Nikolausüberraschung: Neues bei Barcamptools.eu!

Gerade rechtzeitig zum Nikolaustag gibt es mehr Komfort bei unseren Barcamptools.

Sessionplan – Mobil und auf dem Desktop

Der Sessionplan war bislang mobil immer etwas kompliziert zu bedienen. Wir haben diesen daher komplett neu auf Flexbox-Basis implementiert, so dass er sowohl mobil als auch auf dem Desktop gut funktioniert.

Zudem wird der Sessionplan in der Desktop-Ansicht jetzt in voller Breite dargestellt, so dass ein Scrollen entfalten sollte.

Andere Neuerungen sind, dass man per Klick auf eine Veranstaltung jetzt direkt zum Sessionplan statt zur Teilnehmerliste gelangt. Zudem ist die Sessionbeschreibung in der Sessionansicht jetzt besser lesbar.

Besser verständliche E-Mails

Ist man in der Vergangenheit bei einem Teilevent eines Barcamps (z.B. für einen von 2 Tagen) von der Warteliste nachgerückt, so war in der Mail nicht erkennbar, für welche Veranstaltung dies eigentlich galt.

Mehr Informationen in der Seitenleiste

Die Infos, die in den Bereichen „Social Media“ oder beim Veranstaltungsort eingetragen werden, können nun durch die neue Seitenleiste dargestellt werden. Hier sind jetzt Bereiche Social Media, Veranstaltungsort, Impressum und Sponsoren integriert und alle Informationen werden übersichtlich anzeigt.

Änderungen zur Barrierefreiheit

Durch die verlängerte Seitenleiste und damit notwendige interne Layoutumstellungen hätten Screenreader nun wieder sehr lange vorlesen müssen, bevor sie beim »Registrieren«-Button angekommen wären. Daher wurde ein nur für Screenreader sichtbarer Registrieren-Button über den Inhaltsbereich gesetzt.

Weitere Änderungen sind in der Mache

Unsere Entwicklungsarbeit ist für dieses Jahr noch nicht vollendet. Zumindest eine neue Version wird es also hoffentlich vor den Feiertagen noch geben!

Ausführlichere Anleitungen findet ihr unter http://blog.barcamptools.eu

Neue Kooperationsfunktionen bei wechange.de

WECHANGE-Landkartenansicht: Hier erfährt man schnell, welche Projekte und Gruppen gerade aktiv sind. (Grafik: WECHANGE | OSM)

Seit einigen Monaten kooperieren wir im Rahmen von jugend.beteiligen.jetzt mit der genossenschaftlich entwickelten Plattform WECHANGE. Dort können sich Projekte vorstellen, vernetzen und zusammenarbeiten. Vergangene Woche wurden neue Funktionen freigeschaltet, die allen Nutzer_innen zur Verfügung stehen:

Gruppennachrichten

Mit den neuen Gruppennachrichten haben Nutzende die Möglichkeit, mehreren Personen eine Nachricht über WECHANGE zu schreiben. Es können auch Gruppen und Projekte ausgewählt werden, sodass alle Mitglieder der Gruppe/des Projektes eine Nachricht bekommen.

Kalendersynchronisierung

Es lassen sich von nun an Kalender aus dem Forum mit den Kalendern aus den einzelnen Gruppen/Projekten synchronisieren. Dabei können Veranstaltungen aus dem Forum in die Gruppen/Projekte mit nur einem Klick verlinkt werden.

Weiterentwicklung „Leute einladen“

Seit nicht allzu langer Zeit ist es möglich, Personen über eine E-Mail auf WECHANGE und Gruppen und Projekte aufmerksam zu machen und einzuladen. Diese Funktion wurde noch ein wenig weiterentwickelt: Ab jetzt kann mit der Einladung eine (optionale) Nachricht mitgeschickt und weitere Infos gegeben werden. Darüber hinaus werden in einer Liste alle Mailadressen, an die eine Einladung verschickt wurde, angezeigt.

