#btconf – Take 2

I was very exited to be part of beyond tellerrand 2012 and I didn’t get disappointed.

While the conference in 2011 was great, this year it was even greater. And I got a sneak peak on next years speakers and 2013 might be even greaterer. And there is another good news: We won’t have to wait a whole year this time as Marc switches the dates for Play! and Web and the later will take place in May 2013, 27th to 29th to be exact.

My fellow german colleagues often nickname Beyond Tellerrand as „Klassentreffen” (class reunion) for the german webworker scene and that exactly nails it. You can meet everybody in Düsseldorf and it was great to see Sandra, Eric, Christian, Marc and all the others again and meet new talented guys like Dennis and Andreas. Plus we had nice vegan food together.

Those who follow me on Twitter might have noticed that I didn’t tweet that much this time. And I barely took notes. This is because I was afraid to miss something from all these great talks. And all of them were fascinating, both those with more technical details and those without. So I won’t get into any details here, others have already done this and more will follow. Marc will most likely put a nice list of all posts on Lanyrd or somewhere else. Marc is collecting all write-ups on the conference’s lanyrd-page.

What I love most about this conference is most likely this familiar flair that’s everywhere. And this is most likely because of Marc. No matter how busy he might be, there is always time for a little chat or a beer. Thanks to this you don’t feel like just attending a conference but being part of it. Of course his team does also a tremendous job to run this so smoothly and a great thank you goes out to them, too.
The worst thing is that I’m in such a passive role. I’m just not used to it, I’m a maker in everything I do. You’ll for instance never see me in a baseball stadium just watching. So this is really hard for me. And I’ll have to change this one day.

Pictured above is BTW my brand new Wacom Bamboo Stylus which I ‘won’ at the conference. Thanks to Wacom for the Bamboo and thanks to Marc for throwing an orange one in my direction, as orange is my favorite color.

Der schnellste Erzgebirge-Palast, den es je gab.

Schnell ist der Erzgebirge-Palast ja eigentlich schon immer. Also spätestens seit Ende 2008, wo zum ersten Mal der Server etwas geschwächelt hat und ich viel optimiert habe. Seit dieser Zeit kommen auch die statischen Inhalte größtenteils von Amazons Cloudfront CDN. In den letzten Jahren hat es der Shop mit diesen Optimierungen in Google’s PageSpeed auf einen Wert von 95 (100 ist der Maximalwert) gebracht.

Ich habe auch viel dazu geschrieben, wie man mit einfachen Mitteln ähnliche Werte erreichen kann. Was ich nie erwähnt habe ist die Sache mit dem CDN, weil das schon eher Highlevel ist und weil mein bisheriger Workflow, Cloudfront war damals quasi frisch geschlüpft und konnte noch nicht wirklich viel, doch sehr umständlich ist:
Inhalte mussten auf Amazon S3 liegen, was man zwar mit einem Tool wie s3sync mehr oder weniger automatisieren kann, aber aufwendig ist es trotzdem. Und da ich lange Expire-Header nutze musste ich beispielsweise dem CSS immer ein Datum mitgeben, das ganze syncen und schließlich die Referenz im <head> auch noch anpassen. Nichts, was man irgendwem raten möchte, nachzubauen.

Beim Blättern in den Folien von Christian Schäfer kam mir dann der Gedanke, dass ich mir ja grad mal das PageSpeed-Resultat vom Shop anzeigen lassen könnte. Weiterhin 95, aber ein Punkt tauchte dort auf, der mich eigentlich schon immer nervt, seit ich auf das CDN umgestellt habe: Die CSS-Datei ist nicht gzip-komprimiert. Und wir reden hier von 65kB vs. 12kB! Aus dem Grund hatte ich da auch schon mal versucht, was zu bauen, was aber nie wirklich funktioniert hat (Datei bereits gezippt ablegen und mit entsprechendem Zusatzheader ausliefern). Kurz gegoogelt und darauf gestoßen, dass Cloudfront schon seit einiger Zeit ‘custom origin’ unterstützt. Das hat zwei Vorteile:

  1. Die Inhalte müssen nicht mehr wie bisher auf S3 liegen sondern können von einem beliebigen Webserver kommen.
  2. Header, die der Original-Webserver schickt, werden von Cloudfront genau so weitergegeben.

