Da ich es niemals besser auf den Punkt bringen könnte, hier ein aktueller Newsletter von avaaz.org der dazu aufruft sich gegen ACTA stark zu machen:

Liebe Freundinnen und Freunde,

Ein neues globales Abkommen könnte Konzernen erlauben, alles, was wir im Internet tun, zu überwachen. Letzte Woche drängten 3 Millionen von uns erfolgreich die Zensurgesetze in den USA zurück — wenn wir jetzt handeln können wir das EU-Parlament dazu bringen, das Abkommen zu begraben:

Letzte Woche konnten 3 Millionen von uns Amerikas Attacke auf unser Internet vereiteln — doch mit ACTA lauert eine noch größere Bedrohung. Unsere global agierende Bewegung für Internetfreiheit ist genau die Kraft, die diese Gefahr für immer aus der Welt schaffen kann.

ACTA — ein weltweites Abkommen — könnte Konzernen erlauben, das Internet zu zensieren. Es wurde von wenigen reichen Ländern und mächtigen Konzernen ausgehandelt und würde einen neuen, nicht gewählten, “ACTA-Ausschuss” ins Leben rufen, der es privaten Interessen erlauben würde, alles, was wir Online machen zu überwachen und drakonische Bußgelder — oder gar Gefängnisstrafen — gegen alle zu verhängen, die angeblich ihren Geschäften schaden.

Das EU-Parlament hat gerade mit dem Ratifizierungsprozess für ACTA begonnen — und ohne dessen Zustimmung würde der Angriff auf die Internet-Freiheit scheitern. Viele Parlamentarier haben sich schon früher gegen ACTA gestellt, doch einige sind unentschlossen — geben wir ihnen den nötigen Stoß, damit sie das Abkommen verwerfen. Unterzeichnen Sie die Petition — sobald wir 500.000 Unterschriften erreichen überreichen wir die Petition spektakulär in Brüssel:

http://www.avaaz.org/de/eu_save_the_internet/?vl

Es ist empörend — die Regierungen von 80 Prozent der Weltbevölkerung waren von den Verhandlungen um das Anti-Counterfeiting Trade Agreement (ACTA) ausgeschlossen und ungewählte Bürokraten haben eng mit Konzern-Lobbyisten zusammengearbeitet um sich neue Regeln und ein viel zu mächtiges Vollzugsverfahren auszudenken. ACTA würde zunächst die USA, EU und 9 weitere Länder abdecken und dann auf die ganze Welt erweitert werden. Doch wenn wir die EU jetzt zu einem Nein bewegen könnten wir dem Abkommen den Schwung nehmen und es schließlich ganz aufhalten.

Die repressiven Verordnungen könnten bedeuten, dass Menschen für das Teilen von Zeitungsartikeln oder das Hochladen eines Videos von einer Party, auf der urheberrechtlich geschützte Musik gespielt wird, bestraft werden. Verpackt als Handelsabkommen zum Schutz von Urheberrechten könnte ACTA darüber hinaus zum Verbot lebensrettender generischer Medikamente führen und den Zugang von Bauern zu Saatgut bedrohen. Und der Höhepunkt ist, dass der ACTA-Ausschuss eine Freikarte zum Ändern seiner eigenen Regeln hätte, ohne jegliche demokratische Kontrolle.

Mächtige Konzerninteressen drängen auf dieses Abkommen, aber das EU Parlament steht noch im Weg. Senden wir den Abgeordneten eine klare Botschaft, sich gegen die Lobbies zu stellen und für Internet-Freiheit einzutreten. Unterzeichnen Sie jetzt und erzählen Sie allen davon.

http://www.avaaz.org/de/eu_save_the_internet/?vl

Letzte Woche sahen wir, was wir gemeinsam erreichen können, als Millionen von uns die USA davon abhielten, ein Internetzensurgesetz zu verabschieden. Wir haben der Welt gezeigt, wie mächtig unsere Stimme sein kann. Erheben wir sie erneut um gegen diese neue Bedrohung vorzugehen.

Voller Hoffnung und Entschlossenheit,

Dalia, Alice, Pascal, Emma, Ricken, Maria Paz und das ganze Avaaz-Team

Weitere Informationen:

Sogar der ACTA-Verantwortliche tritt zurück und warnt die Bürger
http://activepolitic.com:82/News/2012-01-26d/EU_ACTA_chief_resigns_in_disgust_over_disrespect_at_citizens.html 

EU-Parlament beginnt Debatte um ACTA-Ratifizierung (Heise)
http://www.heise.de/newsticker/meldung/EU-Parlament-beginnt-Debatte-um-ACTA-Ratifizierung-1421066.html

Warum ist ACTA so umstritten? Und warum sich Politiker und Bürger dafür interessieren sollten! (Digitale Gesellschaft)
http://digitalegesellschaft.de/2011/10/warum-ist-acta-so-umstritten-und-warum-sich-politiker-und-burger-dafur-interessieren-sollten/

US-Senator stoppt Pipa-Abstimmung (Spiegel)
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,810408,00.html

The secret treaty: Anti-Counterfeiting Trade Agreement (ACTA) and Its Impact on Access to Medicines (auf Englisch)
http://www.msfaccess.org/content/secret-treaty-anti-counterfeiting-trade-agreement-acta-and-its-impact-access-medicines

Die Wunderkit Beta ist nun nach längerer Wartezeit verfügbar. Der erste Eindruck ist schon gar nicht schlecht. Wunderlist habe ich nie aktiv genutzt, da ich mit der Actionmethod Lösung von Scott Belsky arbeite. Wunderkit wirkt jedoch vielversprechend. Speziell die soziale Integration und die Möglichkeit auf eine weite Verbreitung sind interessant. Wenn sich Wunderkit durchsetzen kann und viel genutzt wird, könnte es die Todo-Verwaltung und Zusammenarbeit an Projekten Kundenübergreifend vereinfachen. Ich bin gespannt, Potenzial ist vorhanden. Wer einen Invite möchte, bitte einfach einen Kommentar hinterlassen.