Weitere Informationen zu den einzelnen Funktionen und technischen Feinheiten finden sich in den FAQs unter https://wechange.de/cms/help/

Aufs Detail geschaut: Bugfixes im ePartool 4.8.1

Mit mehreren kleinen Verbesserungen veröffentlichen wir heute das ePartool in Version 4.8.1. Hier geht’s zur »Download- und Installationsseite«

»Motto« einer Installation nun optional

Mit einem kurzen Erklärtext kann das ePartool seine Besucher_innen darauf vorbereiten, was auf der gerade besuchten Plattform ungefähr passiert. Dieses »Motto« erscheint unter der großen MITMACHEN-Schlagzeile. Allerdings braucht nicht jede Installation so ein Motto – künftig kann man es, genauso wie die Sprechblase „MIT WIRKUNG!“ einfach übers Backend ausschalten.

Screenshot ePartool-Header beim Projekt „Werkstatt Mitwirkung“

Das »Motto« des ePartools beim Projekt »Werkstatt Mitwirkung« des DBJR ist mit vier Zeilen schon recht ausführlich. (Quelle: mitwirkung.dbjr.de/mitmachen)

Schönheitskorrekturen, nicht nur im Backend

Beiträge in anonymen Beteiligungsrunden können nun auch en bloc freigeschaltet werden: Der „Veröffentlichen“-Button erfüllt hierzu seinen Zweck.

Wir arbeiten daran, dass Funktionen und Menüpunkte im ePartool einheitlicher und nachvollziehbarer benannt sind. Das „Follow-up“ zu einer Beteiligungsrunde wird nun auch im Backend konsequenter unter „Reaktionen & Wirkung“ zu finden sein, und E-Mails haben bspw. einen „Betreff“ und kein „Thema“ mehr.

Grafiken im Fußbereich der Startseite wurden im MS Internet Explorer 11 tw. zu groß dargestellt. Das ist nun behoben.

Die bekannten Darstellungsprobleme aus v4.8.0 bei den Übersichten zu Voting-Einladungen und Voting-Berechtigungen sind behoben: Die Zeilen sind nicht mehr länger als der Bildschirm und es werden keine überflüssigen Informationen mehr eingeblendet.

Neues zur Installationsunterstützung

Probleme beim Einrichten des ePartools lagen in letzter Zeit meist an Fehlern der Dateirechte. Das ePartool besitzt z.B. einen Medienmanager, der beim Upload neuer Grafiken diese auch auf dem Server ablegen können muss. Damit das Installieren leichter klappt, beschreibt die Readme-Datei die Fragen etwas klarer.
Erstmalig ist der Installer selbst auch in einer arabischen Übersetzung enthalten. So kann bereits der Installationsvorgang selbst auf Arabisch ausprobiert werden. Die Anpassung an arabische Schriftdarstellung ist nach wie vor im Alpha-Stadium.

Antragsgrün 3.7.4 mit vielen nützlichen und wichtigen Verbesserungen

Rund um die DBJR-Vollversammlung Ende Oktober greifen sehr viele Nutzer_innen auf die DBJR-Installation von Antragsgrün zu. Bei dieser intensiven Nutzung sammeln wir aufmerksam alle Verbesserungsbedarfe und -wünsche, die dann möglichst schnell in die Weiterentwicklung von Antragsgrün einfließen.

Die gestern veröffentlichte Version 3.7.3 von Antragsgrün beinhaltet eine große Anzahl sehr nützlicher Verbesserungen aus dieser aktuellen Feedback-Sammlung. Noch im Lauf dieser Woche wird Version 3.7.4 erscheinen, um noch ein paar weitere Verbesserungen zur Verfügung zu stellen.

Besser Zurechtfinden auf der Übersichtsseite

Bei intensiver Antragsberatung geht auf der Startseite leicht mal die Übersicht verloren. Hier wurde nachgebessert: Ersetzte Anträge werden nun leicht ausgegraut, so dass man die aktuellste Fassung leichter findet. Bei aktualisierten Fassungen, die als gänzlich neue Anträge eingestellt wurden, kann man im Backend die Zuweisung „Überarbeitete Fassung von“ nachträglich einrichten.

Die Listen von Änderungsanträgen werden nun eingerückt angezeigt, damit man schneller erkennt was Anträge und was (nur) Änderungsanträge sind. Und die Sortierung von Änderungsanträgen erfolgt nun korrekt nach zugewiesenem Kürzel.

