spackblog

Mein Leben lang hatte ich es mit schlechten Wasserkochern zu tun. Der erste Wasserkocher meiner Eltern irgendwann in den 90ern hing noch fest an seinem Kabel und hatte eine ungemein schnell verkalkende Heizspirale. Im Grunde war das nicht mehr als ein Tauchsieder mit Gefäß drumrum, der zudem in Ermangelung nennenswerter Leistung nicht viel schneller war, als ein Wassertopf mit Deckel auf dem Elektro-Kochmuldenherd. Irgendwann gab es Wasserkocher mit verdeckter Heizspirale und etwas mehr Leistung, die man von ihrem Sockel abheben konnte. Die ersten Modelle krankten an der Fummeligkeit ihres Sockels, aber ein Fortschritt war da. Meine Eltern neigen leider dazu, bei solcherlei Gerätschaften immer nur die billige Variante zu kaufen, also gab es immer wieder fehlkonstruierte Scheiß-Wasserkocher. Zuletzt war das einer, aus dessen Deckel einem beim Ausgießen heißer Dampf über die Finger der haltenden Hand schoss, wenn man das Gerät oben am Griff anfasste. Den Deckel zur Befüllen einer zweiten Runde zu öffnen, war auch gerne mal von einem Schuss heißen, sich vom Deckel lösenden Kondensats begleitet. Lustiges Gerät.

Ich hatte dann irgendwann die Schnauze voll und kaufte bei Aldi einen hübschen 3000W Wasserkocher mit 1,7l Fassungsvermögen für 18€. Der sah gut aus, kochte schnell und kostete nicht die Welt, eine super Sache. Leider hatte ich kein Glück und das Ding war undicht. Ernsthaft: Ein nagelneuer Wasserkocher war nicht dicht. Also zurück damit. Inzwischen haben meine Eltern den Nachfolger des besagten Aldi-Kochers, der gut und dicht ist. Fein, Problem gelöst.

Nun zu mir. In der WG hatte ich einen Wasserkocher angeschafft, der irgendwie ebenfalls doof und vor allem recht schnell kaputt war. Ich hatte einfach kein Glück mit Wasserkochern. Zur Einweihungsparty in der aktuellen Wohnung schenkten mir die Kollegen aus dem T3Lab dann diesen Philips-Wasserkocher. Wenn man dieses Gerät benutzt, weiß man erst, dass Wasserkocher auch Spaß machen können. Das ist der Wasserkocher für den Technikfreund. Auf den ersten Blick leuchtet eine elektronische Steuerung nicht unbedingt ein, aber der erste grüne Tee mit recht genau 80 Grad heißem Wasser führt einem klar vor Augen, dass man gerade den Durchbruch in Sachen Wasserkocher vor sich stehen hat. Das Ding hat eine Temperaturvorwahl (40, 60, 80 und 100 Grad), die ziemlich gut funktioniert und die einem die Heißwasserbereitung für grünen Tee oder Wärmflaschen immens vereinfacht. Die Warmhaltefunktion ist sicher auch manchmal praktisch, ich habe sie aber tatsächlich in anderthalb Jahren nicht einmal benutzt. Das Ding hat aber nicht nur technische Gimmicks, es sieht auch noch brauchbar aus, kocht mit 2400W schnell genug, hat ein herausnehmbares Edelstahlgeflecht als Kalkfänger und verbrüht einen nicht mit irgendwelchen Deckelfehlkonstruktionen. Dass er piepst, wenn das Wasser fertig ist, erweist sich im täglichen Gebrauch übrigens ebenfalls als äußerst nützlich, gerade in Kombination mit der Temperaturvorwahl. Der einzige Wunsch, den ich an das Ding noch hätte, wäre etwas mehr Fassungsvermögen, denn 1l reicht zwar meistens für unseren Bedarf, aber eben nicht immer.

Also noch mal mein Dank an die Schenker. Ich erfreue mich tagtäglich daran und fühle mich wasserkochertechnisch endlich angekommen.

