Schneller und ab jetzt einfach(er) zu updaten: ePartool 4.5.3

Das ePartool ist in Version 4.5.3 erschienen. Wir haben uns um die notwendigen Geschwindigkeitsverbesserungen der Reaktionen-Zeitleiste gekümmert. Hier kann man nun beliebig vor- und zurückklicken, ohne sich auf Ladeverzögerungen einstellen zu müssen.

Update | https://pixabay.com/de/service/license/Künftig Updatemöglichkeiten zurück bis Version 4.5.0

Endlich können wir aber allen Einsetzenden des ePartool eine geordnete, relativ untechnische Updatemöglichkeit anbieten. Damit behaltet ihr künftig einfacher die Möglichkeit, das ePartool immer zum neuesten Stand einzusetzen.

Hierfür existiert ab sofort neben dem Installer-Paket auch ein Upgradepaket. Dieses muss lediglich heruntergeladen, entpackt und über die bestehende Installation geschrieben werden. Allerdings ist es empfehlenswert, vorher bestimmte Dateien als Backup zu sichern. Hier die empfohlene Schritt-für-Schritt-Vorgehensweise:

  1. Erstellt ein Backup von application/configs/*.local.ini
  2. Erstellet ein Backup von www/media
  3. Die Dateien des Updatepakets über die bestehende Installation schreiben.
  4. Sicherheitshalber die gesicherten Config- und Mediadateien überprüfen und sie ggf. zurückkopieren (das sollte aber eigentlich nicht notwendig sein).

Seit Version 4.5.0 hat sich die Datenbankstruktur des ePartool nicht verändert, daher ist keine weitere Ausführung eines Update-Skriptes o.ä. notwendig.

Gerne hätten wir eine voll-automatisierte Updatefunktion angeboten, ähnlich wie sie z.B. bei WordPress eingebaut ist. Hierfür wären allerdings noch weitere Aspekte einer durchgängig sicheren und entsprechend vorbereiteten Infrastruktur notwendig, so dass wir diesen Schritt (noch) nicht gehen können. Aber wir werden an weiteren Verbesserungen arbeiten.

Installations- und Updatepakete sind über die Seite Download / Installation erhältlich.

In eigener Sache: Tooldoku übersichtlicher

Regelmäßige Besucher_innen werden es schon bemerkt haben: Wir haben in den letzten Tagen an einigen Stellen der Tooldoku-Website geschraubt.

Screenshot neuer Tooldoku-KopfbereichDer Tooldoku-Blog war vor einigen Jahren gestartet worden, um die Entwicklung des ePartool zu begleiten und zu dokumentieren. Mittlerweile sind weitere Tools hinzu gekommen und die Entwicklung selbst findet nun dank des Gemeinschaftsprojekts jugend.beteiligen.jetzt in einem stabileren Rahmen statt.

Um dieser Entwicklung Rechnung zu tragen, haben wir sowohl den Blog wie auch die weiteren Seiten etwas umstrukturiert und das Hauptmenü entschlackt. Damit die neuesten Blogbeiträge zu genau dem Tool, für das man sich gerade interessiert, schneller findet, gibt es nun für den Blog rechts eine Auswahlmöglichkeit »THEMEN & KATEGORIEN«.

Und nicht zuletzt haben wir auch den technischen Stand aktualisiert: Die Tooldoku-Website läuft nun auf PHP 7.

Kleines Fehlerbehebungsupdate: ePartool 4.5.1

Heute veröffentlichen wir ein kleines Fehlerbehebungsupdate für das ePartool: Mit der Version 4.5.1 wurden mehrere kleine Korrekturen im Bereich „Reaktionen & Wirkungen“ vorgenommen. Das betrifft insbesondere die Textboxen in der Zeitleiste, bei denen die Anzeige des Abstimmungsrang und der Dokumentvorschau korrigiert wurde.

Weiterhin erschienen Systemmeldungen im Backend in der letzten Version nicht immer in der eingestellten Sprache. Ebenso wurde noch ein Abbruchfehler beim Installer behoben.

An der Verbesserung des Follow-up-Bereichs arbeiten wir derzeit auch weiterhin: Nach ersten Nutzerrückmeldungen bei Tests soll die Verfolgung von Originalbeitrag bis hin zu Rückmeldungen aus der Entscheider_innen noch etwas intuitiver werden. Hier gibt es bald weitere Neuigkeiten.

Derzeit bekanntes Problem ist, dass der Button »Herunterladen« eines Reaktionsdokuments von der Zeitleiste aus unter dem Firefox-Browser nicht funktioniert. [Update 1. August: Mit der ePartool-Version 4.5.2 ist dieses Problem behoben.] Umschiffen kann man das Problem durch Aufrufen der Reaktionsdokumente direkt von der Startseite des Bereichs »Reaktionen & Wirkung«.