Informiert diskutieren können: Hilfreichere Anzeige für Live-Beratung

Bei der Live-Beratung (Visualisierungsmodus »Änderungen einpflegen«) rutschte der Titel des Antrags immer aus dem Sichtfeld, wenn man beim Bearbeiten weiter im Text voranschritt. Dadurch wussten Spätkommende nicht sofort, welcher Antrag gerade diskutiert wird. Der Überschriftsbalken wandert nun zwar weiter durchs Scrollen nach oben, bleibt ganz oben aber in der Anzeige „kleben“. Die öffentliche Zwischenstandsanzeige nähert sich dem Visualisierungsmodus an und zeigt den Titel und die Nummern der Änderungsanträge nun auch durchgängig an.

Screenshot Öffentliche Zwischenstandsanzeige von Antragsgrün

In der öffentlichen Zwischenstandsanzeige bleibt der Titel sichtbar und wie im Visualisierungsmodus werden die Änderunsantragsnummern tiefergestellt direkt nach eingefügten (grün) / streichenden (rot) Änderungsvorschlägen angezeigt.

PDF-Export und Neuigkeiten-Mails

Die PDF-Vorlage für Änderungsanträge wurde so geändert, dass der Bezugsantrag nun sofort ersichtlich ist. Bei der Ausgabe von Sammel-PDFs sind die Anträge nun nach Benennung sortiert.

Automatische Benachrichtigungsmails beinhalten nun auch die Änderungsantragsstellenden, nicht nur den Titel.

Wie geht’s weiter: Planung für weitere Verbesserungen

Wir arbeiten jedoch schon an nächsten Verbesserungen. Zur Zeit befinden sich mehrere Dinge in Vorbereitung, die aber erst in einer der folgenden Versionen beinhaltet sein werden:

  • Änderungsanträge für Überschriften/Titel von Anträgen in der Laschenansicht und in den Bearbeitungsansichten sollen sichtbar werden (bisher wurden sie vom System nicht angezeigt)
  • Die öffentliche Zwischenstandsanzeige soll automatisiert gestartet werden, damit sie beim Visualisieren nicht vergessen wird.
  • Perspektivisch in 2018: Teilnehmende werden sich private Notizen zu Anträgen machen können, um zur Live-Diskussion vorbereitet zu sein.

Das komplette Changelog befindet sich wie immer unter https://github.com/CatoTH/antragsgruen/blob/v3/History.md. [Update 12.11.] Das fertige Installationspaket für Webhostings in Version 3.7.4 kann heruntergeladen werden unter https://www.hoessl.eu/antragsgruen/antragsgruen-3.7.4.tar.bz2.

Bugfixes und verbesserter Export: Antragsgrün 3.7.1 veröffentlicht

Wer Änderungsanträge als Tabelle exportiert, bekommt mit der kürzlich veröffentlichten Version 3.7.1 nun eine zusätzliche Spalte spendiert, die den Status der einzelnen Änderungsanträge übersichtlich anzeigt.

Weiterhin werden einige Fehler beim ODS- und PDF-Export behoben, die in bestimmten Situationen auftreten konnten: Gefixt wurden u.a. fehlerhaft auftretende doppelte Leerzeilen und Leseprobleme der ODS-Dateien beim Betrachten unter manchen Versionen von LibreOffice.

Der komplette Changelog befindet sich wie immer unter https://github.com/CatoTH/antragsgruen/blob/v3/History.md. Das fertige Installationspaket für Webhostings in Version 3.7.1 kann heruntergeladen werden unter https://www.hoessl.eu/antragsgruen/antragsgruen-3.7.1.tar.bz2.

Schneller und ab jetzt einfach(er) zu updaten: ePartool 4.5.3

Das ePartool ist in Version 4.5.3 erschienen. Wir haben uns um die notwendigen Geschwindigkeitsverbesserungen der Reaktionen-Zeitleiste gekümmert. Hier kann man nun beliebig vor- und zurückklicken, ohne sich auf Ladeverzögerungen einstellen zu müssen.

