Antragsgrün 3.6.9: Jetzt auch auf Französisch

Gestern erschien die Version 3.6.9 von Antragsgrün, die erstmals eine französische Übersetzung mit sich bringt.

Darüber hinaus wurden Fehler beseitigt, wie z.B. ein Problem mit einer nicht mehr aufgehobenen Fettung im Text beim PDF-Export und das Übernehmen von Änderungsanträgen, das unter der sehr alten PHP-Version 5.5 nicht funktionierte.

Alle Infos wie immer unter https://github.com/CatoTH/antragsgruen/blob/v3/History.md (englisch).

ePartool 4.4.0: Mehr Sprachen und Detailverbesserungen

Mit Version 4.4.0 des ePartool haben wir weiter an der technischen Basis gearbeitet und konzentrieren uns auf modernere Entwicklungsmöglichkeiten. Endlich sind auch weitere Sprachen integraler Bestandteil des ePartool.

Neu: Französisch, Polnisch, Tschechisch, Russisch und Arabisch

Das ePartool ist nun allgemein in mehreren Sprachen verfügbar: Neben den bisher bereits verfügbaren Versionen Deutsch und Englisch stehen nun auch Französisch, Polnisch, Tschechisch, Russisch und in einer ersten Testversion Arabisch zum Ausprobieren bereit. Die arabische Übersetzung ist allerdings noch nicht zum praktischen Einsatz bereit, da die Grafikelemente des ePartool noch nicht an eine Rechts-nach-Links-Schreibung angepasst sind.

Sprachauswahl im Admin-BereichDie Sprache der Plattform wird zentral eingestellt und kann nur von Administrator_innen im Redaktionsbereich verändert werden. Alle Besucher_innen der Plattform verwenden dann jeweils die eingestellte Sprache.

Detailverbesserungen

Die Datenbankdefinition wurde weiter vereinheitlicht, so dass Marker einer einheitlicheren Logik folgen (bisher gab es bei verschiedenen Tabellen inkonsistente Umsetzungen wie z.B. „Veröffentlichen“/„Noch nicht veröffentlichen”). Auch haben wir unklare Standardeinstellungen noch einmal überdacht und geklärt.

Bestimmte Skripte werden künftig nur noch dann geladen, wenn sie auch wirklich gebraucht werden, wie z.B. die Loginmöglichkeit mittels Google-Account. Dies wirkt sich positiv auf die Lade- und Ausführungszeit der Seiten aus.

Keine Phantom-Reaktionen mehr in der Dokumentenansicht

Wer sich über Reaktionen zur Beteiligungsrunde ansehen möchte, konnte diese Reaktionen einerseits als alleinstehende „Schnippsel“ oder im Kontext ihrer Veröffentlichung (z.B. als Beschlussdokument) ansehen. In dieser Gesamtansicht eines Reaktionsdokuments kann dann zwischen verschiedenen Abschnitten gewechselt werden und man erfährt, auf welche Beiträge andere Absätze die Reaktion darstellen. In der Realität gab es allerdings in den meisten Dokumenten zahlreiche Abschnitte, die keinerlei konkreten Bezug auf eine Beteiligungsrunde nehmen. Bisher zeigte das ePartool hier dennoch die Möglichkeit dem Verlauf/Pfad zu folgen. Das führte leicht zu Frustration, denn Pfade hatten oft keine weiteren Schritte. Nun haben wir auch dieses Problem gelöst: Die Dokumentenansicht von Reaktionen zeigt nur noch bei denjenigen Abschnitten einen „Folgen“-Button an, bei denen es wirklich etwas zu sehen gibt.

Reaktionsdokument: Folge VerlaufDer Bereich „Reaktionen und Wirkungen” ist sicherlich einer der spannendsten Bereiche des ePartool, allerdings technisch auch im Augenblick noch unser Sorgenkind. Da die verschiedenen Module ursprünglich von verschiedenen Programmierteams stammen, haben aufgrund der zusammenhängenden Logik von Beteiligungsrunden derzeit Veränderungen an einem Bereich oft unerwartete Konsequenzen in anderen Bereichen. Die interaktive Zeitleiste bei Reaktionen auf Beiträge produziert bei komplexeren Verknüpfungen derzeit öfters fehlerhafte Ansichten. Für Ende Juni ist daher die nächste Version des ePartool mit einer Komplettüberarbeitung dieses Moduls geplant.