Hier ein Video das die Beta und die Features vorstellt:

http://www.youtube.com/watch?v=dlzMjoD8sgg

Im Rahmen meiner Recherchen zu einem neuen Serverschrank bin ich auf einen Service gestossen der für so manchen Serverraum den ich von innen gesehen habe zu empfehlen wäre. Im Detail geht es um Dienstleister für die Serverreinigung und IT-Reinigung. Wer Zuhause mal nach ein paar Monaten einen Blick in die eigene Workstation riskiert oder neue Hardware einbaut kennt das Problem. Überall sammelt sich Staub an. Während eine Workstation meist über Nacht ausgeschaltet wird ist bei einem Server 24/7 Dauerbetrieb angesagt. Eine stabile Kühlung ist also enorm wichtig. Zudem ist Staub generell ein noch größeres Problem, da leistungsstarke Lüfter viel Luft (und somit auch Staub und Partikel) durch ein relativ flaches Gehäuse pusten müssen. Hier sammelt sich die Staubschicht deutlich schneller an und wächst entsprechend schneller. Speziell Kühlkörper und interne Lüfter, also Komponenten die für die Kühlung von großer Bedeutung sind, werden auf Dauer vom Staub immer mehr okkupiert.

Wenn hier nicht irgendwann gehandelt wird kann sich eine schlechtere Kühlleistung negativ auf die Serverhardware wie z.B. Chipsätze und die CPU auswirken, da sie nicht mehr bei optimaler Temperatur gehalten werden können. In einem klimatisierten Rechenzentrum ist dies tendenziell weniger ein Problem. Jedoch habe ich schon viele “Serverräume” gesehen die eigentlich mehr Abstellraum als IT-freundliche Umgebung waren. Wenn dort im Sommer die Temperatur zusätzlich ansteigt kann es schnell zu Systemabstürzen und unerklärbarem Verhalten führen. Daher hier als Tipp, falls sich jemand von den oben genannten Punkten angesprochen fühlt: Es gibt Dienstleister die mit professioneller Hilfe die eigene IT wieder komplett säubern können. Die Investition kann sich wirklich auszahlen. Die eigene IT wird es ihnen sicher danken. =)

Links zum Thema:

• Serverreinigung / EDV Sanierung

Ein Kunde hat mich gefragt wie ich mein Wissen rund um PHP, Linux und das Web erlangt habe. Die Frage fand ich ziemlich interessant. Es ging ihm speziell darum dass er gerne die Kompetenz der hauseigenen Entwickler stärken wollte, sich jedoch gefragt hat was hier ein guter Weg sein könnte. Als spezielle Hürde hat sich in dem Gespräch herausgestellt dass keiner der Entwickler mit Leidenschaft Programmierer ist und für das was er tut wirklich brennt. Wäre dies der Fall ist das “Lernen” eigentlich Nebensache, quasi Mittel zum Zweck, da nicht das Wissen sondern Ergebnisse und Projekte im Fokus stehen.

Nun, mein Wissen rund um das Webumfeld habe ich mir durch reine Faszination an den verschiedenen Technologien selbst angeeignet. Es gab sicher auch viel theoretische Informationen die von außen an mich herangetragen worden sind und man lernt natürlich auch immer von anderen. Allerdings ist der wirkliche Grundstein aus reinem Interesse entstanden, ohne den Anspruch damit jemals Geld zu verdienen. Programmieren ist wie das Beherrschen einer normalen Sprache. Anfangs ist die Grammatik umständlich und viele Wörter neu. Auf Dauer wird es immer leichter sich gewählt auszudrücken und am Ende kann man aus dem Bauch heraus entscheiden ob ein Ausdruck richtig ist. 

Da es natürlich eine Menge Zeit kostet und das nicht “über Nacht” gemacht werden kann ist es ein guter Mittelweg, vor allem wenn kurzfristig Wissen benötigt wird, PHP Schulungen zu besuchen. Man kann von Experten lernen, bekommt eine direkte Einsicht in best-practices und vor allem kann man aus den Fehlern von anderen lernen. Wer bisher noch nie objektorientiert gearbeitet hat und neben PHP auch keine andere Sprache wie Java beherrscht, hat auf sich allein gestellt einen weiten Weg vor sich um die Konzepte und objektorientierte Denkweise zu verinnerlichen. Wenn das Wissen wie bei meinem Kunden zeitnah benötigt wird ist eine Schulung aus meiner Sicht ein sehr guter Versuch bevor beim Personal umstrukturiert wird. So gibt man dem Personal noch eine letzte Chance an sich selbst zu arbeiten. 

Vermutlich hat nahezu jedes Homeoffice, jeder Kleinunternehmer und mittleres Unternehmen heutzutage einen Internetanschluss. Schnell kommt zum DSL-Anschluss mit Splitter, Modem und/oder Router noch ein Switch hinzu damit mehrere Rechner oder Accesspoints in das lokale Netzwerk eingebunden werden können. Wer zusätzlich ein NAS-System als zentralen Datenspeicher betreibt, evt. sogar mit zusätzlichen externen Festplatten, hat schnell ein kleines Netzwerk aufgebaut. Mein Netzwerkequipment das ich für das Homeoffice und die private IT benötige ist in etwa dieser Form strukturiert. Damit jegliche Hardware möglichst zentral untergebracht ist steht sie in der Nähe der Netzabschlussdose der Telekom im Keller. Lange Zeit war dort alles weitestgehend ungeschützt auf einem kleinen Tisch untergebracht und die Kabel endeten nahezu ungeordnet. Sicher, Kabelsalat ist gesund. Jedoch ist es ein deutlich besseres Gefühl wenn der “Hauptnerv” der eigenen IT-Infrastruktur vor äußeren Einflüssen geschützt ist. Es musste also Abhilfe geschaffen werden.