P.S. Ach ja, noch ein Tipp zur Erhöhung der Benutzbarkeit von Wasserkochern: Benutzt einen Wasserfilter. Ich habe unseren Wasserkocher trotz häufiger Benutzung über anderthalb Jahre noch nicht einmal entkalken müssen, sogar das Edelstahlgeflecht, das Kalk fangen soll, ist blitzeblank. Wer also nicht gerade in einer Gegend mit ohnehin kalkfreiem Wasser lebt, sollte die geringe Investition in einen Wasserfilter nicht scheuen und vor allem konsequent nur gefiltertes Wasser in seinen Wasserfilter lassen. Als Lohn winkt einem ein immer sauberer Wasserkocher, der nie entkalkt werden muss und deswegen schnell wie am ersten Tag bleibt, sowie schmackhafterer Tee ohne Kalkschicht oben drauf. Ohne die Kalkschicht oben auf dem Tee bleibt übrigens auch keine hartnäckige braune Kalkschicht in der leeren Tasse zurück, oder zumindest deutlich weniger, was das Spülen ebenfalls immens erleichtert. Die Patina in der Edelstahl-Teekanne ist ohne nennenswerten Kalkanteil übrigens auch viel gleichmäßiger und nicht so abstoßend. Kampf dem Kalk. Für das Wasser hier in Düsseldorf reichen die billigen dm-Wasserfilter übrigens locker aus, in Köln aber wohl bei weitem nicht, wie ich mir habe sagen lassen. Dort kommt man wegen des unfassbaren Kalkgehaltes im Wasser wohl nicht um gute Markenfilter herum.

P.P.S. So ein Wasserkocher ist übrigens nicht zu unterschätzen, was die Leistungsaufnahme angeht. Wenn da 3000W als Nennleistung angegeben sind, nähert man sich den 16A der Hausabsicherung schon recht stark (230V*16A sind nur 3680W, die man aus einer Haushaltssteckdose ziehen darf). Also Vorsicht im Umgang mit solchen Geräten, gerade wenn sie billig waren. Vor allem Vorsicht, wenn man sie über Verlängerungskabel, billige Mehrfachsteckdosen oder parallel an einer Sicherung mit anderen starken Verbrauchern betreibt. Ein 3000W Wasserkocher und eine Mikrowelle oder ein Toaster im gleichen Mehrfachstecker sollten die Sicherung hoffentlich bereits auslösen. Aber verlassen würde ich mich da nicht drauf, gerade in Wohnungen mit fragwürdiger Elektroinstallation.

Gelegentlich habe ich das Vergnügen, in fremdem PHP-Code zu wühlen. Über die Nichteinhaltung irgendwelcher Coding-Standards ärgere ich mich deshalb nicht mehr, weil das der Normalfall ist. Was mich aber immer wieder bass erstaunt, ist die Anfälligkeit für SQL-Injections. Im Jahre 2010 sollte sich doch wirklich auch zum letzten PHP-Frickler herumgesprochen haben, das Konstrukte wie diese beiden hier wahnsinnig sind:

$sql = "SELECT * FROM tabelle WHERE ort = '" . $_POST['ort'] . "'";

$sql = "SELECT * FROM users WHERE username = 'admin'
  AND password = '" . $_POST['password'] . "'";

Gibt man nun im zweiten Beispiel ein kleines leckmich' OR 1 OR password = ' ein, macht PHP daraus folgendes SQL-Statement:

$sql = "SELECT * FROM users WHERE username = 'admin'
  AND password = 'leckmich' OR 1 OR password = ''";

Et voilà, wir sind als Admin eingeloggt. Das ist ein echtes Beispiel, das mir mal den Zugang zu einem Admin-Backend ermöglicht hat, zu dem ich auf die Schnelle keine Zugangsdaten bekommen konnte. In dem Fall war das ein Segen, weil es mir die Arbeit erleichtert hat, aber auf die Idee hätte auch irgendwann jemand anderes kommen können. Es gibt auch ein legendäres XKCD dazu, das ich gerne als Einstieg in meiner Vorlesung benutze, wenn es um Computersicherheit geht.