Man braucht dazu nur zwei Dinge:
Eine Domain, die cookieless arbeitet. Also einen vhost einrichten, der das selbe DocumentRoot hat wie der eigentliche Webauftritt und diesem sagen, dass er sämtliche Cookies verwerfen soll: Header unset Cookie.
Mit dieser Domain, nennen wir sie mal static.example.org, legen wir jetzt eine neue Distribution in Cloudfront an, geben an, dass die Header so übernommen werden sollen, wie sie von der Quelle kommen, warten einen Moment, bis das alles deployed ist und können das ganze dann wie bisher nutzen. Statt von S3 holt Cloudfront jetzt aber die Daten von unserem Server. Das passiert auch nur genau beim ersten Request, denn ab dann hat Amazon das ganze ja im Cache.

Damit kann man Cloudfront nicht nur mit gzip nutzen, sondern sogar mit mod_rewrite, denn die eigentlichen RewriteRules werden ja auf dem eigenen Server ausgeführt. Das eröffnet völlig neue Möglichkeiten und so hat mein CSS keinen von Hand eingetragen Datumsteil mehr, sondern einen dynamisch ausgelesenen Zeitstempel des letzten Modifikationsdatums:
http://cdn6.wstatic.com/templates/erzgebirge/styles-yui-min-1350656989.css

Wer sich übrigens dafür interessiert, wie ich das für xt:Commerce umgesetzt habe, dass die statischen Inhalte über Cloudfront ausgeliefert werden, möge dies bitte in den Kommentaren kundtun. Dann kann ich das auch mal in einem Artikel entsprechend aufbereiten.

Was das ganze gebracht hat sind zwei weitere Punkte auf der Skala: 97 von 100. Der Rest liegt nicht mehr wirklich in meiner Macht, außer, ich würde Google Analytics, olark und die SSL-Logos rauswerfen.

Sublime Text 2 Settings

Martin over at The Amazing Web asked for Sublime Text 2 Settings yesterday, so here we go:

{
    "font_face": "Consolas",
    "font_size": 15.0,
    "word_wrap": "true",
    "highlight_line": true,
    "tab_size": 4,
    "translate_tabs_to_spaces": false,
    "line_padding_bottom": 1
}

I’m a huge fan of Microsoft’s Consolas font, so this is my default in both Sublime Text 2 and iTerm 2. The font size looks a little bit to large, but Consolas in 15pt is similar to Monaco in 13pt.
As Martin I hate scrolling horizontally and like my lines highlighted, however, I prefer tabs over spaces when it comes to indentation. The line padding is taken from Martin, it makes things way mare readable.

There are no color scheme settings in my config. As most Sublime Text 2 users I was a long-time Textmate user before and loved their Twilight theme (also on a dark background). However, I instantly fell in love with Sublime’s default Monokai theme and I’m still happy with it.

And I’m pretty happy I finally had the chance to play with Lea Verou’s great prism.js for this post.

Remote Debugging Safari on iOS

Remote debugging finally comes built into Mac OS and iOS 6. All you need is Safari 6 (which is, as the windows version of Safari was discontinued silently, only available on Mac OS) and the afore mentioned iOS 6.

If not done so already you have to turn on the Developer menu in the safari settings.

On the device, go to ‘Settings’ – ‘Safari’ – ‘Advanced’ and turn on ‘Web Inspector’ (which was translated to ‘Webinformationen’ in german).

Once you connect your device thru USB it shows up with it’s name in the Developer menu and you can start debugging sites opened in Safari or chrome-less web apps. This also works with pages opened in the simulator and will make tools like iWebInspector obsolete. However, as it only works on iOS, there is still a gap when it comes to debugging on android devices which, so there is still a place for Adobe Shadow out there.

Update: The ink’s not yet dry on this post as Adobe discontinued Shadow and replaced it with Edge Inspect, which is part of the Creative Cloud and therefore no longer free.