Update | https://pixabay.com/de/service/license/Künftig Updatemöglichkeiten zurück bis Version 4.5.0

Endlich können wir aber allen Einsetzenden des ePartool eine geordnete, relativ untechnische Updatemöglichkeit anbieten. Damit behaltet ihr künftig einfacher die Möglichkeit, das ePartool immer zum neuesten Stand einzusetzen.

Hierfür existiert ab sofort neben dem Installer-Paket auch ein Upgradepaket. Dieses muss lediglich heruntergeladen, entpackt und über die bestehende Installation geschrieben werden. Allerdings ist es empfehlenswert, vorher bestimmte Dateien als Backup zu sichern. Hier die empfohlene Schritt-für-Schritt-Vorgehensweise:

  1. Erstellt ein Backup von application/configs/*.local.ini
  2. Erstellet ein Backup von www/media
  3. Die Dateien des Updatepakets über die bestehende Installation schreiben.
  4. Sicherheitshalber die gesicherten Config- und Mediadateien überprüfen und sie ggf. zurückkopieren (das sollte aber eigentlich nicht notwendig sein).

Seit Version 4.5.0 hat sich die Datenbankstruktur des ePartool nicht verändert, daher ist keine weitere Ausführung eines Update-Skriptes o.ä. notwendig.

Gerne hätten wir eine voll-automatisierte Updatefunktion angeboten, ähnlich wie sie z.B. bei WordPress eingebaut ist. Hierfür wären allerdings noch weitere Aspekte einer durchgängig sicheren und entsprechend vorbereiteten Infrastruktur notwendig, so dass wir diesen Schritt (noch) nicht gehen können. Aber wir werden an weiteren Verbesserungen arbeiten.

Installations- und Updatepakete sind über die Seite Download / Installation erhältlich.

ePartool 4.5.2 – Feinschliff für die Reaktionen-Zeitleiste

Die Sommerwochen nutzen wir dafür, verschiedenen neuen und schon länger bestehenden Funktionen des ePartool noch Feinschliff zu verpasen. Heute konnten wir Version 4.5.2 freigeben. Das Installationspaket ist wie üblich über die Seite Download / Installation erhältlich.

Feinschliff zu Reaktionen & Wirkung

Die vor Kurzem neu gestaltete »Zeitleiste« zum Nachvollziehen von Reaktionen auf einen Beitrag bekam noch ein paar Nachbesserungen. Eine Herausforderung für die grafische Oberfläche ist dabei, dass man in der neuen Zeitleiste ist nicht nur chronologisch vom ursprünglichen Beitrag zu immer neueren Reaktionen und Wirkungsschritten springen kann, sondern auch die Rückwärtsnavigation möglich ist – man also von einer politischen Reaktion o.ä. rückwärts gehen kann, um zu sehen zu welchen ursprünglichen Anliegen dort Feedback gegeben wurde. Nun kann es dadurch passieren, dass die zurückverfolgten Vorschläge und Ideen bei unterschiedlichen Fragestellungen eingetragen wurden: Das bisherige Konzept, dass am Anfang genau eine Frage angezeigt wird, funktionierte damit nicht mehr. Die ursprünglichen Fragen gar nicht mehr anzuzeigen (wie es in Version 4.5.0/-.1 der Fall war, erwies sich bei Tests mit Nutzer*innen als verwirrend. Gelöst haben wir das Problem nun dadurch, dass bei jedem Beitrag, der direkt einer Frage zugeordnet ist, nun auch die Kurzfassung der Frage angezeigt wird. Auch bei redaktionellen Beiträgen, die z.B. nur für ein Voting erstellt wurden, ist das nun so.

Entwürfe für die Zeitleiste

Zwei Varianten der Fragedarstellung hatten wir diskutiert: als eigene Box oder direkt »auf« einem Beitrag. Wir entschieden uns aufgrund des beschränkten Platzes bei der Bildschirmdarstellung für Variante B. [Grafik: Visionapps]

Weiterhin hat die neben der bisherigen Vorwärtsnavigation neu eingeführte Rückwärtsnavigation zur Folge, dass neben den Folgepfeilchen auch die „eingehenden“ Pfeilchen zu jedem Schritt anzuzeigen sind. Das machte die Anzeige schnell unübersichtlich. Wir haben daher mit diesem Update die eingehenden Pfeilchen ein wenig versteckt, indem diese künftig virtuell „hinter“ die Box zeigen.