Wie immer findet sich der aktuelle Installer auf unserer Downloadseite zum ePartool.

Antragsgrün 3.7.0 – neue Funktionen im Betatest

Das Wichtigste: Antragsgrün 3.7.0 erleichtert vor allem die Diskussion von Texten, für die viele Änderungsvorschläge eingegangen sind.

In wenigen Tagen erscheint Antragsgrün in Version 3.7.0. In diese neue Version flossen zahlreiche Rückmeldungen aus Jugendverbänden und -initiativen ein. Im Folgenden geben wir Euch einen Überblick über die neuen Funktionen. Die aktuelle Betaversion kann auf der Entwicklerseite-Downloadseite bei Github heruntergeladen werden. Nach unserer Einschätzung eignet sie sich schon ganz gut für den produktiven Einsatz.

 

Darstellen und Übernehmen von Änderungen

Die größte Herausforderung beim gemeinsamen Diskutieren von Texten auf Papier und online besteht darin die Übersicht zu behalten, wenn sich viele Änderungsvorschläge auf dieselben Textstellen beziehen. Hierbei bringt Antragsgrün einige Verbesserungen mit:

Bei der Diskussion gerade von inhaltlichen Anträgen ist es oft nützlich, wenn die ursprünglichen Verfasser*innen Änderungsvorschläge von Anderen direkt übernehmen können. Diese Möglichkeit kann nun über die Einstellungen einer Veranstaltung eingerichtet werden. Diese Funktion kann dabei auf die Fälle beschränkt werden, in denen die Vorschläge nur 1:1 übernommen werden.

Die ursprünglichen Initiator*innen von Texten/Anträgen können eine E-Mail erhalten, wenn ein Änderungsvorschlag zu ihrem Entwurf eingeht. Das erlaubt gerade bei langen zeitlichen und räumlichen Distanzen eine schnellere Reaktion darauf, noch bevor weitere, überschneidende Änderungsvorschläge eingehen. Diese Benachrichtigungsfunktion ist standardmäßig eingeschaltet.

Die Ersetzung mehrerer aufeinander folgender Abschnitte in einem Änderungsantrag wird nun sinnvoller dargestellt: zuerst alle Löschungen, dann alle Einfügungen. Bisher erfolgte die Darstellung abwechselnd, was verwirrend sein konnte.

Umfassende Änderungsanträge können nun als »Globalalternativen« ihres Bezugstextes markiert werden, wobei der gesamte Inhalt des ursprünglichen Antrags ersetzt wird. Dieser Änderungsvorschlag wird nicht mit einem »Inline-Diff« angezeigt, da dies keine sinnvolle Darstellung mehr ergäbe. Wenn eine Globalalternative mit einem Ursprungsantrag zusammengeführt wird, entspricht das einer vollständigen Ersetzung; entsprechend werden keine weiteren Änderungsanträge in die neue Version des Textentwurfs verschoben.

 

Bessere Übersicht bei der Live-Diskussion

Antragsgrün kann die gemeinsame Textbearbeitung über große Distanzen unterstützen als auch eine Live-Diskussion vor Ort. Gerade der Visualisierungsmodus (»Änderungen einpflegen«) erleichtert eine Diskussion im Rahmen einer Konferenz, da alle Teilnehmenden klar vor sich sehen können, über welchen Abschnitt gerade beraten wird. Nachteilig erwies sich dabei, dass die Teilnehmenden dadurch andere Textstellen, die vor oder nach dem aktuell visualisierten Bildausschnitt lagen, nicht ansehen oder zu Vergleichen heranziehen konnten. Auch konnten bereits diskutierte Änderungen nicht selbst noch einmal überprüft werden, solange der diskutierte Text in einer Revision allgemein wieder veröffentlicht wurde. Antragsgrün speichert nun die Live-Diskussion periodisch als aktuellen Zwischenstand. Dieser Zwischenstand kann über die Einstellungen als öffentlich festgelegt werden, so dass sich auch alle Teilnehmenden (und sogar Zugriffsberechtigte aus der Ferne) auf ihren eigenen Endgeräten Zugriff auf alle Textstellen mit minütlich aktualisiertem Stand verschaffen können.

Bei Löschvorschlägen zeigt Antragsgrün diese rot markiert mit einer durchgezogenen Linie an. Der Texteditor erlaubte zugleich ebenfalls das Durchstreichen als Formatierung. Das führte schnell zu einer Verwirrung der Mitwirkenden bei der Diskussion. Daher ist diese durchstreichende Formatierung nicht mehr erlaubt.

 

Admin-Rollen und Veranstaltungsverwaltung

Bislang galt: Eine Admin-Rolle hat Zugriff auf die gesamte Antragsgrün-Installation. Oft aber kümmern sich Personen um einzelne Veranstaltungen, die nicht auf andere Veranstaltungen Zugriff haben sollten. Dies ist nun möglich: Die Administrationsrollen können nun pro Veranstaltung eingerichtet werden, ohne gleich Zugang zu allen bisherigen und künftigen Textdiskussionen gewähren zu müssen.