#smashingconf 2012

This is a somewhat different review for the first Smashing Conference. Actually it’s more about my learnings. If you prefer real reviews check out this article by t3n (german) or Brad Frost’s liveblogs on the talks (english). He has done a tremendous job.
For even more reviews and slides check out the lanyard page for Smashing Conference.

Our workflow and our tools are broken

My workflow hasn’t changed much over the last decade. Sure, I made the transition from Windows to Mac OS and I fought at the front when we moved away from table-based layouts. But the way I design (I’m not a designer, but that’s a different story) and build websites is still pretty much the same. And it doesn’t make a real difference on which OS you use Photoshop or if you write <div> or <table> in your favorite editor.

However, this time it’s not just switching tables for divs and font-Tags for inline-styles.

This time, we have to reinvent our workflow from scratch. For as long as the web exists we were used to work for an audience that has a desktop computer. This is definitely over.

Gridsystems

I know, I’m late to the party. But I’ve never been into gridsystems like 960.gs. And every time I see a template that uses one I know why. There are so many classes in the markup that are only there for presentational reasons I’d like to punch someone in the face. I like my markup clean and uncluttered.

But attending Andy Clarks great workshop on responsive webdesign made me rethink this. However, I will not take 960.gs and say ‘Hooray!’. No, I will build my own grid that fits every project best and gridsetapp.com will come in handy. As Andy’s very own page proofs a grid has not to be present in the markup. Andy likes his markup clean and uncluttered, too (Don’t believe me? Buy his book).

RWD

Not designing with a responsive approach in 2012 is like using table-based layouts in 2005. This might sound obvious. Or harsh, especially to those of you who are doing crap as in the screenshot above.

But let’s face the reality:
As you might know I sell cuckoo clocks (and some other stuff) for a living. Most of our customers are everything but tech-savvy.

These numbers reflect the first eight month on three of our stores (both english and german). The cuckoo clocks lead the bunch with 16% mobile usage! And non of our stores is responsive by any means!

Honestly, I should have checked these numbers earlier. Our latest project will launch in a few days and it will not be responsive. Well, lesson learned.

Getting responsive

Designing for a responsive web is however way more than throwing in some media queries to target different viewports. We have to rethink the whole process, we have to talk about typography, color and texture first and layout last. Focus on the mood, as Andy Clarke pointed out. Style guides, as shown by Stephen Hay, can help us to achive this.

But there is even more to responsiveness than that. We have to focus even more on performance (check out my articles in german on this topic). The user is willing to wait five seconds for your website to load and most users expect it to load even faster than on the desktop. They are probably on the go and want the information fast. Performance is invisible and you can’t mock that up in Photoshop.

And they want the thing, as Brad Frost named it. In an e-commerce context this means they don’t want product reviews, similar products and what the last guy, who bought it, ate yesterday. They want the product, the price and the description. Period. You can point him to the other information and then load the stuff conditional if the user really wants to know more about that Falafel.

To wrap this up: In RWD, you have to use your brain first and Photoshop second.

This means a lot of work ahead, especially when I look at the OXID shop system and how it currently handles things (but that’s an other story, too). But we build the world of tomorrow. This is an exiting journey and it’s great to be part of it.


Ein Paypal-Account, mehrere Shops, verschiedene Logos

Ein Paypal-Account, mehrere Shops, verschiedene Logos

Der Titel ist zugegebenermaßen etwas sperrig. Bei Elmastudio ist gestern ein Artikel erschienen, wie man die Paypal-Bezahlzeite etwas individualisieren kann.
Hat man jetzt mehrere Shops auf einem Paypal-Account laufen muss man sich aber nicht zwingend für das Logo der ‘Dachgesellschaft’ entscheiden, das der Kunde vermutlich gar nicht kennt und eher vorsichtig skeptisch reagiert. Denn man kann für das Paypal Standard Payment über entsprechende Parameter das gewünschte Logo mitgeben:

cpp_header_image
ist die max. 750×90 Pixel große Kopfgrafik
cpp_logo_image
ist das max. 190×60 Pixel große Logo

Bei cpp_logo_image muss man darauf achten, dass die übergebene URL maximal 127 Zeichen lang sein darf. Wer also bereits http://www.verein-zur-erhaltung-historischer-feuerwehrfahrzeuge-und-geraete.de/ 1 als Domain hat sollte sich bei Pfad und Bildnamen eher kurz halten.