Bei der Suche nach einer geeigneten Lösung bin ich auf 19 Zoll Netzwerkschränke von Lehmann IT gestossen. Das Sortiment bietet für nahezu jeden Bedarf eine passende Lösung, angefangen bei kleinen Schränken für KMUs (kleine und mittlere Unternehmen) bis hinzu den Anforderungen von Rechenzentren. Da ich selbst allerdings keine 19″ Server (mehr) Zuhause betreibe reicht für meine Anforderungen ein kleiner Netzwerkschrank aus. Dieser ist nicht sehr tief, nimmt somit kaum Platz vom Raum selbst in Abspruch und bietet dank des 19″ Standard die Möglichkeit dort dennoch ein Patchpanel unterzubringen. Daher können die Netzwerkkabel sauber angeschlossen werden. Im Gehäuse mit 7 Höheneinheiten ist zudem genug Platz für das NAS-System, externe Festplatten die im Wechsel für Backups genutzt werden und meinen Switch und den kleinen Linux Router. Dank der Wandmontage ist die sensible IT-Infrastruktur nun vor Staub, unabsichtlichen Gewalteinwirkungen und Grundwasser bis ca. 1,5m Höhe geschützt. Und sollte das Wasser jemals so hoch steigen wäre die IT etwas worum ich mir als Letztes Sorgen machen würde, da immer eine Backupplatte in einem Schließfach in der Bank untergebracht ist. Ganz klar zur Nachahmung empfohlen.

Im Gastartikel von Wojciech Dziedzic, twago.de, geht es um Outsourcing. Er hat an der Humboldt Universität zu Berlin Germanistische Linguistik, Anglistik und Polonistik studiert und seinen Magister erworben. Er arbeit nun bei Twago im Bereich Online Marketing.

Viele Selbstständige und Freelancer machen den Fehler und sind nur auf dem lokalem Markt tätig. Manche haben vielleicht Angst einen Schritt weiter zu gehen. Andere kennen die Vorteile des größeren Arbeitsmarktes nicht. Es gibt auch welche, die von Outsourcing wahrscheinlich noch nichts gehört haben oder sehr wenig zu diesem Thema wissen. Eine direkte Übersetzung dieses Begriffs würde etwa äußere (out) Quelle (source) bedeuten. In einfachen Worten gesagt, heißt es nicht mehr, als die Vermittlung eines Projekts an einen Spezialisten, der sich außerhalb des eigenen Unternehmens befindet. Wie das funktioniert ? Ist es sicher? Ist das etwas für mein Unternehmen? Diese Frage haben sich bestimmt viele Unternehmer gestellt. Die Ergebnisse aus dem amerikanischen Arbeitsmarkt zeigen, dass etwa 30 Prozent aller Beschäftigten als Freelancer arbeiten. Das sind Leute, an die man Projekte „outsourcen“ kann. Um das an einem Beispiel zu zeigen, kann man folgende Situation nehmen:

Das Unternehmen „A“ braucht eine neue Webseite mit einigen Javascripten und dynamischen PHP-Effekten. Die Firma kann natürlich Spezialisten auf dem lokalen Markt suchen, aber eine globale Suche wäre viel effektiver und könnte auch einen Dienstleister anbieten, der diesen Auftrag für einen günstigeren Preis machen würde. Seit Jahrhunderten gilt die Regel, dass Angebot und Nachfrage den Preis bestimmen. Das Unternehmen „A“ entscheidet sich einen Spezialisten auf dem globalen Markt zu finden. Aber wie? An dieser Stelle bieten sich die Dienste von Online-Projektvermittlungsplattformen, wie zum Beispiel twago. Bei den meisten Anbeiter ist die Registrierung kostenlos. Man schreibt ein Projekt aus und wartet auf die Angebote der passenden Spezialisten. Wenn sich das Unternehmen schon für einen Freelancer entscheidet, oder bei komplexeren Projekten für mehr Spezialisten, wobei jeder seine Teilaufgabe des Projekts macht, kann die Arbeit anfangen. Am Ende bekommt der Dienstleister sein Geld überwiesen und beide Seiten können eine Bewertung abgeben. Das ist sehr hilfreich für die Zukunft und bildet eine gewisse Reputation im Web sowohl für den Freelancer, als auch für den Auftraggeber.

Externe Links

• Projektauktionen auf Twago.de

Bei der Suche nach einem zuverlässigen und zugleich günstigen Anbieter für Server Überwachung bin ich auf serverstate.de gestossen. Ich habe zwar eigene Server die ich bereits mit Nagios überwache, jedoch vermittelt eine externe Überwachung ein zusätzlich beruhigendes Gefühl. Zudem habe ich derzeit keine Anbindung an ein SMS Gateway. Fällt also der falsche Server aus, bekomme ich die Alarmmeldung nicht, da der Mailserver nicht mehr erreichbar ist. Ebenso könnten Probleme beim Provider verhindern dass die Alarmmeldung per E-Mail empfangen werden kann.

Anforderungen an den Monitoring Dienst

In erster Linie wichtig war mir nicht die Möglichkeit komplexe Testszenarien abbilden zu können wichtig. Wesentliche Kriterien bei der Auswahl des richtigen Monitoring Dienstes waren, da es sich für mich um eine zusätzliche Sicherheit handelt, eher die folgenden Faktoren:

• günstige Konditionen (max ca. 5 Euro / Monat)
• Zuverlässigkeit
• SMS Benachrichtigung verfügbar

Server Monitoring mit serverstate.de

Das Angebot von serverstate.de ist unter den Monitoring Lösungen noch relativ neu, bietet aber für meine Zwecke die optimalen Voraussetzungen. So kann ich bei geringen monatlichen Kosten die grundlegende Erreichbarkeit sowie elementare Dienste prüfen. All dies vereint serverstate.de aus meiner Sicht mit einer unkomplizierten Registrierung und einer sehr einfachen Einrichtung von Überwachungsaufträgen sowie Empfängern von Alarmmeldungen. Auch das Tarifmodell ist sehr transparent gestaltet. Die Kosten für einen Überwachungsauftrag, welcher die Überwachung eines konkreten Dienstes darstellt, richten sich nach dem Abstand zwischen den einzelnen Prüfungen:

• 60 Minuten: 0,07 EUR/Monat
• 30 Minuten:  0,14 EUR/Monat
• 5 Minuten:  0,85 EUR/Monat
• 1 Minute:  4,32 EUR/Monat

Ich habe mich für eine Checkintervall von 15 Minuten entschieden und zahle somit für jeden Auftrag 0,29 € im Monat! Für jede notwendige SMS fallen dann jeweils noch einmal 0,15 € an, was ebenfalls vergleichsweise günstig ist. Insgesamt überwache ich 3 Dienste, habe also somit monatliche Kosten von 0,87 € (vorrausgesetzt es kommt nicht zu einem Ausfall). Das unterschreitet mein ursprüngliches Budget deutlich.

serverstate.de Features

Es können für die eigenen Testszenarien verschiedene Prüfungen konfiguriert werden. Diese werden über ein schlichtes, aber sehr übersichtliches Kundeninterface, verwaltet:

Zu den Überwachungsaufträgen wird zu jeder konfigurierten Prüfung eine eigene Statistik angelegt:

Ausbaufähig ist definitiv noch die Unterstützung der verfügbaren Tests. Dies ist der einzige Punkt an bei dem ich Verbesserungen vorzuschlagen hätte. Ein einfacher Test von TCP/UDP Ports wäre z.B. sehr hilfreich (ohne Protokoll Prüfung). Bei den Prüfungen selbst werden derzeit nur wenige Protokolle unterstützt:

• http / https (inkl. Inhaltsprüfung)
• ftp
• pop3
• smtp

Fazit

Links

LiveTest ist ein schlankes Monitoring Tool für Webseiten. Es ist auf die Überwachung unterschiedlichster Faktoren eines Webauftritts ausgelegt und bietet dank flexibler Architektur ideale Voraussetzungen für Erweiterungen. Interessante Features sind z.B. die Überwachung von HTTP Status Codes, Prüfung von HTML Dokumenten auf vorhandene/nichtvorhandene Strings, Suche nach regulären Ausdrücken und die Überwachung der Seitengröße. Einmal als Cronjob eingerichtet meldet es zuverlässig alle Abweichungen vom Normalzustand. Initiator und Hauptentwickler von LiveTest, Nils Lagner von phphatesme.com, hat da ein echt tolles Projekt ins Leben gerufen!

LiveTest bietet dank einer streng objektorientierten Implementierung mehr als optimale Voraussetzungen um benötigte TestCases schnell und sauber implementieren zu können. TestCases sind vereinfacht dargestellt PHP Klassen in denen konkrete Tests abgebildet werden. Die Applikation basiert nicht unmittelbar auf dem Zend Framework, macht sich aber einige der Klassen dieser mächtigen Bibliothek zu nutze. Für eigene TestCases steht damit allerdings eine sehr umfangreiche Basis bereit und eine ganze Reihe an Möglichkeiten entsteht. Z.b. habe ich irgendwann mal ein Tool gesucht das automatisch HTML Dokumente validieren kann. Da ich finde dass LiveTest wie geschaffen für derartige Anwendungen ist fehlte aus meiner Sicht ein Validator für HTML. Den habe ich in den letzten Tagen als TestCase implementiert. Nach ein paar Anpassungen die ich in Absprache mit Nils noch gemacht habe wird er nun in LiveTest aufgenommen. Das freut mich natürlich! Wer ebenfalls mithelfen möchte dieses sinnvolle Tool zu entwickeln sollte unbedingt auf der neuen Webseite vorbeischauen (Achtung: noch ganz neu) und LiveTest bei Github besuchen.

Das Tool ist aber nicht nur rein pragmatisch betrachtet toll. Es wird in PHP entwickelt und ist wirklich super strukturiert. Ein Musterbeispiel für aufgeräumten und sauberen PHP Code. Der Quellcode wird von Unittests abgedeckt (mein Validator übrigens auch), native PHP Namespaces die seit PHP 5.3 zur Verfügung stehen strukturieren den Quellcode und Events/Listener führen zu einer klaren Trennung von Verantwortlichkeiten der Klassen. Alles in allem bin ich von der Applikation total begeistert. Noch vor ca. einem Jahr hätte ich derartige Aufgaben aus dem Bauch heraus von Python erledigen lassen. LiveTest ist eine Anwendung mehr die zeigt dass PHP auch dafür bestens geeignet ist. Alles in allem merkt man dass viel Liebe und kreative Energie schon in die Planung geflossen sind. Und genau das macht LiveTest auch für Entwickler interessant. Saubere PHP Entwicklung die für jeden überschaubar ist. Es soll sogar Leute geben die auch heutzutage von objektorientierter Programmierung nichts halten. Hier zeigt es sich am Beispiel welche Vorteile ein elegantes Software Design haben kann. Also unbedingt mal anschauen!

• Installation von LiveTest
• LiveTest bei Github
• LiveTest Homepage

Der Artikel im letzten PHP Magazin über den YubiKey hat mich neugierig gemacht. Der YubiKey wirkte wie eine günstige OTP (One Time Password) Lösung. Eigentlich schien alles eher unspektakulär da ich mit One Time Password immer den Abschied von gespeicherten Logins und viel Tipparbeit in Verbindung gebracht habe. Aus Erfahrung kann ich jetzt jedoch sagen: Der YubiKey ist alles andere als umständlich! Im Gegensatz zu anderen OTP Ansätzen, z.B. dem iTan-Verfahren, muss man hier nicht manuell ein Passwort eingeben. Dies übernimmt der YubiKey!

Zudem stellt die Herstellerfirma Yubico offene Software für den YubiKey zur Verfügung. Das hat mich dann überzeugt. Für 45$ habe ich direkt zwei YubiKeys bestellt. Eine erste Überraschung war dann die Lieferzeit. Die angegebenen 7-14 Tage wurde mit 4 Tagen deutlich unterschritten! Sonntags bestellt und Donnerstags bereits Post aus England! Ein erster Pluspunkt also: Bei Bedarf kann man schnell an neue YubiKeys kommen.