Die Zeitstempel eines Antrags oder eines Änderungsvorschlags zeigen nun den Zeitpunkt an, zur denen die Texte offiziell eingereicht wurden – und nicht mehr wann die ersten Entwürfe angelegt wurden. Letzterer Zeitpunkt wird nur noch solange angezeigt, solange die Einreichung noch nicht vorgenommen wurde.

Es ist nun möglich, den Typ eines Texts/Antrags nachträglich zu ändern. Dies funktioniert jedoch nur zwischen strukturell ähnlichen Typen (Vorlagen).

Wenn ein Antrag auf Basis eines anderen erstellt wird (durch Admin-Rolle), werden künftig nicht nur die Originalinitiator*innen, sondern auch die Textbestandteile geklont.

 

Aufgeräumt: Kein Unterstützung mehr für Internet Explorer 9

Der Microsoft Internet Explorer 9 erschien im Jahr 2011, aus Perspektive von Web-Entwicklung liegt das eine Ewigkeit zurück. Auch wenn der IE9 den letzten von Microsoft veröffentlichten Browser für Windows 7 darstellt, wird bei der Antragsgrün-Entwicklung keine Rücksicht mehr auf Kompatibilität mit diesem Browser mehr geachtet. Wir empfehlen Euch ggf. auf alternative Browser wie Mozilla Firefox umzusteigen.

Im Kernsystem von Antragsgrün wurden viele Pakete aktualisiert und etwas aufgeräumt. Sehr selten benutzte Bibliotheken für Redis, Excel-und SAML-Authentifizierung sind nicht mehr Teil der Standardinstallation, wodurch die Größe des Installationspakets verringert wird. Bei Installation auf einem dezidierten Server (also wenn man vollen Zugriff auf den Server hat, was bei kleinen Webhosting-Paketen nicht der Fall ist) können diese Funktionsbibliotheken jedoch als optionale Abhängigkeiten installiert werden.

 

Hilfreicher Tipp: Antragsgrün-Handbuch online

Die Antragsgrün-Software umfasst mittlerweile einen großen Funktionsumfang. Um Unterstützung zu bestimmten Fragen oder Themen zu erhalten, kann man seit Kurzem auch auf das deutschsprachige Handbuch zu Antragsgrün zurückgreifen, das online verfügbar ist unter: https://antragsgruen.de/help

Antragsgrün Handbuch online

Reaktionen und Wirkung reloaded: ePartool 4.5.0

Das lange Warten hat ein Ende: Endlich können wir euch ein neues »Follow-up-Modul« präsentieren. Das, was im ePartool als »Reaktionen und Wirkung« auf eure Beiträge angezeigt wird, wurde einer kompletten Neuprogrammierung unterzogen.

 

Reaktionen und Wirkungen leichter nachvollziehbar machen

Beteiligungsrunden sollten nicht bei der Abstimmung über Beiträge aufhören: Das ePartool bietet deshalb schon seit mehreren Jahren einen eigenen Bereich, in dem Reaktionen und Wirkungen der Beiträge dargestellt werden können. Erfreulicherweise waren Beteiligungsprozesse, die über das ePartool durchgeführt wurden, aufwändiger und ergebnisreicher als wir es ursprünglich absehen konnten. Daher haben wir uns entschlossen, den Follow-up-Bereich einer Frischzellenkur zu unterziehen.

Uuund Action! Welche Art von Reaktion gab es auf einen Beitrag? Wie genau sieht die Wirkung aus? Um dies in Zukunft schneller erfassbar zu machen, haben wir Symbole für die Art des Follow-ups eingeführt: Schnell lässt sich jetzt erkennen, ob eine konkrete Aktion erfolgte, ob ein Vorschlag im Rahmen eines demokratischen Prozesses abgelehnt wurde, oder ob ein_e Entscheidungsträger_in immerhin unterstützend auf den Beitrag reagiert hat. Das Ende eines Prozesses kann ebenfalls angezeigt werden – so müssen die Interessierten nicht mehr darauf warten, ob weitere Schritte ins ePartool eingespielt werden: Auch ein Monitoringprozess wird irgendwann zu Ende sein.

Vorwärts und rückwärts: Die interaktive Zeitleiste ermöglichte seit Anfang an, den Werdegang eines Beitrags nachzuvollziehen. Wo wurde er weiter behandelt? Der umgekehrte Weg ist allerdings auch interessant: Künftig ist es auch möglich, aus Follow-up-Dokumenten, Beschlüssen o.ä. den Weg zurück zum Ursprung zu nehmen: Mit welcher Forderung, mit welchem Vorschlag fing es an?