Manchmal wird $_POST immerhin vorher irgendwie geprüft oder gefiltert, Konstrukte wie das folgende sind also im Grunde recht klug gedacht:

$connection = mysql_connect('localhost', 'user', 'password');
mysql_select_db("dbnamme", $connection);
if ( preg_match('/[\w\(\)\.-]/iu', $_POST['ort']) )
{
  if ( $result = mysql_query("SELECT * FROM tabelle WHERE ort = '" . $_POST['ort'] . "'") )
  {
    $row = mysql_fetch_array($result);
  }
}

Allerdings neigt man bei solchen Sachen dazu, im Eifer des Gefechts die wichtige Prüfung auf ungültige Zeichen zu vergessen oder unter bestimmten Randbedingungen gar nicht ausführen zu lassen. Es gibt unzählige Möglichkeiten, eine SQL-Injection zu vermeiden, irgendeine davon sollte genutzt werden. Mein Favorit ist eindeutig die Nutzung eines Frameworks, das sich darum kümmert, oder eben die eigene Datenbankprogrammierung ausschließlich über prepared statements und PDO. Letzteres sieht dann für obige Funktionalität vereinfacht etwa so aus:

$dbh = new PDO('mysql:host=localhost;dbname=dbname', 'user', 'password');
$stmt = $dbh->prepare("SELECT * FROM tabelle WHERE ort = :ort");
if ( $stmt->execute(array(':ort' => $_POST['ort'])) )
{
  $row = $stmt->fetch(PDO::FETCH_ASSOC);
}

Hier sorgt das prepared statement von PDO dafür, dass zuerst der SQL-String mit Platzhalter an die Datenbank übertragen wird, und später getrennt davon der Inhalt von $_POST['ort']. Keine SQL-Injection möglich an dieser Stelle, wir können ruhig schlafen. Und das beste ist, es ist nicht mal wirklich komplizierter, schwieriger oder mit mehr Code verbunden, einfach sicherer. PDO kann übrigens noch mehr, etwa sehr komfortabel mit Transaktionen umgehen, die dann wichtig werden, wenn man mehrere voneinander abhängige Schreiboperationen auf der Datenbank durchführt und die nur entweder ganz oder gar nicht haben will. EIn Blick die Dokumentation zu PDO zeigt noch etliche andere Vorteile auf und PHP mindestens in Version 5.1 sollten wir inzwischen doch hoffentlich alle haben.

Neben SQL-Injections gibt es noch unzählige weitere Angriffsflächen auf Webapplikationen, aber wenn man schon an so offensichtlichen Grundlagen scheitert, sollte man die eigene Programmierleistung noch mal grundlegend auf den Prüfstand stellen. Vielleicht sollte man auch lieber stricken oder kochen, wenn man da grundlegende Fehler macht, fängt man sich nicht direkt einen Servereinbruch ein. Wer fürs Web programmiert, trägt eine gewisse Verantwortung; sich also zumindest ein klitzekleines Basiswissen an sicherer Programmierung zuzulegen, darf doch erwartet werden. Vor allem, wenn in dem Admin-Interface Kundendaten einsehbar oder gar veränderbar sind, oder man dort anderen Schindluder mit wichtigen Dingen treiben kann. War in obigem Fall nicht so, immerhin.

Klar passieren einem Programmierfehler, aber Daten ungeprüft aus $_POST (oder sonstigen vom Benutzer kontrollierten Quellen) in eine Datenbankabfrage zu übernehmen geht wirklich ganz und gar nicht, nie und nimmer. Das ist ein unverzeihlicher Fehler und zeugt von mangelndem Grundverständnis der Thematik. Wenn ich sowas sehe, frage ich mich immer, ob der jeweilige Programmierer überhaupt ansatzweise weiß, was er da macht. Wenn das ein Anfänger bei seiner ersten Clan-Homepage macht, kann man darüber ja noch lachen, aber wenn Geld fließt, kann man sich solche Sperenzchen einfach nicht mehr leisten.

Nachtrag 01.11.2010: Besonders schön sind übrigens Kommentare wie //Schutz vor SQL-Injection, die nur wenige Zeilen unterhalb einer anderen gefährdeten SQL-Abfrage kommen. Offenbar ist das Problem grundsätzlich bekannt, aber etwas dagegen tun tut man dann doch nur, wenn man mal Lust darauf hat. Warum nur?

Wir haben es Herrn Sarrazins aufwühlenden Thesen zu verdanken, dass die leidige und von haarsträubender Ignoranz geprägte StreetView-Debatte im Medien-Sommerloch abgelöst wurde. Nun mal ein paar abschließende Worte dazu.