YubiKey: So funktionierts

Der YubiKey emuliert eine USB Tastatur und gibt per Knopfdruck ein 44-stelliges Passwort aus. Dies ist je nach konfiguriertem Modus immer wieder ein anderes (OneTime Password) oder jeweils das selbe Passwort (static). Unterstützt eine Webseite oder anderes System die Authentifizierung mittels YubiKey werden die Benutzerdaten über einen entsprechenden Webservice validiert. Yubico stellt diesen Dienst zur Verfügung. Zusätzlich wird eine offene Software angeboten über die ein eigener Webservice eingerichtet werden kann. Zum einen ist also wirklich alles transparent und zum anderen müssen derart empfindliche Daten und Dienste nicht aus der Hand gegeben werden. Die Software für die Yubico API kann über Google Code bezogen werden, besteht aber aus zwei Teilen. Eine PHP Applikation für die Authentifizierung und ein sogenanntes Key Storage Modul in dem die Benutzerdaten gespeichert werden.

Ich persönlich halte die Möglichkeit OneTime-Passwörter zu generieren (derzeit) vor allem für geschlossene Benutzerkreise interessant. Schön wäre natürlich wenn die Lösung flächendeckend Anklang findet. Es erspart Aufwand und die “Passwort vergessen” Funktion. Der YubiKey ist aber auch jetzt schon unschlagbar praktisch: Man kann unkompliziert in den statischen Modus wechseln. Der Yubikey gibt in dem Fall immer wieder dass gleiche 44 Zeichen lange Passwort aus. Für die alltägliche Nutzung ungemein praktisch. Mein Vater nutzt sein Exemplar im statischen Modus mit großer Zufriedenheit. Einziger Minuspunkt der mir insgesamt aufgefallen ist: Im statischen Modus muss dieses Passwort einem Account zuordnen. Der YubiKey gibt jedoch nicht nur ein Passwort sondern ebenfalls “\n” (Enter) mit aus. Das führt bei der Registrierung von Accounts dazu dass Formulare frühzeitig abgeschickt werden. Ein einmaliger Umweg über copy&paste ist im statischen Modus also leider notwendig. Werfen wir einfach mal einen Blick auf die Praxis.

WordPress mit YubiKey Authentifizierung

Meine ersten Erfahrungen mit YubiKey OneTime-Passwörtern habe ich mit dem YubiKey Wordpress Plugin gesammelt. Es kann ganz normal über die Pluginverwaltung von WordPress installiert werden. Ich habe dann einfach den Webservice von Yubico verwendet um die Authentifizierung durchzuführen. Man benötigt lediglich einen API Key der auf folgender Seite generiert werden kann. Man muss nur den eigenen YubiKey bereithalten:

• Yubico API Key generieren - https://upgrade.yubico.com/getapikey/

Dem Plugin fehlt aus meiner Sicht noch eine konfigurierbare API URL. Man kann wie bereits erwähnt einen eigenen Webservice bereitstellen und Benutzerdaten auf der eigenen Infrastruktur bereitstellen. Wenn Sicherheitsauflagen erfüllt werden müssen, z.B. im Rahmen einer PCI DSS Zertifizierung, kann dies zwingend erforderlich sein. Eine zusätzliche Option für WordPress wäre aber in jedem Fall schön. Zurück zum Thema. Ist dass Plugin installiert muss in der Plugin-Konfiguration der soeben generierte API Key hinterlegt werden. Die WordPress Login Maske zeigt nun ein neues Eingabefeld:

Nun muss für jeden Account den wir mittels Multifactor Authentifizierung zusätzlich absichern möchten die YubiKey OTP Authentifizierung aktiviert werden. Dafür gibt es nun eine neue Sektion in den Benutzereinstellungen:

Nun ist der Account abgesichert und kann nur noch mit einer Kombination aus Zugangsdaten und YubiKey OTP verwendet werden. Insgesamt wird die Sicherheit von WordPress Accouns deutlich verstärkt.

YubiKey mit statischem Passwort

Einen YubiKey kann man im statischen Modus betreiben um immer wieder dass gleiche Passwort auszugeben. Das ist eine elegante Alternative zur Eingabe von eigenen Passwörtern. Der Hersteller Yubico stellt ein Tool für die Verwaltung von YubiKeys bereit. Unter Ubuntu Linux kann es direkt über APT installiert werden. Abhängig davon wie alt/neu der YubiKey ist kann es allerdings zu Problemen kommen. Ich habe scheinbar eine aktuelle Hardware Revision (2.2.7) bekommen und konnte mit der Ubuntu Maverick Version (1.3.2) nicht arbeiten. Es gibt bereits eine aktueller Version die auch in Debian (unstable) bereits enthalten ist. Einen entsprechenden Ubuntu Sync Request habe ich bereits hinterlegt. Vielleicht schafft es die neue Version ja trotz FeatureFreeze für 11.04 (natty) noch in die kommende Ubuntu Version. Installiert werden kann dass Paket über APT wie folgt:

$ sudo apt-get install yubikey-personalization

Die Alternative dazu ist die direkte Installation von Debian Paketen. Ist kein großes Problem da derzeit dass Ubuntu Paket ohnehin unverändert von Debian übernommen wird. Wenn also dass Ubuntu Paket mal aktualisiert wird ist sehr wahrscheinlich bei euch dass Paket einfach schon installiert. Welches Paket benötigt wird hängt von der Rechnerarchitektur ab. Einfach die beiden benötigten Pakete herunterladen (Bibliothek + Software) und über dpkg installieren. Hier am Beispiel von amd64:

$ wget http://ftp.de.debian.org/debian/pool/main/liby/libyubikey/libyubikey0_1.7-1_amd64.deb

$ wget http://ftp.de.debian.org/debian/pool/main/y/yubikey-personalization/libykpers-1-1_1.5.0-1_amd64.deb

$ sudo dpkg -i *.deb

Jetzt kann über das Tool ‘ykpersonalize’ der YubiKey konfiguriert werden. Eine detailierte Anleitung dazu findet man direkt in der ReadMe. Den YubiKey von meinem Vater habe ich mit dem Parameter “-ostatic-ticket” in den statischen Modus versetzt. Die exakten von mir verwendeten Werte bleiben natürlich mein Geheimnis:

Anschließend gibt der YubiKey ein statisches Passwort aus. Das Tool funktioniert unter Mac OS X ebenfalls. Die Mac OS X GUI Version, die von einer unabhängigen Firma bereitgestellt wird, wollte bei mir gar nicht. Die Software für Windows hat mich nicht wirklich interessiert. Hier ist jeder eingeladen selbst zu probieren.