Besser erreichbar und leichter aufzufinden: Während bislang Reaktionen auf Beiträge ausschließlich über den Bereich »Reaktionen und Wirkung« zu finden waren, suchten viele Nutzer_innen vergebens über den Reiter »Beiträge«. Dies hat sich geändert – auch hier wird nun bei jedem Beitrag angezeigt, wenn er bereits Reaktionen hat. Ein Klick darauf öffnet die interaktive Follow-up-Zeitleiste.

 

Technisch haben wir die Follow-up-Zeitleiste auf eine neue Technik gesetzt (Javascript-Bibliothek React), um so in Zukunft flexibler auf Veränderungsbedarfe eingehen zu können. Als letztes Modul ist nun auch die Zeitleiste wirklich durchgehend mehrsprachig.

Die neue Funktionalität steht bereit und kann bereits produktiv eingesetzt werden. Allerdings kümmern wir uns derzeit noch darum, ein paar der „Ecken und Kanten“ zu beseitigen, die das neue Modul im ePartool noch mitbringt. Dieser Feinschliff wird sich in einer aktualisierten Version niederschlagen, die voraussichtlich Mitte Juli erscheinen wird.

 

Weniger ist mehr: Entschlackung der Titelseite

Gut gemeint ist nicht immer gut gemacht: Seit der visuellen Überarbeitung 2012 hat das ePartool bereits auf der Titelseite mit kräftigen News-Balken darüber informiert, in welchen Beteiligungsrunden Neues zu sehen ist. Auch konnte über einen dieser Balken auf alle alten Beteiligungsrunden einer Installation zugegriffen werden. Im Laufe der Zeit stellten wir allerdings fest, dass diese Newsbalken vor allem in der mobilen Nutzung eher störend waren, da man sie selten wirklich nutzt und stattdessen deutlich länger scrollen musste. Auch war der Blick auf alle Beteiligungsrunden bereits am Ende der Seite durch Weiterscrollen möglich. Wir haben uns daher dafür entschieden, diese Newsbalken zu reduzieren: Aus vier haben wir nun zwei gemacht.

 

Bekannte Probleme: Derzeit keine wirklich anonyme Teilnahme möglich

Derzeit ist es nicht ohne Weiteres möglich, anonym an Beteiligungsrunden teilzunehmen. Das ePartool zeigt die Teilnehmenden zwar weiterhin nicht bei den Beiträgen an, allerdings geht es um die Eintragung in der Datenbank selbst: Beiträge werden erst gespeichert, sobald man als Teilnehmende_r am Ende der Fragen auch mindestens eine eMail-Adresse angegeben hat. Erst dann sind die Beiträge für die Redaktion sichtbar (selbst wenn der/die Beitragende den Bestätigungslink in einer eMail nicht mehr anklickt). Wir arbeiten derzeit daran, dass eine Teilnahme wieder anonym möglich wird, sofern dies von den Durchführenden einer Beteiligungsrunde auch so gewollt ist. Die Umsetzung des neuen Konzepts wird allerdings erst im August erfolgen können.

Hilfe, wir wurden gehackt! – Sicherheit bei digitalen Angeboten

Beinahe täglich werden Fälle von Sicherheitslücken, Hackingangriffen und „Datendiebstahl“ veröffentlicht. Davon auszugehen, dass man mit einem kleinen Internetangebot im Netz unattraktiv für Angriffe ist, erweist sich als Trugschluss. Es trifft große und kleine Plattformen, Onlinehops oder Websites gleichermaßen: Automatisiert werden Sicherheitslücken ausgenutzt, um Schadsoftware weiterzuverbreiten, Passwörter abzugreifen oder Spam zu verteilen. Schutzmaßnahmen gegen solche Angriffe müssen heute bereits Bestandteil der Planung eines Internetangebots sein. Aber auch im laufenden Betrieb lässt sich mitunter mit geringem Aufwand die Integrität der eigenen Plattform und die Sicherheit der Teilnehmenden deutlich erhöhen.

Grafik: GR8DAN, CC0 1.0 (https://creativecommons.org/publicdomain/zero/1.0/deed.de)

Der Aufbau neuer Angebote im Netz ist eine spannende und oft anspruchsvolle Aufgabe: Es gilt – zumeist in Kooperation – die detaillierte Funktionalität zu entwickeln, ein passendes Design abzustimmen und immer wieder in Bereichen, die vorher noch nicht ganz durchdacht waren, nachzusteuern. Während man sich in der Regel darüber im Klaren ist, dass sich die Inhalte einer neuen Plattform später noch weiter entwickeln werden, werden Aspekte wie Zugänglichkeit, Hilfen in leichter oder einfacher Sprache oder Sicherheit eher nur zu Beginn thematisiert und umgesetzt. Sobald das Web-Angebot online ist, wird diesen Aspekten kaum noch Beachtung geschenkt: Die Website scheint ja nach bestem Wissen abgesichert; und auch für Menschen mit mobilen oder visuellen Einschränkungen vorbereitet zu sein. Also nichts mehr zu tun, oder?