Und so sieht das dann aus:




1 Wer meint, den Fehler gefunden zu haben, kann sich ja mal in den Kommentaren melden. Ich überleg mir was schönes.

Kellermeister mit Weinasche

Ich arbeite gerade an einem neuen Shop und dem Kollegen auf seinem Ubuntu 10.10 ist dabei aufgefallen, dass Buchstaben fehlen. Das Produkt heißt dann eben nicht mehr Kellermeister mit Weinflasche, sondern Kellermeister mit Weinasche und auch nicht Hirt mit Vogelkäfig, sondern Hirt mit Vogelkäg.

Ziemlich eindeutig ein Problem mit Ligaturen. Ich hab’s dann erstmal auf Linux geschoben und ignoriert. Dann hat mich aber doch der Ehrgeiz gepackt. Das ganze auf Firefox als schuldigen eingegrenzt und tatsächlich auf einen alten Beitrag von Peter Kröner gestoßen. text-rendering: optimizeSpeed; bringt dann auch das gewünschte Ergebnis unter Ubuntu 10.10 und der Käfig heißt nicht mehr Käg. Die Gegenkontrolle im Firefox auf dem Mac zeigt, dass das Problem weiterhin besteht, also die Lösung von Peter nur auf alte Firefox-Versionen eine Auswirkung haben. Will man auch den aktuellen Versionen diese Unart austrieben braucht man noch zusätzlich:

-moz-font-feature-settings: "liga=0";

Das schaltet die Ligaturen dann wirklich ab. Das Problem scheint nur bei manchen Webfonts aufzutreten, bei denen von Google konnte ich es bislang nicht beobachten, bei der hier verwendeten LHF Hensler von Letterhead Fonts hingegen schon.

Webseiten-Infektion mit gestohlenen Plesk-Passwörtern

Oder auch: The Sicherheitslücke strikes back. Im März machten Meldungen die Runde, dass eine Lücke im Plesk-Admin dazu genutzt werden konnte, um administrativen Zugriff auf das System zu erhalten. Wie sich jetzt zeigt hätte Plesk den Hinweis, doch man nach dem Einspielen des Patches alle Passwörter zu resetten, wesentlich plakativer auf die Seite schreiben sollen.

Wieso? Während wir uns vor kurzem noch darüber kaputt gelacht haben, dass LinkedIn Passwörter mit SHA1 ohne Salt verschlüsselt geht Plesk noch einen Schritt weiter, um es dem Angreifer möglichst einfach zu machen: Sie verschlüsseln die Passwörter erst gar nicht (bzw. erst seit Version 11). Wer also gedacht hat, dass das Problem mit dem Einspielen des Patches aus der Welt sei, weil eventuell gestohlene Passwörter ja erst geknackt werden müssten: Think again.
Besitzer von Plesk bis zur Version 10 können zur Beweisführung folgendes machen:

cat /etc/psa/.psa.shadow

präsentiert das Root-Passwort für die MySQL-Datenbank (das auch gleichzeitig das Admin-Passwort für Plesk ist) im Klartext. Und das ist nicht einmal ein Geheimnis, in der Plesk-KB wird genau das als Lösung beschrieben, sollte man mal sein Passwort vergessen haben!
Und auch sämtliche Passwörter für das Admin-Panel stehen unverschlüsselt in der Datenbank. Wer also einen Blick in psaaccounts wirft sollte sicherstellen, dass er sitzt.