Fazit

Der YubiKey hat mich wirklich mehr als begeistert. Ich hoffe dass in Zukunft viele Webseiten die Authentifizierung per YubiKey OTP unterstützen, es ist einfach genial. Aber egal ob und wann man mit einer weiten Verbreitung rechnen kann ist der YubiKey bereits jetzt eine Bereicherung. Ein 44-Zeichen langes Passwort ist sicherer als ein “normales” Passwort aus unserem Alltag. Und dass muss man nicht einmal mehr eintippen. Mein Vater nutzt den YubiKey unter Mac OS X und im statischen Modus und kommt damit super zurecht. Ich habe bereits weitere YubiKeys bestellt. Es wird auch sicher erneut etwas über den YubiKey zu lesen geben. Mögliche Themen sind z.B. “Zend_Auth und YubiKeys” oder “ein eigener YubiKey Webservice”. Hier noch einmal der Link zum Webshop von Yubico. Ausprobieren lohnt sich. Es macht dass Leben ein Stück weit einfacher.

• YubiKeys bestellen

Angeregt von einem netten Kommentar zu meinem 2. Artikel zu nachhaltiger PHP Entwicklung (Dank an Thorsten Pohl nochmal!) habe ich mich eingehend mit Continuous Integration befasst. Seitdem hat mich das Konzept “Test-Driven-Development” infiziert. Es ist ein tolles Gefühl wenn man verifizieren kann ob eine Änderung ein unerwartetes Problem (vielleicht an ganz anderer Stelle) erzeugt. Man kann viel mutiger Änderungen vornehmen und verringert die Wahrscheinlichkeit 3 von 2 möglichen Fehler zu produzieren. Zusätzlich ist auch die Auswirkung auf den Stil der eigenen Programmierung durchaus positiv. Wirft man einen Blick auf die Auswertungen der Code Coverage, dem PHP Mess Detector und ähnlichem überlegt man hier und dort einmal mehr ob es auch anders geht, ob vielleicht eine weitere Methode sinnvoll wäre oder ob die eine oder andere Bedingung notwendig ist. Insgesamt halte ich den Mehraufwand nach einiger Übung für sinnvoll, speziell bei größeren Projekten die man etwas länger begleitet. Derzeit arbeite ich mich Schritt für Schritt durch meine Kopie des Buches Softwarequalität in PHP-Projekten von Sebastian Bergmann . Das Buch geht deutlich über Unittests hinaus und hat meine Sicht auf Software Entwicklung generell umgekrempelt. Eine absolute Bereicherung für jeden Entwickler. Eine klare Leseempfehlung an dieser Stelle. Aber, zurück zum Thema.

phpUnderControl

Die erste CI-Lösung mit der ich ein wenig experimentiert habe war wie empfohlen phpUnderControl. Irgendwie hat mir allerdings die Integration in ein Linuxsystem nicht so richtig gefallen. Ich hätte am liebsten gleich einiges anders gestaltet. So fehlte z.B. ein gutes Initskript, eine FHS-konforme Aufteilung der Daten und ähnliches. Ich bin wirklich nicht pedantisch was sowas angeht, aber es fühlte sich einfach “komisch” an die Daten gesammelt unter bspw. /opt zu “parken”. Ist keine stumpfe Kritik. Ich bin mir bewusst dass der Opensource Gedanke alle Wege öffnet meine eigenen Gedanken einzubringen. Leider fehlte mir derzeit, wie für soviele andere Projekte die ich gerne unterstützen würde, jedoch die Zeit. Wie der Zufall aber so will bin ich Anfang des Jahres durch die ganze Aufregung rund um Jenkins (ehemals Hudson) auf die Continuous Integration Lösung aus der Java Welt aufmerksam geworden. In der Hoffnung eine “out of the box Lösung” zu finden habe ich beschlossen Jenkins eine Chance zu geben. Was für eine tolle Idee!

Jenkins für PHP Projekte

Wie sich zeigte war ich nicht der Erste mit der Idee Jenkins für PHP Projekte zu verwenden. So bin ich unter jenkins-php.org auf ein Job Template von Sebastian Bergmann gestossen welches eine perfekte Vorlage für PHP Projekte darstellt. Dass Buildsystem basiert auf Ant, ein Tool aus der Java Welt dass sich ebenfalls für PHP Projekte gut eignet. Jenkins startet bei einem Testlauf Ant mit einem vorbereiteten Buildskript (build.xml). Verschiedene Tools wie z.B. der PHP CodeSniffer, PHP Mess Detector und PHPUnit werden von diesem wiederrum angestossen. Die bei einem Testlauf generierten Logdateien können anschließend zentral über dass Jenkins Webinterface dargestellt werden. Bei dem angesprochenen Projekt nutze ich derzeit einen SCM (in meinem Fall: Subversion) gesteuerten Trigger für Jenkins. Dieser erkennt Veränderungen (“commits”) in einem Repository und holt sich einen frischen “Checkout”. Anschließend wird Ant gestartet. Kommt es zu Fehlern, z.B. wenn PHPUnit Tests fehlschlagen, werde ich per E-Mail informiert. Dass Szenario ist in größeren Teams noch einmal weitaus praktischer als für einen einzelnen Entwickler. Dennoch ist es für mich eine unheimliche Bereicherung, da die zentrale und übersichtliche Erreichbarkeit der Auswertungenunschlagbar ist. Auch die automatische Benachrichtigung im Fehlerfall ist von Vorteil. Ich habe nun bereits mehrfach Verbesserungen/Änderungen am Code auf Basis der gewonnen Daten vorgenommen und Fehler entdeckt die auf meiner aktuelleren Workstation (Ubuntu 10.10) nicht aufgetreten sind. Fazit an dieser Stelle daher: Zur Nachahmung empfohlen!