Zeitleiste in Aktion

Die Zeitleiste in Aktion: Mit der Maus über einen eingehenden Pfeil navigiert, erfährt man auf wie viele Beiträge sich diese Box bezieht. Mit einem Klick auf das Pfeilchen öffnen sich diese Boxen.

Aus ästhetischen Gründen werden die Pfeilchen wieder mittig und nicht, wie seit 4.5.0, oben an der Box, angezeigt.

Außerdem konnte ein Fehler behoben werden, der nur bei Benutzung des Firefox aufgetreten war: Der Download von Reaktionsdokumenten hatte bisweilen nicht zuverlässig geklappt.

Bekanntes Problem der Zeitleiste: Immer schöner, aber derzeit etwas schwerfällig

Ein bekanntes Problem derzeit ist, dass die Reaktionen-Zeitleiste zu einem Beitrag etwas schwerfällig reagiert. Wir werden die Anzeigegeschwindigkeit in den nächsten Wochen mit dem nächsten Update deutlich erhöhen. Noch im August soll diese Version erscheinen. [Update 7. August: Mit dem heute erschienen Version 4.5.3 treten bei der Zeitleiste erfreulicherweise keine Verzögerungen mehr auf]

Antragsgrün 3.7.0 – neue Funktionen im Betatest

Das Wichtigste: Antragsgrün 3.7.0 erleichtert vor allem die Diskussion von Texten, für die viele Änderungsvorschläge eingegangen sind.

In wenigen Tagen erscheint Antragsgrün in Version 3.7.0. In diese neue Version flossen zahlreiche Rückmeldungen aus Jugendverbänden und -initiativen ein. Im Folgenden geben wir Euch einen Überblick über die neuen Funktionen. Die aktuelle Betaversion kann auf der Entwicklerseite-Downloadseite bei Github heruntergeladen werden. Nach unserer Einschätzung eignet sie sich schon ganz gut für den produktiven Einsatz.

 

Darstellen und Übernehmen von Änderungen

Die größte Herausforderung beim gemeinsamen Diskutieren von Texten auf Papier und online besteht darin die Übersicht zu behalten, wenn sich viele Änderungsvorschläge auf dieselben Textstellen beziehen. Hierbei bringt Antragsgrün einige Verbesserungen mit:

Bei der Diskussion gerade von inhaltlichen Anträgen ist es oft nützlich, wenn die ursprünglichen Verfasser*innen Änderungsvorschläge von Anderen direkt übernehmen können. Diese Möglichkeit kann nun über die Einstellungen einer Veranstaltung eingerichtet werden. Diese Funktion kann dabei auf die Fälle beschränkt werden, in denen die Vorschläge nur 1:1 übernommen werden.

Die ursprünglichen Initiator*innen von Texten/Anträgen können eine E-Mail erhalten, wenn ein Änderungsvorschlag zu ihrem Entwurf eingeht. Das erlaubt gerade bei langen zeitlichen und räumlichen Distanzen eine schnellere Reaktion darauf, noch bevor weitere, überschneidende Änderungsvorschläge eingehen. Diese Benachrichtigungsfunktion ist standardmäßig eingeschaltet.

Die Ersetzung mehrerer aufeinander folgender Abschnitte in einem Änderungsantrag wird nun sinnvoller dargestellt: zuerst alle Löschungen, dann alle Einfügungen. Bisher erfolgte die Darstellung abwechselnd, was verwirrend sein konnte.

Umfassende Änderungsanträge können nun als »Globalalternativen« ihres Bezugstextes markiert werden, wobei der gesamte Inhalt des ursprünglichen Antrags ersetzt wird. Dieser Änderungsvorschlag wird nicht mit einem »Inline-Diff« angezeigt, da dies keine sinnvolle Darstellung mehr ergäbe. Wenn eine Globalalternative mit einem Ursprungsantrag zusammengeführt wird, entspricht das einer vollständigen Ersetzung; entsprechend werden keine weiteren Änderungsanträge in die neue Version des Textentwurfs verschoben.