Mehrsprachiger Installer bei Antragsgrün

Seit Kurzem stellt Antragsgrün auch eine englische Installationshilfe zur Verfügung. Weiterhin wurde das Installationspaket entrümpelt, so dass beim Entpacken unter Windows keine Warnmeldungen zu symbolischen Verknüpfungen mehr auftreten.

Neu ist, dass die Frist zur Einreichung von Anträgen und Änderungsanträgen nun auch für das Sammeln von Unterstützer*innen gilt. Des Weiteren wurden Fehler im Bereich der Konfigurationsseite und beim Export in PDFs behoben.

Der komplette Changelog befindet sich wie immer unter https://github.com/CatoTH/antragsgruen/blob/v3/History.md. Das fertige Installationspaket für Webhostings in Version 3.6.8 kann heruntergeladen werden unter https://www.hoessl.eu/antragsgruen/antragsgruen-3.6.8.tar.bz2.

Von glücklichen Pandabären: ePartool 4.3.2

Panda (Unicode-Symbol U+1F43C)Mit dem internen Codenamen »Happy Panda« veröffentlichen wir heute die Version 4.3.2 des ePartool. Der ungewöhnliche Beiname rührt daher, dass das ePartool nun den erweiterten Unicode-Standard in allen Modulen unterstützt. Konkret bedeutet das, dass wir neben allen Schriftzeichen der Erde nun auch alle Emojis unterstützen, theoretischerweise auch alle zukünftigen. Das Panda-Symbol 🐼 war unser Testbeispiel.

Als neues Sicherheitsfeature unterstützt das ePartool nun auch »Content Security Policy (CSP)«. Das bedeutet, dass man als Seitenbetreiber_in künftig festlegen kann, von welchen externen Quellen Inhalte nachgeladen und angezeigt werden dürfen. Wir testen derzeit noch verschiedene Möglichkeiten zur (möglichst übersichtlichen) Konfiguration und werden das Feature demnächst in einem eigenen Blogbeitrag vorstellen. [Update 30. Juni 2017: Beitrag ist hier zu finden]

Das ePartool wird künftig zur Kompatibilität mit PHP 7.x und MySQL 5.6 getestet. Derzeit wird zwar PHP in der Version 5.6 noch weiter unterstützt, jedoch testen wir die Kompatibilität ab Juni 2017 nicht mehr.

Das ePartool kann wie immer über die Installationsseite heruntergeladen werden.

ePartool: Mindestvoraussetzungen aktualisiert (PHP 7, MySQL 5.6)

Im August 2015 haben wir zum letzten Mal die Mindestanforderungen für den Betrieb des ePartool aktualisiert. Seitdem hat sich das Internet und seine Technologien bedeutend weiter entwickelt. Auch wollen wir Sicherheitsaspekte für Nutzende und Betreiber_innen im Auge behalten.

Aus diesem Grund haben wir uns entschieden, die Unterstützung für (sehr) veraltete Server einzustellen. Konkret bedeutet das, dass wir künftig als Datenbank-Server MySQL 5.6 oder neuer voraussetzen. Diese Version steht seit Februar 2013 zur Verfügung. Außerdem wird unsere Entwicklung nur noch mit PHP ab Version 7.0 getestet, das im Dezember 2015 erschienen ist. Derzeit wird das ePartool voraussichtlich noch auf Webhostings mit PHP 5.6 laufen; das werden wir jedoch nicht mehr garantieren.

Bei Problemen mit der Umstellung sind wir gerne behilflich.

Einladung zur Fachtagung: »Jugend gestaltet die digitale Gesellschaft« am 11. Mai in Berlin

EinladungGemeinsam mit unseren Projektpartnern in jugend.beteiligen.jetzt veranstalten wir eine Fachtagung mit dem Titel »Jugend gestaltet die digitale Gesellschaft«. Die Veranstaltung findet am 11. Mai in Berlin in der Hauptstadtrepräsentanz der Deutschen Telekom statt. Teilnahme und Verpflegung ist kostenlos; Reisekosten werden nicht erstattet.