StreetView und die Einbrecher

Dieses Scheinargument hat die ganze Debatte dominiert und wird weiterhin, selbst von webaffinen und gebildeten Menschen ins Feld geführt. Ich möchte das inhaltlich gar nicht all zu tief angreifen, das hat Thomas Knüwer bereits ausführlich getan. Mal im Ernst: Wer so tut, als gäbe es mit StreetView auch nur einen Einbruch mehr, der argumentiert fern der Realität. Also Gegenfrage: Inwiefern macht es StreetView Einbrechern denn leichter, ihrem Treiben nachzugehen? Meint irgendwer allen Ernstes, ohne StreetView-Unterstützung mangele es Einbrechern an lohnenden Zielen? Oder es würden neue Einbrecher angezogen, weil man jetzt nicht mehr mühevoll selbst durch die Straßen fahren oder soziodemographische Statistiken von Wohngegenden wälzen muss? Ganz davon abgesehen übrigens, dass schon Ende der 90er Jahre großflächig ganze Straßenzüge fotografiert und auf CD-ROM veröffentlicht wurden.

Wir brauchen aber gar nicht auf die inhaltliche Ebene des Arguments vorzustoßen, denn selbst wenn Google StreetView von Einbrechern zur Unterstützung der Planung von Einbrüchen genutzt würde, wäre das lediglich eine marginale Technikfolge. StreetView bildet nicht mehr ab, als das ohnehin öffentlich sichtbare; zudem an einem Stichtag, der bei Veröffentlichung mindestens ein Jahr her ist. StreetView bietet tolle Möglichkeiten, man muss sich damit einfach mal durch fremde Städte bewegen, um das Potenzial zu erkennen. Dass dieses Potenzial vielleicht auch für finstere Machenschaften genutzt werden kann, kann genau so wenig Argument gegen StreetView sein, wie gegen das Telefon (kann Einbrechern helfen, sich abzusprechen), Veröffentlichung von geographisch gegliederten Statistiken (kann Einbrechern helfen, lohnende Gegenden zu identifizieren) oder die freie Nutzung öffentlicher Straßen durch jedermann (auf öffentlichen Straßen fahren Tag und Nacht finstere Einbrecher herum und spionieren geeignete Ziele aus). Wer dieses Argument nutzt, hat offensichtlich nichts besseres parat, um seine diffusen irrationalen Ängste zu verargumentieren. Oder aber er plappert andere Argumente einfach nach, ohne mal kritisch darüber nachgedacht zu haben. So oder so, wer mit diesem Scheinargument kommt, braucht an der Diskussion nicht teilnehmen. Stattdessen kann er einfach nach Hause gehen, sein Haus verpixeln lassen und sich dann wieder schön sicher fühlen.

StreetView und die Panoramafreiheit

Viel wurde über die Panoramafreiheit geredet. Kurz gesagt sichert die Panoramafreiheit jedermann das Recht zu, Lichtbilder von der Öffentlichkeit anzufertigen und zu veröffentlichen. Öffentlichkeit ist da, wo die Privatheit des Einzelnen endet, ganz explizit auf offener Straße. In die Panoramafreiheit integral einbezogen sind also Hausfassaden, Hecken, Vorgärten und Fahrzeuge auf der Straße. StreetView ist also im Grunde ein Musterbeispiel für die Panoramafreiheit. Dass die Kameras auf der Höhe eines ausgestreckten Arms fotografieren, ändert daran grundlegend nichts. Neu ist nur die Vollständigkeit der Erfassung und Veröffentlichung, darüber kann man tatsächlich diskutieren. Ich sehe allerdings keinerlei Anlass dazu: Die Abbildungen bilden weiterhin nur das öffentlich Zugängliche an einem Stichtag in der nicht allzu nahen Vergangenheit ab. In eine sehr spannende Richtung geht übrigens der Vortrag/Text Das radikale Recht des Anderen von mspro, der auch außerhalb des StreetView-Kontextes wirklich ausgesprochen lesenswert ist. Kurz gefasst geht es darum, ob sein Haus verpixeln zu lassen nicht in erster Linie eine Einschränkung der Anderen in ihrem Recht auf Nutzung des öffentlichen Raumes ist, gerade auch in Bezug auf die Zukunft.