 

Bessere Übersicht bei der Live-Diskussion

Antragsgrün kann die gemeinsame Textbearbeitung über große Distanzen unterstützen als auch eine Live-Diskussion vor Ort. Gerade der Visualisierungsmodus (»Änderungen einpflegen«) erleichtert eine Diskussion im Rahmen einer Konferenz, da alle Teilnehmenden klar vor sich sehen können, über welchen Abschnitt gerade beraten wird. Nachteilig erwies sich dabei, dass die Teilnehmenden dadurch andere Textstellen, die vor oder nach dem aktuell visualisierten Bildausschnitt lagen, nicht ansehen oder zu Vergleichen heranziehen konnten. Auch konnten bereits diskutierte Änderungen nicht selbst noch einmal überprüft werden, solange der diskutierte Text in einer Revision allgemein wieder veröffentlicht wurde. Antragsgrün speichert nun die Live-Diskussion periodisch als aktuellen Zwischenstand. Dieser Zwischenstand kann über die Einstellungen als öffentlich festgelegt werden, so dass sich auch alle Teilnehmenden (und sogar Zugriffsberechtigte aus der Ferne) auf ihren eigenen Endgeräten Zugriff auf alle Textstellen mit minütlich aktualisiertem Stand verschaffen können.

Mit Klick auf »Zwischenstand anzeigen« kann nun die Live-Diskussion am eigenen Endgerät mitverfolgt werden

Bei Löschvorschlägen zeigt Antragsgrün diese rot markiert mit einer durchgezogenen Linie an. Der Texteditor erlaubte zugleich ebenfalls das Durchstreichen als Formatierung. Das führte schnell zu einer Verwirrung der Mitwirkenden bei der Diskussion. Daher ist diese durchstreichende Formatierung nicht mehr erlaubt.

 

Admin-Rollen und Veranstaltungsverwaltung

Bislang galt: Eine Admin-Rolle hat Zugriff auf die gesamte Antragsgrün-Installation. Oft aber kümmern sich Personen um einzelne Veranstaltungen, die nicht auf andere Veranstaltungen Zugriff haben sollten. Dies ist nun möglich: Die Administrationsrollen können nun pro Veranstaltung eingerichtet werden, ohne gleich Zugang zu allen bisherigen und künftigen Textdiskussionen gewähren zu müssen.

Die Zeitstempel eines Antrags oder eines Änderungsvorschlags zeigen nun den Zeitpunkt an, zur denen die Texte offiziell eingereicht wurden – und nicht mehr wann die ersten Entwürfe angelegt wurden. Letzterer Zeitpunkt wird nur noch solange angezeigt, solange die Einreichung noch nicht vorgenommen wurde.

Es ist nun möglich, den Typ eines Texts/Antrags nachträglich zu ändern. Dies funktioniert jedoch nur zwischen strukturell ähnlichen Typen (Vorlagen).

Wenn ein Antrag auf Basis eines anderen erstellt wird (durch Admin-Rolle), werden künftig nicht nur die Originalinitiator*innen, sondern auch die Textbestandteile geklont.

 

Aufgeräumt: Kein Unterstützung mehr für Internet Explorer 9

Der Microsoft Internet Explorer 9 erschien im Jahr 2011, aus Perspektive von Web-Entwicklung liegt das eine Ewigkeit zurück. Auch wenn der IE9 den letzten von Microsoft veröffentlichten Browser für Windows 7 darstellt, wird bei der Antragsgrün-Entwicklung keine Rücksicht mehr auf Kompatibilität mit diesem Browser mehr geachtet. Wir empfehlen Euch ggf. auf alternative Browser wie Mozilla Firefox umzusteigen.

Im Kernsystem von Antragsgrün wurden viele Pakete aktualisiert und etwas aufgeräumt. Sehr selten benutzte Bibliotheken für Redis, Excel-und SAML-Authentifizierung sind nicht mehr Teil der Standardinstallation, wodurch die Größe des Installationspakets verringert wird. Bei Installation auf einem dezidierten Server (also wenn man vollen Zugriff auf den Server hat, was bei kleinen Webhosting-Paketen nicht der Fall ist) können diese Funktionsbibliotheken jedoch als optionale Abhängigkeiten installiert werden.