Passwörter, die durch die Lücke im März gewonnen wurden, werden derzeit aktiv genutzt, um Webseiten zu kompromitieren. Aktuell wohl überall mit dem gleichen Schadcode, der in php, asp(x), html und js-Dateien eingefügt wird und bislang noch ziemlich eindeutig daran zu erkennen ist, dass er zwischen den Kommentaren /*km0ae9gr6m*/ und /*qhk6sa6g1c*/ eingeschlossen ist.
Da der Angriff über den Plesk-Admin stattfindet zeigen sich in den Logfiles der betroffenen Webauftritte keinerlei Auffälligkeiten. Die findet man aber in den Plesk-Access-Logs unter /usr/local/psa/admin/logs/ bzw. im Activity-Log, das man sich über die Plesk-Oberfläche laden kann. Aus letzterem geht auch hervor, mit welchem Benutzernamen zugegriffen wurde. Anders als bei UnmaskParasites aber vermutet gehe ich von automatisierten Angriffen aus, die Einträge im Log sind viel zu dicht beieinander als das da jemand manuell klicken würde.

Abhilfe

Nach meinem aktuellen Kentnisstand wird außer dem Einschleußen des Codes nichts weiter mit dem Server gemacht – obwohl man quasi alle Möglichkeiten hätte.

  • Zunächst gilt es also, sofern noch nicht geschehen, den Patch einzuspielen.
  • Danach durchsucht man den Server nach infizierten Dateien und säubert diese. Unter Linux kann man dazu grep und sed benutzen. Unter Windows wird man um eine Analyse des Plesk-Access-Logs nicht herumkommen.
  • Abschließend setzt man alle Passwörter zurück. Von Plesk gibt es ein entsprechendes Script.

Zusätzlich kann man noch folgendes machen:

  • Wer die Netze, von denen Zugriffe auf den Plesk-Admin erfolgen, klar definieren kann, kann den Zugriff auf dem Admin entsprechend einschränken: EinstellungenAdministratorzugriff einschränken.
  • Den Plesk-Admin mit einem serverseitigen Passwortschutz versehen. Eine entsprechende Anleitung findet sich hier.

Relaunch Weingut Apotheker Bartz

Den ein oder anderen Kontakt von meiner Zeit an der Mosel habe ich ja noch und manch einer ist auch noch Kunde. Wie das Weingut Apotheker Bartz. Und für die Homepage stand jetzt der Relaunch an.

Es galt nicht nur, das alte Layout durch ein neues, frisches und gleichzeitig edel aussehndes optisches Erscheinungsbild zu ersetzen, sondern auch die im Hintergrund werkelnde veraltete Technik mit Frames endlich ins 21. Jahrhundert zu bringen. Darüber hinaus musste noch der Shop mit übernommen werden, der technisch nicht modifiziert wurde und noch aus einer Zeit stammt, in der php4 der letzte heiße Scheiß war. Legacy-Code wie aus dem Bilderbuch quasi.

Als technische Grundlage wurde WordPress gewählt, die Texte wurden aus dem bestehenden Auftritt übernommen. Für den Shop wurde ebenfalls ein der neuen Optik angepasstes Template entwickelt.

Gehostet wird auf Uberspace und damit ist es mein erstes Kundenprojekt dort. Ich bin jedes Mal wieder begeistert vom Uberspace-Hosting. Es fühlt sich etwas an wie zu seligen Bürgernetzzeiten. Alles ist da, man kann sich fast nach belieben austoben, darüber hinaus ist alles spitzenmäßig dokumentiert und selbst den Legacy-Code vom Shop zum laufen zu bekommen, war, inklusive dem Nachinstallieren diverser PEAR-Pakete, so unglaublich einfach und schmerzfrei, man muss es selber gemacht haben, um es zu glauben.

Umziehen Part 4: Richtiges Zertifikat für den Proxy

Beim Umzug des Erzgebirge-Palastes ist noch etwas aufgefallen, das ich bislang im Rahmen der Umzugsservice-Reihe noch nicht behandelt hatte:

Wenn die umzuziehende Seite (auch) unter https erreichbar ist muss der Proxy ebenfalls mit dem richtigen Zertifikat ausgestatt sein. Glücklich, wer noch eine IPv4-Adresse frei hat. Ansonsten hagelt es Fehlermeldungen. Bedenken sollte man auch, dass es hinter dem Proxy unverschlüsselt weitergeht, ein solches Vorgehen ist also nur wirklich angebracht, wenn man sich anschließend in einer vertrauenswürdigen Umgebung bewegt.