StreetView und die Live-Bilder

Irgendwie scheint sich bei vielen Leuten der Gedanke verfestigt zu haben, dass StreetView nicht etwa Bilder von vor mindestens einem Jahr (als das StreetView Auto da war) zeigt, sondern Live-Bilder oder zumindest ständig aktualisierte Bilder aus jüngster Vergangenheit. Wenn Polizeiobere sich in Zeitungen mit der Idee zitieren lassen, StreetView als virtuelle Streifenfahrt nutzen zu können, sind Hopfen und Malz verloren. Man kann nur hoffen, dass der Mann einen schrägen Humor hat und das nicht ernst gemeint hat.

Aber was wäre denn, wenn StreetView Fahrzeuge ständig durch die Straßen führen und Live-Bilder ins Netz streamen würden? In erster Linie wäre das hoch spannend für die Zuschauer des Nachtprogramms. Die Frage ist aber, wo ist die Grenze des Erträglichen? Unter der Annahme, dass auch im Live-Betrieb Gesichter, Nummernschilder und Häuser auf der Blacklist herausgepixelt werden, könnte man durchaus darüber reden. Dann allerdings würden viele der heute unsinnigen Argumente wieder ins Spiel kommen und das Ergebnis sähe anders aus. Gut, dass wir uns darüber zur Zeit keine Gedanken machen müssen.

StreetView und Persönlichkeitsrechte

Ein putziges Argument gegen StreetView ist der ertappte Fremdgeher: Ein auffälliges Auto vor dem Haus der falschen Frau geparkt, könnte Fremdgeher auffliegen lassen. Das Argument ist deswegen so putzig, weil es so eine seltene Randerscheinung bleiben dürfte, dass es schlicht irrelevant ist. Wer mit auffälligem Auto vor dem Haus der falschen Frau parkt, parkt mit einem auffälligen Auto vor dem Haus der falschen Frau. Ob er dabei von geschwätzigen Nachbarn, Bekannten, Verwandten, Sonstwem, der eigenen Frau oder dem Google-StreetView-Auto beobachtet wird, macht einfach keinen Unterschied; wobei das StreetView-Auto nun wirklich die seltenste Begegnung davon sein dürfte. Dass das StreetView-Auto das dann für die nächsten Jahre öffentlich dokumentiert, ist Künstlerpech.

Hier lauert aber schon das nächste Missverständnis: Wer zufällig vom StreetView-Auto erfasst wurde, ist normalerweise nicht erkennbar. Gesichter und Nummernschilder werden sehr zuverlässig weggepixelt. Wer dennoch an irgendwelchen Merkmalen erkennbar ist und das nicht möchte, hat einfach mal Pech gehabt. Man muss sich wieder mal vor Augen führen, dass man sich da in der Öffentlichkeit bewegt hat und eine der zentralen Eigenschaften der Öffentlichkeit ist ja gerade, dass man möglicherweise erkannt wird. Und wieder einmal reden wir nicht von Live-Bildern, sondern von Lichtbildnissen an einem (inzwischen sogar vorab bekanntgegebenen) Zeitpunkt.

Google und das WLAN

Google hatte massiven Ärger wegen der Erfassung von WLAN-Netzen bekommen. Stein des Anstoßes war nicht etwa, dass Google eine Karte aller WLANs zu einem Stichtag erzeugt, anhand derer mobile Endgeräte überraschend präzise ihren Ort bestimmen können. Das machen auch andere Unternehmen schon länger und der Nutzen liegt auf der Hand. Als Skandal aufgebauscht wurde die Tatsache, dass Google dabei auch den Inhalt einiger Netzwerkpakete eben dieser WLANs aufgezeichnet und gespeichert hatte. Nun wurde bekannt, dass darunter auch ganze E-Mails, URLs und Passwörter waren. Schlimm schlimm, Google zeichnet die Passwörter von unbescholtenen auf, ein Skandal!