Jenkins und dass Zend Framework

Die grundlegende Installation ist auf der Seite zum Jenkins PHP Template (jenkins-php.org) super beschrieben. Ist dann dass Template für den Jenkins Job aus dem Github Repository erst einmal ausgecheckt kann es auch schon losgehen. Hier konzentriere ich mich nun auf Zend Framework spezifische Ergänzungen und Hinweise. Das folgende Setup nutze ich selbst für die Anbindung von Zend Framework Projekten an Jenkins. Beginnen wir mit der Vorbereitung von Helferklassen die es uns später erleichtern Tests für dass Zend Framework Projekt zu schreiben. Als erstes ein “TestHelper” welcher bspw. dass automatische Laden von Klassen vorbereitet. Abgelegt wird dieser im Verzeichnis “tests” unter dem Namen TestHelper.php:

TestHelper.php

</p>
<p>// start output buffering<br /> ob_start();</p>
<p>// set our app paths and environments<br /> if (!defined('BASE_PATH')) {<br /> define('BASE_PATH', realpath(dirname(__FILE__) . '/../'));<br /> }<br /> if (!defined('APPLICATION_PATH')) {<br /> define('APPLICATION_PATH', BASE_PATH . '/application');<br /> }<br /> if (!defined('APPLICATION_ENV')) {<br /> define('APPLICATION_ENV', 'testing');<br /> }</p>
<p>// Include path<br /> set_include_path(<br /> '.'<br /> . PATH_SEPARATOR . BASE_PATH . '/library'<br /> . PATH_SEPARATOR . BASE_PATH . '/propel/models'<br /> . PATH_SEPARATOR . get_include_path()<br /> );</p>
<p>require_once 'Zend/Loader/Autoloader.php';<br /> $autoloader = Zend_Loader_Autoloader::getInstance();<br /> $autoloader-&gt;registerNamespace('Luckyduck_');</p>
<p>require_once 'Zend/Loader/Autoloader/Resource.php';<br /> $resources = new Zend_Loader_Autoloader_Resource(array(<br /> 'namespace' =&gt; 'Application',<br /> 'basePath' =&gt; APPLICATION_PATH<br /> ));<br /> $resources-&gt;addResourceType('form','forms','Form');<br /> $resources-&gt;addResourceType('model','models','Model');<br /> $resources-&gt;addResourceType('dbtable','models/DbTable','Model_DbTable');</p>
<p>// Set the default timezone !!!<br /> date_default_timezone_set('Europe/Berlin');</p>
<p>// We wanna catch all errors en strict warnings<br /> error_reporting(E_ALL|E_STRICT);</p>
<p>require_once 'ControllerTestCase.php';<br /> 

Sowie eine abstrakte Klasse ControllerTestCase. Diese stellt die Basis für die eigenen Unittests dar. Abzulegen ist sie im Verzeichnis “tests” in der Datei ControllerTestCase.php:

</p>
<p>&lt; ?php<br /> require_once 'Zend/Application.php';<br /> require_once 'Zend/Test/PHPUnit/ControllerTestCase.php';</p>
<p>abstract class ControllerTestCase extends Zend_Test_PHPUnit_ControllerTestCase<br /> {<br /> public $application;<br /> public function setUp()<br /> {<br /> $this-&gt;application = new Zend_Application(<br /> 'testing',<br /> APPLICATION_PATH . '/configs/application.ini'<br /> );</p>
<p>$this-&gt;bootstrap = array($this, 'appBootstrap');<br /> parent::setUp();<br /> }</p>
<p>public function appBootstrap()<br /> {<br /> $this-&gt;application-&gt;bootstrap();<br /> }<br /> }</p>
<p>?&gt;</p>
<p>

Hier sind ein paar projektspezifische Details zu beachten. Z.b. wird in der Datei TestHelper.php der Namespace “Luckyduck_” beim Autoloader registriert. Ggf. kann man hier eigene Namespaces (Achtung: nicht PHP 5.3 Namespaces) eintragen oder evt. ganz darauf verzichten. In meinem Fall war es trotz Eintrag in der application.ini (wird im ControllerTestCase geladen) notwendig. Zusätzlich muss evt. auch der Includepfad angepasst werden, da ich hier von Propel generierte Models im Verzeichnis “propel/models” zum Includepath hinzufüge.

Im ControllerTestCase wird dann von einer Klasse aus dem Zend_Test Paket geerbt. Der Zend_Test_PHPUnit_ControllerTestCase ist die Grundlage für Tests von “Controllern”. Mit seiner Hilfe sind sogar ganze Systemtests möglich. Der Aufruf von einzelnen URLs einer Zend Framework Applikation kann simuliert werden. Die Applikation verarbeitet die Anfrage dann als zusammenhängendes System:

• Router leitet die Anfragen zu passender Stelle (Module, Controller, Action)
• Eine Action verarbeitet bspw. ein Formular
• Man könnte die Datenbank testen (lesend/schreibend)
• Ist ein Fehler aufgetreten (z.B. beim ErrorController “gelandet”?)
• usw.

Im ControllerTestCase wird die Applikation ebenfalls initialisiert (ich fand dass Wort “gebootstrapped?!” zweifelhaft), ohne dabei jedoch die finale Methode “run()” auszuführen. Was nun fehlt ist ein Test der wirklich etwas macht.