Die Fachtagung setzt sich mit den Potenzialen der Jugendbeteiligung mit digitalen Medien auseinander. Es werden Anknüpfungspunkte für Politik und Verwaltung für eine jugendgerechte Gestaltung der digital geprägten Gesellschaft beleuchtet. Und es gibt die Möglichkeit live mit erfahrenen Tool-Entwickler_innen zu diskutieren.
Zielgruppe sind Interessierte aus der Jugend- und Bildungsarbeit, aus (Jugend-)Initiativen, aus Behörden und Verwaltungen, aus der Kommunal-, Landes- und Bundespolitik.
Weitere Infos, Programmentwurf und Anmeldung hier:

Öfter mal was Neues: Antragsgrün 3.6.2, 3.6.3 und 3.6.4 in kurzer Folge erschienen [Update 25.04.]

Um mehrere Schwierigkeiten und Fehler bei Antragsgrün und dem dazugehörigen Installer zu beheben, erschienen in den letzten Tagen in kurzer Folge drei neue Versionen des Programms (https://github.com/CatoTH/antragsgruen/blob/v3/History.md). Wir empfehlen euch vorhandene Installationen bald zu aktualisieren.

[Update 25.04.] Der intensiven Weiterentwicklung ist derzeit geschuldet, dass mittlerweile die Versionen 3.6.5 und 3.6.6 freigegeben werden konnten. Es handelt sich hierbei um weitere Fehlerbehebungen und kleinere Verbesserungen, damit Antragsgrün „runder“ läuft.

Der direkte Download der aktuellen Version 3.6.6 befindet sich hier.

 

Antragsgrün 3.6.1 – Fehlerbehebungen und verbesserte Nachvollziehbarkeit

Vor wenigen Tagen erschien die Version 3.6.1 von Antragsgrün, um ein paar Fehler der Version 3.6.0 zu beheben. Neu hinzugekommen ist ein interner Statusvermerk für gesichtete, aber noch nicht veröffentlichte Anträge/Texte. Weiterhin werden Anträge, die noch vor der Veröffentlichung zurückgezogen werden, nun nicht mehr sofort gelöscht, sondern mit einem besonderen Vermerk »Zurückgezogen« ausgezeichnet. Dies erhöht die Nachvollziehbarkeit für Backend-Nutzer*innen, die sich bisher über vermeintlich verschwundene Beiträge gewundert hatten.

Alle Infos wie immer unter https://github.com/CatoTH/antragsgruen/blob/v3/History.md (englisch).

Hilfe, wir wurden gehackt! – Sicherheit bei digitalen Angeboten

Beinahe täglich werden Fälle von Sicherheitslücken, Hackingangriffen und „Datendiebstahl“ veröffentlicht. Davon auszugehen, dass man mit einem kleinen Internetangebot im Netz unattraktiv für Angriffe ist, erweist sich als Trugschluss. Es trifft große und kleine Plattformen, Onlinehops oder Websites gleichermaßen: Automatisiert werden Sicherheitslücken ausgenutzt, um Schadsoftware weiterzuverbreiten, Passwörter abzugreifen oder Spam zu verteilen. Schutzmaßnahmen gegen solche Angriffe müssen heute bereits Bestandteil der Planung eines Internetangebots sein. Aber auch im laufenden Betrieb lässt sich mitunter mit geringem Aufwand die Integrität der eigenen Plattform und die Sicherheit der Teilnehmenden deutlich erhöhen.

Grafik: GR8DAN, CC0 1.0 (https://creativecommons.org/publicdomain/zero/1.0/deed.de)

Der Aufbau neuer Angebote im Netz ist eine spannende und oft anspruchsvolle Aufgabe: Es gilt – zumeist in Kooperation – die detaillierte Funktionalität zu entwickeln, ein passendes Design abzustimmen und immer wieder in Bereichen, die vorher noch nicht ganz durchdacht waren, nachzusteuern. Während man sich in der Regel darüber im Klaren ist, dass sich die Inhalte einer neuen Plattform später noch weiter entwickeln werden, werden Aspekte wie Zugänglichkeit, Hilfen in leichter oder einfacher Sprache oder Sicherheit eher nur zu Beginn thematisiert und umgesetzt. Sobald das Web-Angebot online ist, wird diesen Aspekten kaum noch Beachtung geschenkt: Die Website scheint ja nach bestem Wissen abgesichert; und auch für Menschen mit mobilen oder visuellen Einschränkungen vorbereitet zu sein. Also nichts mehr zu tun, oder?