Übersehen wird dabei ganz offensichtlich ein klitzekleines Detail: Wer sein WLAN nicht verschlüsselt und darüber (nicht anderweitig verschlüsselte) Nutzdaten überträgt, hat ganz andere Probleme als die paar Pakete, die das StreetView-Auto zufällig aufgeschnappt hat. Vielmehr kann in dem Fall jeder in Reichweite des WLANs ständig alle darüber übertragenen Daten mitlesen. Dass Google davon einen mikroskopisch kleinen Fetzen gespeichert hat, ist angesichts dieses eklatanten Sicherheitsproblems nun wirklich mehr als nur ein bisschen irrelevant. Das ist in etwa so, als würde man mit einem Beamer seinen Bildschirminhalt an die Hauswand werfen und sich dann beschweren, dass ein zufällig vorbeikommender Passant da vielleicht etwas von gesehen haben könnte. Leute, verschlüsselt Eure WLANs oder übertragt wenigstens nur anderweitig verschlüsselte Daten über offene WLANs. Wer das nicht tut, öffnet Missbrauch Tür und Tor.

StreetView und die Verdrängung echter Verletzung von Persönlichkeitsrechten

Was mich an der StreetView-Debatte über die vielen krassen Missverständnisse hinaus aber am meisten frustriert hat, ist die Irrelevanz angesichts der realen Probleme im Bereich Persönlichkeitsrechte: SWIFT-Abkommen, ELENA, Vorratsdatenspeicherung, um nur die krassesten zu nennen. Da brennt gerade die Hütte und die Leute regen sich über StreetView auf, als würde das Abendland deswegen untergehen. Von StreetView hat wenigstens jeder unmittelbar etwas und was die Verletzung der Persönlichkeitsrechte angeht, ist StreetView ein Fliegenschiss gegen die oben genannten staatlichen Eingriffe. Und jetzt kommt mir nicht mit dem Argument, die Sachen wären viel zu komplex für die Leute, um sich darüber aufzuregen. StreetView ist gemessen an den eklatanten Missverständnissen ebenfalls komplex und wird von den Medien völlig unzulässig vereinfacht, um Stimmung zu machen. Davon abgesehen ist etwa SWIFT alles andere als komplex: Es wird den USA Zugriff auf Finanztrafsferdaten europäischer Bankkunden gewährt. Das bedeutet vielerlei, vor allem aber bedeutet es ganz offensichtlich, dass man spätestens jetzt keinen Cent mehr auf das Bankgeheimnis wetten kann. Regt sich darüber jemand auf? Nein! Stattdessen werden irgendwelche diffusen Zusammenhänge zwischen der Veröffentlichung von Bildern von Hausfassaden und einer dadurch signifikanten Vereinfachung des Einbrecher-Handwerks zusammenfantasiert und auf Titelseiten großer Zeitungen abgedruckt. Da lässt sich in der Rheinischen Post ein Haufen Rentner gut erkennbar und unter voller Namensnennung vor ihrer Hausfassade ablichten und mit einem Artikel verewigen, in dem sie ganz stolz erzählen, dass sie ihr Haus bei StreetView haben verpixeln lassen. Auf ungefähr diesem Absurditätsniveau bewegte sich fast die gesamte Debatte ein halbes Sommerloch lang.

Über 240.000 Anträge auf Verpixelung von Häusern sind nun bei Google aufgelaufen. Fast eine viertel Million Bürger hat sich die Mühe gemacht, das gar nicht so triviale Verfahren zur Verpixelung des eigenen Hauses zu durchlaufen. Zum Vergleich: An der großen Verfassungsbeschwerde gegen die Vorratsdatenspeicherung haben sich etwa 30.000 Bürger beteiligt und das war deutlich weniger Aufwand. OK, das sind zwei paar Schuhe, schwer zu vergleichen. Aber die Größenordnung ist interessant.

Um das klar zu stellen: Ich möchte den Leuten nicht ihr Recht absprechen, ihr Haus verpixeln zu lassen, das hat Sascha Lobo kurzweilig aufgearbeitet. Jeder kann von mir aus so viel Haus verpixeln lassen, wie es ihm lieb ist und wie er es ertragen kann, bei StreetView als Spießer dazustehen. Aber eben bitte nicht unter Vorschützung dämlicher, uninformierter oder fadenscheiniger Argumente. Ein einfaches Ich nutze die Möglichkeit zum OptOut, weil mir bei der Sache einfach nicht recht wohl ist ist doch völlig ausreichend. Hört endlich mal auf, diffuse Ängste mit Scheinargumenten untermauern zu wollen. Und überhaupt, hört vor allem endlich mal auf, Euch von Spiegel, BILD und Co. ständig irgendwelche diffusen Ängste einflüstern zu lassen.