Der Schrecken ist groß, wenn man nach einer Weile merkwürdige Beiträge auf seiner Site entdeckt, wenn aus unerklärlichen Gründen der Speicherbedarf riesengroß wurde oder der Provider auf einen möglichen Einbruch hinweist.

Was bedeutet eigentlich ein Hackingangriff und warum ist er schlimm?

Hinter einem Angriff steckt nur selten eine konkrete Person. Meist handelt es sich um Programme, insbesondere spezialisierte Bots, die systematisch nach Schwachstellen auf Internetservern suchen. Diese Schwachstellen werden dann von den Bots selbst oder von Anderen für unerwünschte Aktivitäten ausgenutzt.

Konkret sind Schwachstellen z. B. häufig in Formularen zu finden, die die Nutzerdaten nicht sicher von unerwünschten Eingaben befreien: Eine Internetsite kann dadurch dazu gebracht werden, die Eingabe nicht als Daten, sondern als Befehle zu interpretieren. Aber auch das „Einklinken“ fremder Inhalte ist häufig zu leicht möglich.

Für Betreiber*innen von betroffenen Internetangeboten bedeutet das eine Reihe von Problemen. Am offensichtlichsten sind das Abfließen von personenbezogenen Daten, das Abgreifen von Login-Daten (weil viele Nutzer*innen dasselbe Passwort oft auch woanders verwenden), das Einbauen von unerwünschten Inhalten oder das Verteilen von Schadsoftware und Spam-Mails vom Server aus.

Auch kleine Websites sind für Angreifer*innen interessant: Sie können genutzt werden, um monatelang unbemerkt illegale Downloads in allen ihren Facetten anzubieten oder um die Website als Teil eines Botnets einzusetzen, das andere Server durch millionenfache Anfragen in die Unbenutzbarkeit kickt.

Neben den direkten Konsequenzen für die Website-Besucher*innen kommen überdies auch weitere Folgen auf die Betreiber*innen zu: Suchmaschinen könnten das Internetangebot auf ihre schwarze Liste gefährlicher Sites nehmen. Bei nachgewiesener Nachlässigkeit drohen Kündigung durch den Provider oder gar juristische Konsequenzen. Und nicht zu vergessen ist der Vertrauensverlust bei den Nutzer*innen, der lange Zeit nachhallen wird.

Das beste Mittel: Es gar nicht so weit kommen lassen

Betreiber*innen sollten sich daher schon vorher regelmäßig darum kümmern, dass das eigene Internetangebot aktuellen Sicherheitsanforderungen genügt. In den meisten Fällen wird man die zugrundeliegende Software auf dem Server nicht selbst entwickelt haben, sondern vorgefertigte Content-Management-Systeme wie Typo3 oder WordPress einsetzen. Die wichtigste Regel hierbei lautet, dass alle Updates dieser Systeme so schnell wie möglich auf dem eigenen Server eingespielt werden sollten: Wo Schwachstellen beseitigt wurden, hat ein Einbruchsversuch geringere Aussicht auf Erfolg. Oben genannte CMS werden beim Einrichten einer Website häufig durch Plug-ins erweitert, deren Qualität sehr unterschiedlich ist. Hier sollten diejenigen, die die Auswahl der Plug-ins treffen, auch die Zukunft im Blick haben: Wenn Plug-ins nicht mehr aktiv weiterentwickelt werden, ist davon auszugehen, dass früher oder später Schwachstellen auftreten, die dann nur mit professioneller Hilfe oder gar nicht mehr abgesichert werden können.

Gleichzeitig gibt es sehr hilfreiche Plug-ins, die beispielsweise Kommentarfelder auf mögliche Spambots überprüfen und so unerwünschte Nachrichten auf der eigenen Website sogar abwehren können.

Um zeitnahe Updates sicherzustellen, muss man nicht täglich alle Hersteller-Websites abklappern: Automatische Benachrichtigungen und Newsletter können behilflich sein. Eine Überprüfung auf Aktualisierungen benötigt häufig weniger als eine Stunde pro Vierteljahr – und sollte im besten Fall sogar täglich geschehen.

Sollte der Server nicht bei einem Webhosting-Provider angemietet worden sein, sondern selbst aufgesetzt und betrieben werden, dürfen die regelmäßigen Updates fürs Betriebssystem und die darauf laufenden Dienste wie Programmiersprachen, Web- und Datenbank-Server nicht vernachlässigt werden.

Zugangspasswörter von Nutzer*innen zu schützen, ist eine der Kernverantwortlichkeiten von Anbieter*innen. So muss z. B. verhindert werden, dass das System endlos neue Login-Versuche mit zufälligen Passwörtern zulässt. Gut ist es, wenn jeder fehlerhafte Login-Versuch eine kurze Zwangspause nach sich zieht. Damit können Angreifer*innen statt tausender Testballons nur noch wenige Anfragen im selben Zeitraum senden.