Der Schrecken ist groß, wenn man nach einer Weile merkwürdige Beiträge auf seiner Site entdeckt, wenn aus unerklärlichen Gründen der Speicherbedarf riesengroß wurde oder der Provider auf einen möglichen Einbruch hinweist.

Was bedeutet eigentlich ein Hackingangriff und warum ist er schlimm?

Hinter einem Angriff steckt nur selten eine konkrete Person. Meist handelt es sich um Programme, insbesondere spezialisierte Bots, die systematisch nach Schwachstellen auf Internetservern suchen. Diese Schwachstellen werden dann von den Bots selbst oder von Anderen für unerwünschte Aktivitäten ausgenutzt.

Konkret sind Schwachstellen z. B. häufig in Formularen zu finden, die die Nutzerdaten nicht sicher von unerwünschten Eingaben befreien: Eine Internetsite kann dadurch dazu gebracht werden, die Eingabe nicht als Daten, sondern als Befehle zu interpretieren. Aber auch das „Einklinken“ fremder Inhalte ist häufig zu leicht möglich.

Für Betreiber*innen von betroffenen Internetangeboten bedeutet das eine Reihe von Problemen. Am offensichtlichsten sind das Abfließen von personenbezogenen Daten, das Abgreifen von Login-Daten (weil viele Nutzer*innen dasselbe Passwort oft auch woanders verwenden), das Einbauen von unerwünschten Inhalten oder das Verteilen von Schadsoftware und Spam-Mails vom Server aus.

Auch kleine Websites sind für Angreifer*innen interessant: Sie können genutzt werden, um monatelang unbemerkt illegale Downloads in allen ihren Facetten anzubieten oder um die Website als Teil eines Botnets einzusetzen, das andere Server durch millionenfache Anfragen in die Unbenutzbarkeit kickt.

Neben den direkten Konsequenzen für die Website-Besucher*innen kommen überdies auch weitere Folgen auf die Betreiber*innen zu: Suchmaschinen könnten das Internetangebot auf ihre schwarze Liste gefährlicher Sites nehmen. Bei nachgewiesener Nachlässigkeit drohen Kündigung durch den Provider oder gar juristische Konsequenzen. Und nicht zu vergessen ist der Vertrauensverlust bei den Nutzer*innen, der lange Zeit nachhallen wird.

Das beste Mittel: Es gar nicht so weit kommen lassen

Betreiber*innen sollten sich daher schon vorher regelmäßig darum kümmern, dass das eigene Internetangebot aktuellen Sicherheitsanforderungen genügt. In den meisten Fällen wird man die zugrundeliegende Software auf dem Server nicht selbst entwickelt haben, sondern vorgefertigte Content-Management-Systeme wie Typo3 oder WordPress einsetzen. Die wichtigste Regel hierbei lautet, dass alle Updates dieser Systeme so schnell wie möglich auf dem eigenen Server eingespielt werden sollten: Wo Schwachstellen beseitigt wurden, hat ein Einbruchsversuch geringere Aussicht auf Erfolg. Oben genannte CMS werden beim Einrichten einer Website häufig durch Plug-ins erweitert, deren Qualität sehr unterschiedlich ist. Hier sollten diejenigen, die die Auswahl der Plug-ins treffen, auch die Zukunft im Blick haben: Wenn Plug-ins nicht mehr aktiv weiterentwickelt werden, ist davon auszugehen, dass früher oder später Schwachstellen auftreten, die dann nur mit professioneller Hilfe oder gar nicht mehr abgesichert werden können.

Gleichzeitig gibt es sehr hilfreiche Plug-ins, die beispielsweise Kommentarfelder auf mögliche Spambots überprüfen und so unerwünschte Nachrichten auf der eigenen Website sogar abwehren können.