Ein Unittest

Um zu verifizieren ob alles eingerichtet ist fehlt der erste Unittest. Hierfür können wir z.B. wie folgt prüfen ob der Aufruf einer nicht vorhandenen URL eine passende Antwort erzeugt (ErrorController / HTTP Response Code 404). Damit die Pfadangabe oben stimmt muss die Datei im Verzeichnis “tests/application/controllers” liegen. Genannt habe ich Sie IndexControllerTest.php:

</p>
<p>&lt; ?php</p>
<p>require_once realpath(dirname(__FILE__) . '/../../ControllerTestCase.php');</p>
<p>class IndexControllerTest extends ControllerTestCase<br /> {<br /> public function testCallingBogusTriggersError()<br /> {<br /> $this-&gt;dispatch('/bogus');<br /> $this-&gt;assertModule('default');<br /> $this-&gt;assertController('error');<br /> $this-&gt;assertAction('error');<br /> $this-&gt;assertResponseCode(404);<br /> }<br /> }</p>
<p>?&gt;</p>
<p>

PHPUnit Konfiguration

Die Konfigurationsdatei für PHPUnit, bzw. die Angaben zum Logging, sind auf jenkins-php.org bereits vorgegeben. Die Jenkins Module welche unsere Logdateien verarbeiten erwarten ein bestimmtes Format. Die Konfiguration des Loggings allein reicht jedoch noch nicht aus um wirklich dass eigene Zend Framework Projekt von Jenkins prüfen zu lassen. Hier meine PHPUnit Konfiguration welche ich im Stammverzeichnis abgelegt habe. Der Name der Datei ist “phpunit-jenkins.xml”:

</p>
<p>colors="true"<br /> verbose="true"<br /> stopOnFailure="true"<br /> processIsolation="true"<br /> backupGlobal="false"<br /> syntaxCheck="true"&gt;</p>
<p>tests/library<br /> tests/application</p>
<p>./library/Luckyduck<br /> ./application</p>
<p>./application</p>
<p>charset="UTF-8" yui="true" highlight="true"<br /> lowUpperBound="35" highLowerBound="70"/&gt;</p>
<p>

Hier wird der “TestHelper” als Bootstrapdatei verwendet und ein paar Einstellung bzgl. PHPUnit angepasst. Diese waren auf meinem Produktivsystem notwendig da dort unter Ubuntu 10.04 LTS eine etwas ältere PHPUnit Version zum Einsatz kommt. Ein Update über PEAR hat mir nicht kurzfristig zu lösende Probleme bereitet, weshalb ich dann (vorerst) zur Ubuntu Version zurückgerudert bin. Im Großen und Ganzen werden durch diese Konfiguration alle Dateien mit der Endung “.php” unter dem application-Verzeichnis in die Tests und Code Coverage Auswertung mit einbezogen. Zusätzlich teste ich noch meine Bibliothek unter “library/Luckyduck” . Leider reichten 2G memory_limit noch immer nicht aus um auch dass Zend Framework selbst in die Unittests (zumindest mal testweise) einzubeziehen. Sollte es wegen Arbeitsspeicher zu Problemen kommen als erstes kontrollieren ob ggf. dass komplette “library” Verzeichnis einbezogen wird.

Ant Buildskript

Hier nun im letzten Schritt dann noch dass Ant Buildskript. Auch dies habe ich ein wenig modifiziert. Speziell wichtig ist hier die Modifikation “phpunit”-Target. Dort wird nun auf der Kommandozeile der Name der PHPUnit Konfiguration (phpunit-jenkins.xml) übergeben. Zusätzlich interessant ist vielleicht noch dass Target “dist” welches ich verwende um Releases zu erstellen. Dazu ersetze ich vor einem Aufruf einfach ganz oben die Versionsnummer und lasse mir anschließend ein ZIP-Archiv erzeugen. In diesem sind dann nur gewünschte Daten enthalten. Ich wollte hier gerne noch ein Subversion Target einbauen welches dann zeitgleich dass Repository mit der Versionsnummer “tagged”, aber auch dazu fehlte bisher einfach wieder die Zeit. Die Datei build.xml liegt auf gleicher Ebene wie die Datei phpunit-jenkins.xml, im Stammverzeichnis meines Projekts.

<br /> <!-- Clean up --></p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p><!-- copy propel template --><br /> tofile="${basedir}/dist/build/propel/configs/anzeigenmarkt-conf.php"<br /> overwrite="true"/&gt;</p>
<p><!-- zipfile --><br /> basedir="${basedir}/dist/build"<br /> update="true"<br /> level="9"<br /> /&gt;</p>
<p>

Abschliessend

Ist dann die Einrichtung abgeschlossend und alle Dateien an der richtigen Stelle, sollte die Verzeichnisstruktur (neben den ohnehin vorhandenen Daten) in etwa wie folgt aussehen. Wichtig sind hier natürlich vor allem die erwähnten Dateien und Verzeichnisse:

Nun muss nur noch dass Projekt inkl. der neuen Dateien ins Repository übertragen bzw. “commited” werden. Wird der SCM Trigger eingesetzt sollte Jenkins schon bald den ersten Testlauf starten. Zudem kann allerdings für unmittelbare Tests auch die Funktion “build now” genutzt werden. So erhält man unmittelbar Feedback. Über Anregungen, Tipps und Hinweise sowie über interessante Diskussionen hierzu würde ich mich selbstverständlich freuen. Ich bin mir sicher dass es in Zukunft weitere Beiträge zum Thema Unittesting geben wird. Derzeit befasse ich mich intensiv mit Magento, was vielleicht eine interessante Kombination ergeben könnte. Vielen Dank für’s lesen. Über Tweets und Empfehlungen würde ich mich selbstverständlich freuen!

Externe Links

Hier ein paar externe Links zu Jenkins, dem Zend Framework und Unittesting allgemein:

• Jenkins PHP Template
• Jenkins Homepage
• Zend Framework: Zend_Test
• Unit testing Zend Framework controllers
• Newbies guide to test driven development
• 10 Gründe die für dass Zend Framework sprechen