Auf älteren Internetangeboten werden Passwörter häufig nicht so hinterlegt, dass sie gegen Auslesen geschützt sind. Dies ist besonders problematisch, da Nutzer*innen oftmals dieselben Passwörter auf verschiedenen Sites verwenden. Ein Abgreifen auf einem Server zieht also Probleme auf weiteren Angeboten nach sich. Auf keinen Fall sollten Passwörter im Klartext abgespeichert sein. Durch das Bilden eines „Hash“, einer Art Quersumme bestehend aus mehreren Zeichen, können Betreiber*innen sogar ganz davon absehen, das tatsächliche Passwort auf dem Server zu hinterlegen: Die Kennworteingabe wird einfach ebenfalls „gehasht“ und mit dem hinterlegten Wert verglichen. Die Standards dieser Absicherung haben sich im Laufe der Jahre verändert. Bei älteren Sites ist daher möglicherweise der Umstieg auf einen neueren Standard ratsam. Das bedeutet jedoch, dass alle Nutzer*innen ihre Passwörter selbst einmal neu vergeben müssen: Neue Kennwörter unverschlüsselt per E-Mail zu verschicken ist dabei keine gute Idee.

Eine Verbindungsverschlüsselung zum Internetangebot sollte heutzutage Standard sein: Erst wenn Nutzer*innen eine Website über https statt über http aufrufen können, ist die Eingabe personenbezogener Daten und Passwörtern vor fremden Einblick abgesichert. Das gilt übrigens auch für die administrativen oder redaktionellen Logins, die man zum Pflegen der Inhalte braucht.

Hilfreich bei der Einschätzung von möglichen Sicherheitslücken sind Dienste wie das Mozilla-Observatory, das ein Internetangebot auf viele potenzielle Angriffspunkte überprüft und hilfreiche Infos zum Absichern gibt. Dabei muss man jedoch stets Augenmaß behalten: Nicht alle Absicherungen sind sinnvoll, wenn dadurch das Internetangebot nur noch umständlich nutzbar wird und Nutzer*innen möglicherweise fernhält.

Websites, die nicht mehr aktiv bespielt werden, sondern lediglich aus dokumentarischen Zwecken online erreichbar bleiben sollen, kann man überdies auch für lange Zeit absichern, wenn alle datenbankgenerierten Inhalte einmalig als statische Seiten exportiert werden und der Datenbankserver abgeschaltet wird. Da alte Projektwebsites in der Regel seltener aufgerufen werden, könnte ein Servereinbruch eine Weile unbemerkt bleiben.

Auch ist „automatisches Vergessen“, d. h. automatisiertes Löschen nach einem gewissen Zeitraum, ein guter Ansatz. Nicht mehr benötigte Daten werden entfernt, bevor sie für unerwünschte Zwecke missbraucht werden können.

Grundsätzlich gilt: Alle Daten, die nicht erhoben werden, können später auch nicht in fremde Hände abwandern. Das Prinzip der Datensparsamkeit ist also weiterhin eine sinnvolle Herangehensweise. Und Hand aufs Herz: Benötigt man von Nutzer*innen wirklich alle Angaben – von Alter über Stadtteil bis hin zu Hobbys?

Sich als Anwender*in schützen

Entgegen der landläufigen Meinung stellen nicht Antivirus-Programme das A und O der Absicherung dar, sondern regelmäßige Updates des genutzten Betriebssystems und der darauf laufenden Software. Ein Antivirus-Programm kann sogar neue Sicherheitslücken ins System reißen, so dass manche renommierte Entwickler*innen sogar gegen Antivirus-Programme wettern.

Passwörter sollten eher lang (14 Zeichen oder mehr) und mit einer Eselsbrücke zu merken sein. Kurze, aber kryptische Kombinationen führen eher dazu, dass man die Passwörter vergisst. Da Angreifer*innen in sogenannten Brute-Force-Attacken einfach alle möglichen Kombinationen durchprobieren, ist jedes Extrazeichen ein deutlicher Sicherheitszugewinn: Allein wenn man die 26 Buchstaben in Groß- und Kleinbuchstaben und die Ziffern 0-9 heranzieht, dann bedeutet jedes zusätzliche Zeichen eine 62-fach höhere Sicherheit! Empfehlenswert ist natürlich auch der Rückgriff auf Sonderzeichen an unerwarteter Stelle, dann sind Attacken auf Basis von Wörterbüchern weniger Erfolg versprechend.

Überraschend ist möglicherweise auch die Erkenntnis, dass Adblocker, also Browser-Erweiterungen, die das Einblenden von Werbung verhindern sollen, den eigenen Rechner auch besser absichern: Leider ist in der Vergangenheit gerade über die Werbenetzwerke, die selbst auf großen Onlinemagazinen zum Einsatz kommen, oftmals Schadsoftware an die Besucher*innen verteilt worden.