Um zeitnahe Updates sicherzustellen, muss man nicht täglich alle Hersteller-Websites abklappern: Automatische Benachrichtigungen und Newsletter können behilflich sein. Eine Überprüfung auf Aktualisierungen benötigt häufig weniger als eine Stunde pro Vierteljahr – und sollte im besten Fall sogar täglich geschehen.

Sollte der Server nicht bei einem Webhosting-Provider angemietet worden sein, sondern selbst aufgesetzt und betrieben werden, dürfen die regelmäßigen Updates fürs Betriebssystem und die darauf laufenden Dienste wie Programmiersprachen, Web- und Datenbank-Server nicht vernachlässigt werden.

Zugangspasswörter von Nutzer*innen zu schützen, ist eine der Kernverantwortlichkeiten von Anbieter*innen. So muss z. B. verhindert werden, dass das System endlos neue Login-Versuche mit zufälligen Passwörtern zulässt. Gut ist es, wenn jeder fehlerhafte Login-Versuch eine kurze Zwangspause nach sich zieht. Damit können Angreifer*innen statt tausender Testballons nur noch wenige Anfragen im selben Zeitraum senden.

Auf älteren Internetangeboten werden Passwörter häufig nicht so hinterlegt, dass sie gegen Auslesen geschützt sind. Dies ist besonders problematisch, da Nutzer*innen oftmals dieselben Passwörter auf verschiedenen Sites verwenden. Ein Abgreifen auf einem Server zieht also Probleme auf weiteren Angeboten nach sich. Auf keinen Fall sollten Passwörter im Klartext abgespeichert sein. Durch das Bilden eines „Hash“, einer Art Quersumme bestehend aus mehreren Zeichen, können Betreiber*innen sogar ganz davon absehen, das tatsächliche Passwort auf dem Server zu hinterlegen: Die Kennworteingabe wird einfach ebenfalls „gehasht“ und mit dem hinterlegten Wert verglichen. Die Standards dieser Absicherung haben sich im Laufe der Jahre verändert. Bei älteren Sites ist daher möglicherweise der Umstieg auf einen neueren Standard ratsam. Das bedeutet jedoch, dass alle Nutzer*innen ihre Passwörter selbst einmal neu vergeben müssen: Neue Kennwörter unverschlüsselt per E-Mail zu verschicken ist dabei keine gute Idee.

Eine Verbindungsverschlüsselung zum Internetangebot sollte heutzutage Standard sein: Erst wenn Nutzer*innen eine Website über https statt über http aufrufen können, ist die Eingabe personenbezogener Daten und Passwörtern vor fremden Einblick abgesichert. Das gilt übrigens auch für die administrativen oder redaktionellen Logins, die man zum Pflegen der Inhalte braucht.

Hilfreich bei der Einschätzung von möglichen Sicherheitslücken sind Dienste wie das Mozilla-Observatory, das ein Internetangebot auf viele potenzielle Angriffspunkte überprüft und hilfreiche Infos zum Absichern gibt. Dabei muss man jedoch stets Augenmaß behalten: Nicht alle Absicherungen sind sinnvoll, wenn dadurch das Internetangebot nur noch umständlich nutzbar wird und Nutzer*innen möglicherweise fernhält.

Websites, die nicht mehr aktiv bespielt werden, sondern lediglich aus dokumentarischen Zwecken online erreichbar bleiben sollen, kann man überdies auch für lange Zeit absichern, wenn alle datenbankgenerierten Inhalte einmalig als statische Seiten exportiert werden und der Datenbankserver abgeschaltet wird. Da alte Projektwebsites in der Regel seltener aufgerufen werden, könnte ein Servereinbruch eine Weile unbemerkt bleiben.

Auch ist „automatisches Vergessen“, d. h. automatisiertes Löschen nach einem gewissen Zeitraum, ein guter Ansatz. Nicht mehr benötigte Daten werden entfernt, bevor sie für unerwünschte Zwecke missbraucht werden können.

