Webseite

Seit langer Zeit habe ich hier keinen neuen Beitrag mehr veröffentlicht. Was im Gegensatz zur Veröffentlichungsfrequenz neuer Artikel jedoch enorm gestiegen ist, sind die Anmeldeversuche an der hiesigen WordPress-Instanz. WordPress und die wenigen installierten Addons aktualisieren sich zwar automatisch, aber es bleibt immer das ungute Gefühl, irgendwann doch von einer Lücke im PHP-Code oder gar im PHP-Interpreter betroffen zu sein und sich dann zumindest Arbeit und evtl. auch Ärger einzuhandeln.

Seit Mitte 2016 wurde hier ein eigenes Forum betrieben, welches als Erweiterung der Kommentare zu den Beiträgen dieses Blogs gedacht war. Besonders ein Beitrag mit über 100 Kommentaren verlangte nach einer Lösung, denn allein der Seitentext umfasste schon mehr als die durch den hier eingesetzten Seitencache maximal verarbeitbare Größe.

So mauserte sich das Forum 2016 zu einem sinnvollen Zusatz zum Blog.

Seit 2018 jedoch wurden die Kommentare weniger, die Bots waren auf das Forum aufmerksam geworden und registrierten oft mehrmals täglich neue Bot-User. Glücklicherweise hat es in der ganzen Zeit nur ein Bot ein einziges Mal geschafft, Spam zu posten. Die mit der Forensoftware SMF mitgelieferte Captcha-Lösung war für die Bots leider kein Problem. Besserung versprach das Einbinden von Googles reCaptcha zur Registrierung.

Bilder sind ein Hingucker. Eine gut gemachte Grafik zum Thema lockert den Textfluß auf und sorgt bei geschicktem Einfügen in den Text für kleine Pausen beim Lesen längerer Artikel. Das Problem: woher bekommt der Hobby-Blogger Bilder, die er auf seinem Blog ohne schlechtes Gewissen und rechtlich unbedenklich verwenden darf? Gegen Geld ist natürlich jede Qualität und Quantität zu haben. Bei den meisten privat betriebenen Blogs dürfte allerdings der Geldbeutel mit den meist hohen Lizenzgebühren für ein einziges Bild überfordert sein.

Nach der Umstellung auf Zertifikate von Let’s Encrypt hat sich das Ranking des Blogs in Bezug auf sichere Transportverschlüsselung gegenüber der vorherigen Konfiguration weiter erhöht. Gründe dafür sind der verwendete Signaturalgorithmus SHA256 für den Zertifikatskey und der Einsatz von HSTS.

HSTS kann in Nginx ganz einfach mit einer einzigen Zeile an entsprechender Stelle aktivieren werden:

add_header Strict-Transport-Security max-age=31536000;

Dadurch wird festgelegt, dass der Browser für den angegebenen Zeitraum (hier 31536000 Sekunden = 365 Tage) ausschließlich verschlüsselte Verbindungen mit dieser Domain nutzt. Da diese Einstellung im Browser des Besuchers gespeichert wird, sollte vor der Aktivierung unbedingt getestet werden, ob auf der Webseite auch wirklich nur Ressourcen eingebunden sind, die per HTTPS abgerufen werden können.

Ich muss hier mal ein großes Danke an alle neuen und alten Leser richten! Folgende Grafik macht mich stolz und bestärkt mich darin, für euch immer wieder neue Sachen aufzuschreiben.

Schon lange hatte ich den Wunsch, meinen Lesern eine Möglichkeit zu bieten, Beiträge zu bewerten. Viele Leser scheuen sich, bei einem schlecht verständlichen Artikel einen Kommentar abzugeben, was mir jedoch als Feedback fehlt, um den jeweiligen Artikel zu verbessern. Ebenso nimmt sich bei brauchbaren Artikeln kaum jemand die Zeit, seine E-Mail-Adresse einzugeben und dann ein “Guter Artikel” oder dergleichen zu hinterlassen. Ein einzelner Klick dagegen ist hoffentlich leichter ausgeführt.

Gleichzeitig wollte ich endlich eine Möglichkeit schaffen, unter den Artikeln eine Statistik einzublenden die anzeigt, wie oft ein Artikel gelesen wurde. Die einfachen Möglichkeiten, einen “dummen” Besucherzähler zu manipulieren, waren ein zusätzliches Auswahlkriterium.

Wie vielleicht einigen Lesern aufgefallen sein dürfte, erzwinge ich seit Längerem einen verschlüsselten Abruf der Webseiteninhalte auf meinem Blog mit HTTPS. Warum eigentlich? In diesem Blog werden keine persönlichen Daten oder gar Kreditkartennummern übertragen. Einen Schutz mit Verschlüsselung braucht es also eigentlich gar nicht, oder?

Doch, meine ich. Denn jeder, der Zugang zum Übertragungsweg zwischen einer aufgerufenen Webseite und Eurem Browser hat kann ohne Verschlüsselung mitlesen, welchen Artikel Ihr gerade aufruft, was Ihr lest, wo Ihr kommentiert. Mit diesen Daten lassen sich Interessenprofile erstellen, an denen nicht nur Firmen interessiert sind.

Nach der Umstellung von Apache auf Nginx, der Installation von HHVM und dem Anpassen der HTTPS-Parameter läuft das Blog hier jetzt mehr als flott und die Sicherheit wird mit dem besten Ranking bewertet. Yeah!

Mit Nginx kann ich endlich auch die SSL-Parameter so anpassen, dass PFS unterstützt wird (was mit dem in Debian 7 mitgelieferten Apache 2.2 bisher nicht möglich war). Das Ergebnis zeigt die sehr gute Bewertung durch Qualys SSL Labs:

Allen Lesern des Blogs ein gesundes und erfolgreiches Jahr 2013!

Liebe Kommentar-Spammer,

bitte kommt in ausreichender Anzahl, möglichst bei jedem Artikel dieses Blogs vorbei und hinterlasst dort euren Müll. Das absolut geniale WordPress-Plugin Antispam Bee kümmert sich um euch. Und als sehr schöner Nebeneffekt tragt ihr dazu bei, dass nach einem Leeren des Seitencaches der Cache schnell wieder aufgebaut wird und die Seiten wieder schnell an die eigentlichen Leser ausgeliefert werden können.

Für eure fleißige Arbeit habt ihr euch ein Dankeschön verdient.