und Dienste nicht aus der Hand gegeben werden. Die Software für die Yubico API kann über Google Code bezogen werden, besteht aber aus zwei Teilen. Eine PHP Applikation für die Authentifizierung und ein sogenanntes Key Storage Modul in dem die Benutzerdaten gespeichert werden.

Ich persönlich halte die Möglichkeit OneTime-Passwörter zu generieren (derzeit) vor allem für geschlossene Benutzerkreise interessant. Schön wäre natürlich wenn die Lösung flächendeckend Anklang findet. Es erspart Aufwand und die “Passwort vergessen” Funktion. Der YubiKey ist aber auch jetzt schon unschlagbar praktisch: Man kann unkompliziert in den statischen Modus wechseln. Der Yubikey gibt in dem Fall immer wieder dass gleiche 44 Zeichen lange Passwort aus. Für die alltägliche Nutzung ungemein praktisch. Mein Vater nutzt sein Exemplar im statischen Modus mit großer Zufriedenheit. Einziger Minuspunkt der mir insgesamt aufgefallen ist: Im statischen Modus muss dieses Passwort einem Account zuordnen. Der YubiKey gibt jedoch nicht nur ein Passwort sondern ebenfalls “\n” (Enter) mit aus. Das führt bei der Registrierung von Accounts dazu dass Formulare frühzeitig abgeschickt werden. Ein einmaliger Umweg über copy&paste ist im statischen Modus also leider notwendig. Werfen wir einfach mal einen Blick auf die Praxis.

WordPress mit YubiKey Authentifizierung

Meine ersten Erfahrungen mit YubiKey OneTime-Passwörtern habe ich mit dem YubiKey Wordpress Plugin gesammelt. Es kann ganz normal über die Pluginverwaltung von WordPress installiert werden. Ich habe dann einfach den Webservice von Yubico verwendet um die Authentifizierung durchzuführen. Man benötigt lediglich einen API Key der auf folgender Seite generiert werden kann. Man muss nur den eigenen YubiKey bereithalten:

• Yubico API Key generieren - https://upgrade.yubico.com/getapikey/

Dem Plugin fehlt aus meiner Sicht noch eine konfigurierbare API URL. Man kann wie bereits erwähnt einen eigenen Webservice bereitstellen und Benutzerdaten auf der eigenen Infrastruktur bereitstellen. Wenn Sicherheitsauflagen erfüllt werden müssen, z.B. im Rahmen einer PCI DSS Zertifizierung, kann dies zwingend erforderlich sein. Eine zusätzliche Option für WordPress wäre aber in jedem Fall schön. Zurück zum Thema. Ist dass Plugin installiert muss in der Plugin-Konfiguration der soeben generierte API Key hinterlegt werden. Die WordPress Login Maske zeigt nun ein neues Eingabefeld:

Nun muss für jeden Account den wir mittels Multifactor Authentifizierung zusätzlich absichern möchten die YubiKey OTP Authentifizierung aktiviert werden. Dafür gibt es nun eine neue Sektion in den Benutzereinstellungen:

Nun ist der Account abgesichert und kann nur noch mit einer Kombination aus Zugangsdaten und YubiKey OTP verwendet werden. Insgesamt wird die Sicherheit von WordPress Accouns deutlich verstärkt.

YubiKey mit statischem Passwort

Einen YubiKey kann man im statischen Modus betreiben um immer wieder dass gleiche Passwort auszugeben. Das ist eine elegante Alternative zur Eingabe von eigenen Passwörtern. Der Hersteller Yubico stellt ein Tool für die Verwaltung von YubiKeys bereit. Unter Ubuntu Linux kann es direkt über APT installiert werden. Abhängig davon wie alt/neu der YubiKey ist kann es allerdings zu Problemen kommen. Ich habe scheinbar eine aktuelle Hardware Revision (2.2.7) bekommen und konnte mit der Ubuntu Maverick Version (1.3.2) nicht arbeiten. Es gibt bereits eine aktueller Version die auch in Debian (unstable) bereits enthalten ist. Einen entsprechenden Ubuntu Sync Request habe ich bereits hinterlegt. Vielleicht schafft es die neue Version ja trotz FeatureFreeze für 11.04 (natty) noch in die kommende Ubuntu Version. Installiert werden kann dass Paket über APT wie folgt:

$ sudo apt-get install yubikey-personalization

Die Alternative dazu ist die direkte Installation von Debian Paketen. Ist kein großes Problem da derzeit dass Ubuntu Paket ohnehin unverändert von Debian übernommen wird. Wenn also dass Ubuntu Paket mal aktualisiert wird ist sehr wahrscheinlich bei euch dass Paket einfach schon installiert. Welches Paket benötigt wird hängt von der Rechnerarchitektur ab. Einfach die beiden benötigten Pakete herunterladen (Bibliothek + Software) und über dpkg installieren. Hier am Beispiel von amd64:

$ wget http://ftp.de.debian.org/debian/pool/main/liby/libyubikey/libyubikey0_1.7-1_amd64.deb

$ wget http://ftp.de.debian.org/debian/pool/main/y/yubikey-personalization/libykpers-1-1_1.5.0-1_amd64.deb

$ sudo dpkg -i *.deb

Jetzt kann über das Tool ‘ykpersonalize’ der YubiKey konfiguriert werden. Eine detailierte Anleitung dazu findet man direkt in der ReadMe. Den YubiKey von meinem Vater habe ich mit dem Parameter “-ostatic-ticket” in den statischen Modus versetzt. Die exakten von mir verwendeten Werte bleiben natürlich mein Geheimnis:

Anschließend gibt der YubiKey ein statisches Passwort aus. Das Tool funktioniert unter Mac OS X ebenfalls. Die Mac OS X GUI Version, die von einer unabhängigen Firma bereitgestellt wird, wollte bei mir gar nicht. Die Software für Windows hat mich nicht wirklich interessiert. Hier ist jeder eingeladen selbst zu probieren.

Fazit

Der YubiKey hat mich wirklich mehr als begeistert. Ich hoffe dass in Zukunft viele Webseiten die Authentifizierung per YubiKey OTP unterstützen, es ist einfach genial. Aber egal ob und wann man mit einer weiten Verbreitung rechnen kann ist der YubiKey bereits jetzt eine Bereicherung. Ein 44-Zeichen langes Passwort ist sicherer als ein “normales” Passwort aus unserem Alltag. Und dass muss man nicht einmal mehr eintippen. Mein Vater nutzt den YubiKey unter Mac OS X und im statischen Modus und kommt damit super zurecht. Ich habe bereits weitere YubiKeys bestellt. Es wird auch sicher erneut etwas über den YubiKey zu lesen geben. Mögliche Themen sind z.B. “Zend_Auth und YubiKeys” oder “ein eigener YubiKey Webservice”. Hier noch einmal der Link zum Webshop von Yubico. Ausprobieren lohnt sich. Es macht dass Leben ein Stück weit einfacher.

• YubiKeys bestellen