 

Hilfreicher Tipp: Antragsgrün-Handbuch online

Die Antragsgrün-Software umfasst mittlerweile einen großen Funktionsumfang. Um Unterstützung zu bestimmten Fragen oder Themen zu erhalten, kann man seit Kurzem auch auf das deutschsprachige Handbuch zu Antragsgrün zurückgreifen, das online verfügbar ist unter: https://antragsgruen.de/help

Antragsgrün Handbuch online

Fremde Inhalte einbinden und trotzdem „sicher“ bleiben?

Das Besondere am World Wide Web ist, dass alle Inhalte miteinander vernetzt sein können. Mit nur einem Klick gelangt man zu weiterführenden Informationen oder neuen Inhalten. Zugleich wurde auch das traditionelle Konzept von „Seiten“ durch das WWW dank seiner Vernetzungs- und Interaktionsmöglichkeiten deutlich erweitert. Neben Fließtext und Bildern kann eine Seite aus weiteren Elementen bestehen, die aus ganz unterschiedlichen Quellen interaktiv eingebunden sind: Youtube-Videos, aktuelle Podcasts, Instagram-Fotos, Tweets (Twitter) oder Präsentationen mit Prezi sind nur ein paar der bekannteren Beispiele.

Diese Einbinde-Möglichkeit hat aber auch ihre Kehrseite, da man selbst als Seitenbetreiber_in kaum mehr überblicken kann, was am Ende auf einer Seite zu sehen sein wird. Thematisch unpassende, aufdringliche Werbeanzeigen nerven; Tracking-Cookies von Werbetreibenden oder von Social Media Funktionen durchleuchten die Besucher_innen meist ohne Vorwarnung und ohne Opt-out-Möglichkeit.

Über solche unerwünschte Aspekte hinaus bedeutet die vernetzte Herangehensweise des World Wide Web auch, dass sogar gefährliche Inhalte in eigentlich harmlose Seiten hineingeraten können.

Typische Einfallstore

Die Einfallstore sind zum Einen die eigentlich willentlich eingebundenen externen Quellen und zum Anderen (unbewusst) bestehende Sicherheitslücken: Wenn die eigene Website durch ein Content Management System befüllt wird, finden sich trotz aller Sorgfalt immer wieder Schwachstellen in der Programmierung dieses Redaktionssystems. Gerade interaktive Funktionalitäten sind besonders gefährdet. Typische Beispiele sind hierfür

  • Formulare (Anmeldemasken, Registrierungsformulare, Fragebögen, Suchfelder), die die eingegebenen Daten nicht auf den eigentlich beabsichtigten Inhalt prüfen oder beschränken, sondern z.B. statt der Eingabe einer eMail-Adresse dann möglicherweise die Übertragung von Programmiercode erlauben;
  • Funktionen zum Hochladen von Dateien (im Kern ebenfalls Formulare), die es versäumen zu überprüfen, ob z.B. wirklich nur eine Grafik oder doch stattdessen Programmcode übertragen wurde;
  • Suchfilter oder andere Parameter, die von einer Seite an die nächste übergeben wurden und bei denen aufgrund mangelnder Überprüfung Code-Einschleusung nicht verhindert wurde.

Eine so präparierte Website kann dadurch ganz andere Inhalte anzeigen als ursprünglich beabsichtigt. Wenn Nutzer_innen dann per eMail oder über Social-Media eine Einladung erhalten die Seiten zu besuchen, können sie nur sehr schwer erkennen, dass die Inhalte manipuliert wurden. Die Web-Adresse sieht ja weiterhin vertrauenswürdig aus und selbst die möglicherweise vorhandene https-Verschlüsselung funktioniert wie eh und je.