Grundsätzlich gilt: Alle Daten, die nicht erhoben werden, können später auch nicht in fremde Hände abwandern. Das Prinzip der Datensparsamkeit ist also weiterhin eine sinnvolle Herangehensweise. Und Hand aufs Herz: Benötigt man von Nutzer*innen wirklich alle Angaben – von Alter über Stadtteil bis hin zu Hobbys?

Sich als Anwender*in schützen

Entgegen der landläufigen Meinung stellen nicht Antivirus-Programme das A und O der Absicherung dar, sondern regelmäßige Updates des genutzten Betriebssystems und der darauf laufenden Software. Ein Antivirus-Programm kann sogar neue Sicherheitslücken ins System reißen, so dass manche renommierte Entwickler*innen sogar gegen Antivirus-Programme wettern.

Passwörter sollten eher lang (14 Zeichen oder mehr) und mit einer Eselsbrücke zu merken sein. Kurze, aber kryptische Kombinationen führen eher dazu, dass man die Passwörter vergisst. Da Angreifer*innen in sogenannten Brute-Force-Attacken einfach alle möglichen Kombinationen durchprobieren, ist jedes Extrazeichen ein deutlicher Sicherheitszugewinn: Allein wenn man die 26 Buchstaben in Groß- und Kleinbuchstaben und die Ziffern 0-9 heranzieht, dann bedeutet jedes zusätzliche Zeichen eine 62-fach höhere Sicherheit! Empfehlenswert ist natürlich auch der Rückgriff auf Sonderzeichen an unerwarteter Stelle, dann sind Attacken auf Basis von Wörterbüchern weniger Erfolg versprechend.

Überraschend ist möglicherweise auch die Erkenntnis, dass Adblocker, also Browser-Erweiterungen, die das Einblenden von Werbung verhindern sollen, den eigenen Rechner auch besser absichern: Leider ist in der Vergangenheit gerade über die Werbenetzwerke, die selbst auf großen Onlinemagazinen zum Einsatz kommen, oftmals Schadsoftware an die Besucher*innen verteilt worden.

Und wenn doch einmal etwas schiefläuft

Wenn doch einmal ein Servereinbruch stattgefunden hat, dann gilt es dennoch Ruhe zu bewahren. Die betroffenen Dienste sollten so schnell wie möglich offline genommen werden, bis sie wieder in abgesicherter Weise zur Verfügung stehen. Auch den Nutzer*innen gegenüber sollte man transparent sein: Dies zeigt, dass man vertrauenswürdig bleibt selbst in Problemsituationen. „Security by obscurity“, also Sicherheit durch Verheimlichen vorzutäuschen wird langfristig nicht helfen. Auf Sicherheitslücken spezialisierte Suchmaschinen stehen in den Tiefen des Internets schon zur Verfügung.

CC BY 3.0 DE
Tim Schrock arbeitet beim Deutschen Bundesjugendring und ist innerhalb des Projekts jugend.beteiligen.jetzt zuständig für die Entwicklung digitaler Tools für Jugendbeteiligung.

Uns und unsere Tools kennen lernen – Besucht uns auf dem DJHT!

Logo jbj

jugend.beteiligen.jetzt beim 16. DJHT

Vom 28. bis 30. März findet in Düsseldorf der Deutsche Jugendhilfetag (DJHT) statt. Im Rahmen der Messe und der parallel stattfindenden Fachkongresse wird auch unser Gemeinschaftsprojekt jugend.beteiligen.jetzt – für die Praxis digitaler Partizipation zugegen sein. Am Mittwochmorgen führen wir einen Workshop auf dem Fachkongress unter dem Titel „Jugendbeteiligung mit digitalen Werkzeugen“ durch. Interessierte sind herzlich eingeladen! (Raum 14, Mittwoch, 29.03., 9:00-10:00 Uhr)

Durchgängig sind wir außerdem zu finden mit einer Themeninsel am Messestand der Koordinierungsstelle „Handeln für eine jugendgerechte Gesellschaft“ (Halle 3, C 17). Wir freuen uns auf Gespräche mit euch!

Weitere Infos zu weiteren Aktivitäten des Projekts jugend.beteiligen.jetzt auf dem DJHT finden sich unter https://jugend.beteiligen.jetzt/aktuelles/news/jugendbeteiligenjetzt-beim-djht.