Und wenn doch einmal etwas schiefläuft

Wenn doch einmal ein Servereinbruch stattgefunden hat, dann gilt es dennoch Ruhe zu bewahren. Die betroffenen Dienste sollten so schnell wie möglich offline genommen werden, bis sie wieder in abgesicherter Weise zur Verfügung stehen. Auch den Nutzer*innen gegenüber sollte man transparent sein: Dies zeigt, dass man vertrauenswürdig bleibt selbst in Problemsituationen. „Security by obscurity“, also Sicherheit durch Verheimlichen vorzutäuschen wird langfristig nicht helfen. Auf Sicherheitslücken spezialisierte Suchmaschinen stehen in den Tiefen des Internets schon zur Verfügung.

CC BY 3.0 DE
Tim Schrock arbeitet beim Deutschen Bundesjugendring und ist innerhalb des Projekts jugend.beteiligen.jetzt zuständig für die Entwicklung digitaler Tools für Jugendbeteiligung.

Digitale Tools und Mehrsprachigkeit – ePartool

Das ePartool ist ursprünglich für die deutsche Umsetzung des europäischen Strukturierten Dialogs mit der Jugend entwickelt worden. Allerdings gab es bereits vor drei Jahren mehrere Gespräche mit der EU-Kommission, da sie Ideen und Teile des ePartools für europäische Konsultationen übernehmen wollten. Auch aus diesem Grund begannen wir damit, das ePartool besser darauf vorzubereiten, dass es auch in mehrsprachigen Szenarien eingesetzt werden kann.

Kern einer Internationalisierung bzw. Lokalisierung für verschiedene Sprachen sind Sprachdateien. Das bedeutet, dass einzelne Meldungen des Systems, Buttons, Beschriftungen usw. nicht direkt im Quelltext der Programmierung zu finden sind, sondern über Platzhalter die jeweils ausgewählte Sprachversion „eingestempelt“ wird. Zur Übersetzung muss später also nur die einzelne Sprachdatei überarbeitet und nicht die gesamte Programmierung durchsucht werden.

Screenshot Testversion Tschechisch

Bei Mehrsprachigkeit müssen auch die verfügbaren Schriften alle notwendigen Zeichen abdecken, sonst sieht’s schnell komisch aus.

Derzeit wird das ePartool in mehrere Sprachen übersetzt: Neben der bestehenden deutschen und englischen Version sind Übersetzungen ins Französische, Spanische, Polnisch, Tschechische, Russische und sogar ins Arabische bereits recht weit fortgeschritten. Wie immer liegt der Teufel im Detail.

  • Die Konzepte hinter den verschiedenen Begriffen im ePartool müssen für die Übersetzenden nachvollziehbar sein. Und dann müssen sie noch einen guten Begriff in ihrer Zielsprache finden. Hier sind auch die späteren Nutzergruppen zu berücksichtigen. Solche Fragen müssen wir uns auch in der deutschen Entwicklung immer wieder stellen: Ist „Konsultation“ ein guter Ausdruck oder wäre „Beteiligungsrunde“ besser zu verstehen?
  • Sprachen benötigen eine unterschiedliche Anzahl von Buchstaben, um Dinge auszudrücken. Reicht hierfür stets der Platz?
  • Was ist in der jeweiligen Sprache üblich: Werden die Nutzer*innen direkt angesprochen oder formuliert man Systemmeldungen eher in der dritten Person?
    – Die Darstellung von Datum und Uhrzeitangaben oder Zahlen (Tausender/Dezimalstellen) sind sehr unterschiedlich.
  • Screenshot Testversion Russisch

    Manche Sprachen benötigen mehr Buchstaben als andere.

  • Welche Auswirkungen haben Übersetzungen auf die Gestaltung das „Graphical User Interface“ (Nutzeroberfläche)? Gerade wenn man wie im Arabischen von rechts nach links schreibt, sind auf europäische Sprachen ausgerichtete Pfeile und Grafiksymbole möglicherweise gar nicht mehr passend.
  • Überlegt werden muss auch, wie weit die Mehrsprachigkeit gehen soll: Ist der bestehende Sprachumschalter im Adminbereich ausreichend oder sollen Nutzer*innen selbst die Sprache für sich umschalten können? Was passiert mit den Inhalten, die nur einsprachig verfügbar sind?

Wir widmen uns Stück diesen Aufgaben, damit das ePartool und bald auch die anderen Tools in vielen Sprachen nutzbar werden. Wenn ihr uns bei der Übertragung in weitere Sprachen unterstützen wollt, sprecht uns gerne an!