Die Lösung naht: Fremde Quellen explizit durch CSP freigeben

Um diesem Dilemma etwas entgegenzusetzen, wurde das Konzept der »Content Security Policy« (CSP) ersonnen. Im Kern funktioniert es so, dass die Betreiber einer Website im Rahmen einer Liste (Whitelist) einzeln aufführt, von welchen fremden Quellen Inhalte überhaupt auf der Website erscheinen dürfen. Die Liste ist dabei in einzelne Sektionen unterteilt. So kann beispielsweise festgelegt werden, dass für Audio und Video bestimmte Quellen zugelassen sind, Schriftarten oder eingebundene Fragebogen aber wiederum nur von anderen Quellen. Dadurch soll verhindert werden, dass eingebunde Quellen Inhalte mit ausliefern, die man als Betreiber_in einer Website nicht vorher eingeplant hat.
Dieses „Whitelisting“ hat allerdings eine Kehrseite: Nicht explizit freigegebene Quellen werden auch ohne weitere Erklärung unterdrückt. Wenn man beim Befüllen der Inhalte die Liste der Freigaben nicht im Kopf hat, wird man bei nicht-angezeigten Inhalten kaum die Ursache des Problems erkennen. Eine Einführung von CSP-Mechanismen sollte daher immer in enger Abstimmung zwischen den technisch und den redaktionell verantwortlichen Teams erfolgen.

Umsetzung von Content Security Policy im ePartool

Das ePartool unterstützt seit dem Frühjahr 2017, ab den Versionen 4.3.x, das Konzept der Content-Security-Policy.

Seither haben wir die Konfiguration noch etwas vereinheitlicht und verbessert. Die Quellen können in der Datei config.ini des ePartool eingetragen werden. Aus Sicherheitserwägungen heraus kann die Liste leider nicht bequem über die Redaktionsoberfläche verändert werden (da sie sonst angreifbar wäre und der Sicherheitsaspekt konterkariert würde). Wir liefern das ePartool bereits mit häufig benutzen Quellen aus, allerdings lohnt es sich auf jeden Fall, die Liste selbst noch zu überprüfen.

Der Aufbau und eine Übersicht der vorhandenen Einstellungsmöglichkeiten finden sich in der config.ini-Beispieldatei, die im selben Ordner zu finden ist wie die config.ini selbst: tool/application/configs/config.local-example.ini

; CORS settings - contains list of allowed addresses from where can be loaded external resources
; allow address for specific type of resource
; for details see https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

; Serves as a fallback for the other fetch directives
; cors.default-src[] = "*.example.com"

; Specifies valid sources of application manifest files - <link rel=manifest>
; cors.manifest-src[] = "*.example.com"

; Specifies valid sources for loading media using the <audio> and <video> elements - <video> <audio> <source> <track>
; cors.media-src[] = "*.example.com"

; Specifies valid sources for the <object>, <embed>, and <applet> elements
; cors.object-src[] = "*.example.com"

; Restricts the URLs which can be used as the target of a form submissions from a given context
; cors.form-action[] = "*.example.com"

; Specifies valid sources of images and favicons
; cors.img-src[] = "data: *.example.com"

; Specifies valid sources for fonts loaded using @font-face
; cors.font-src[] = "*.example.com"

; Specifies valid sources for JavaScript
; cors.script-src[] = "*.example.com"

; Specifies valid sources for stylesheets - <link rel=stylesheet>
; cors.style-src[] = "*.example.com"

; Restricts the URLs which can be loaded using script interfaces - XmlHttpRequest() WebSocket() EventSource() sendBeacon() fetch()
; cors.connect-src[] = "example.com"

; Defines the valid sources for web workers and nested browsing contexts loaded using elements such as <frame> and <iframe>
; cors.child-src[] = "*.example.com"

 

Browserunterstützung: Fast alle sind dabei

CSP wurde bereits weiter entwickelt und ist derzeit in der zweiten Ausbaustufe technisch definiert. Während die Grundfunktionen mittlerweile in den meisten Browsern Einzug gefunden haben, wird der aktuelle Level 2 des Content Security Policy Konzepts vom Opera Mini und dem Internet Explorer 11 nicht unterstützt (aber vom Microsoft-Edge-Browser). Detaillierte Informationen hierzu finden sich bei »Can I Use …« unter https://caniuse.com/#search=csp