Antragsgrün 3.6: Bessere Live-Diskussion

Das bei Jugendorganisationen mittlerweile häufig eingesetzte „Antragsgrün“ ist einer neuen Version 3.6.0 erschienen. Gerade für die gemeinsame Bearbeitung und Visualisierung von Anträgen und Texten bei Gremien oder Konferenzen finden sich in dieser Version hilfreiche Verbesserungen.

Weniger Konflikte, einfachere Diskussion
Mehrere überschneidende Änderungsvorschläge werden im Visualisierungsmodus übersichtlicher dargestellt. (Den Visualisierungsmodus erreicht ihr als Admins über „Änderungen einpflegen“.) Auch können Admins nun den Originaltext bearbeiten, ohne bestehende Änderungsanträge zu korrumpieren. Wenn es durch die Bearbeitung zu Konflikten mit bestehenden Änderungsanträgen kommen würde, können sie manuell aufgelöst werden.
Als ersten Schritt zu weniger konfligierenden Änderungsvorschlägen ist es nun auch möglich, dass Admins einen Änderungsantrag in den Originalantrag übernehmen und daraus eine neue Basisversion erstellen. Der ursprüngliche Textentwurf und der separat eingetragene Änderungsvorschlag verbleiben im System und können zum späteren Vergleich weiterhin aufgerufen werden. Auch hier gilt: Wenn es durch die Bearbeitung zu Konflikten mit weiteren bestehenden Änderungsanträgen kommen würde, können sie manuell aufgelöst werden.
Rechtzeitig für eine Live-Antragsberatung oder am Ende der Eingangsfrist können Textentwürfe/Anträge für weitere schriftlich eingehende Änderungsvorschläge gesperrt werden: Zu spät eingereichte Änderungen können somit künftig nicht mehr geschehen (oder übersehen werden).
Wenn Anträge/Textenwürfe oder Änderungsvorschläge eingetragen werden, werden Admins nun automatisch per eMail informiert. Die Neuigkeiten werden natürlich auch weiterhin in der ToDo-Liste im Backend angezeigt. Auch werden weniger Klicks benötigt: Antragsgrün zeigt bereits durch ein Pop-Over den Inhalt von Änderungsanträgen im Backend an.

Inhalte komfortabel exportieren
In Sammel-PDFs beginnt die Seitennummerierung nun bei jedem Antrag/ Textentwurf neu. Im Backend können nun Anträge mitsamt aller Änderungen als Sammel-PDF exportiert werden. Weitere Verbesserungen wurden auch beim OpenDocument-Export vorgenommen.
Der Export zu OpenSlides 2.1 oder neuer wird nun unterstützt: OpenSlides ist ein freies, webbasiertes Präsentations- und Versammlungssystem zur Verwaltung und Projizierung von Tagesordnungen, Anträgen und Wahlen einer Versammlung, ist aber bei der Antragsvisualisierung Antragsgrün deutlich unterlegen.

Installieren auch für kleine Webhostings leicht gemacht
Die für kleinere Webhosting-Pakete schon angepasste Version könnt ihr direkt unter https://www.hoessl.eu/antragsgruen/antragsgruen-3.6.0.tar.bz2 herunterladen. Die Variante für den eigenen, „richtigen“ Server gibt es wie immer direkt bei Github unter https://github.com/CatoTH/antragsgruen.

Bei dieser Gelegenheit wollen wir euch gerne ans Herz legen, auf eurem Webhosting zu überprüfen, ob PHP in der aktuellen Version 7.x zum Einsatz kommt. Unter älteren PHP-Versionen können Fehler auftreten – und 5.5 oder älter wird auch nicht mehr mit Sicherheitsupdates unterstützt. Euer Provider hat sicher bereits die Version 7.x einsatzbereit geschaltet.

Weitere Änderungen zu dieser Version und künftige Aktualisierungen erfährt man immer ganz aktuell auf Github in der Entwicklungshistorie: https://github.com/CatoTH/antragsgruen/blob/v3/History.md.

Barcamptools.eu mit neuem Ticketmodus

Unsere Software zum Organisieren von Barcamps und ähnlichen Veranstaltungen hat einen „Ticketmodus“ bekommen. Damit können sich Teilnehmende nicht nur für einzelne Teil-Events anmelden, sondern auch für ganze Camps/Veranstaltungen. Als Organisator*in könnt ihr unterschiedliche Tickets anbieten, so dass verschiedene Zielgruppen angesprochen werden können.
 
Neu verfügbar sind auch Einstellungen für eigene AGB und Stornierungsregelungen.
 
Eine ausführliche Beschreibung der neuen Funktionen findet ihr demnächst auch unter http://blog.barcamptools.eu. Die zugrundeliegende Software „Camper“ wird als OpenSource-Software entwickelt und kann frei über Github bezogen werden (https://github.com/comlounge/camper).
 
Wie bei allen größeren Umbauten können noch Fehler auftreten. Wir freuen uns über euer Feedback!