Seid aber vor allem froh, dass Google Euch die Möglichkeit zum OptOut überhaupt gibt; bei der wirklich massiven Verletzung der Persönlichkeitsrechte durch den Staat und viele Unternehmen ist ein OptOut üblicherweise gar nicht erst vorgesehen. Ihr wollt weder ELENA, noch SWIFT, noch Vorratsdatenspeicherung (die leicht modifiziert wiederkommen wird)? Viel Spaß als Selbstständige auf Bargeldbasis ohne Festnetz, Handy und Internet. Denn so sieht der OptOut in dem Bereich aus. Komisch eigentlich, dass die Lockerung oder Streichung des Brief- und Postgeheimnisses oder die Einschränkung des Bargeldverkehrs noch nicht gefordert wurde.

Nachtrag 18.11.2010: StreetView ist jetzt online und das ganze Ausmaß der Verpixelung wird sichtbar. Heilige Scheiße, das entstellt ja ganze Straßenzüge. Bisher habe ich die paar Spießer belächelt, aber angesichts der Auswirkungen muss ich mich in die Riege derer einreihen, die das als Vandalismus im digital-öffentlichen Raum ansehen. Am schönsten getroffen hat das Anatol Stefanovic:

Wer seine Wohnung (und damit dann das gesamte Mietshaus) verpixeln lässt, ist und bleibt für mich ein digitaler Bilderstürmer, der seine Phantastereien über die Reichweite der eigenen Privatsphäre über das Recht der Allgemeinheit auf Teilhabe am gemeinsamen kulturellen Erbe stellt.

Aber die Hauptverantwortung für diese ikonoklastische Katastrophe liegt bei Google selbst. Denn Google wäre nicht gezwungen gewesen, auf die Forderungen nach einem Widerspruchsrecht einzugehen, mit denen Politiker mit einem ernsthaft gestörten Rechtsverständnis von ihrer eigenen Missachtung bürgerlicher Freiheiten ablenken wollten.

Vorweg: Ich habe mal im Jahr 2005 für ein Projekt einen genaueren Blick in das CMS Joomla geworfen und mich klar dagegen entschieden. Ich weiß nicht mehr im einzelnen, wieso, aber die Entscheidung war sehr klar und fiel seinerzeit zugunsten von TYPO3 aus, das ich seitdem hervorragend bewährt hat. Ich weiß also im Grunde nicht viel über Joomla. Irgendwann habe ich mal beim Multimediatreff in Köln einen Vortrag zur Joomla-Entwicklung gehört, bei dem der (oder die?) Vortragende keinen leichten Stand hatte: Das Publikum war offensichtlich der Meinung, dass Joomla eher zu den weniger ernstzunehmenden Content-Maganement-Systemen gehört; zudem überzeugte auch der Vortrag kaum vom Gegenteil. Auch sonst haben Joomla-Integratoren einen schweren Stand in meiner Peergroup. Genau genommen habe ich nicht eine Empfehlung für Joomla von jemandem gesehen, den ich in Sachen Webentwicklung üblicherweise ernst nehme. Vielleicht ist das Zufall, aber ich kenne auch niemanden, der jemanden kennt, der Joomla einsetzt und dabei – wie auch immer definiert – gut ist.

Wo mir Joomla aber häufig begegnet, ist bei sehr günstigen Angeboten für Webseiten (sowohl Wettbewerb für, als auch zur beratenden Prüfung durch mich). Fast immer sind das 1-Mann-Agenturen, deren Angebote und vor allem deren Auftreten mich nicht von gesteigerter technischer Kompetenz überzeugt. Ganz häufig sind das Quereinsteiger, die sich autodidaktisch irgendwie HTML und CSS angefressen und im Zuge der Joomla-Integration auch ein paar Brocken sehr schlechtes PHP angeeignet haben. Ich möchte das nicht generell kritisieren, jeder fängt mal an und lernt den Kram im Laufe der Zeit irgendwie mehr oder weniger gut. Das Problem ist, dass bei den Leuten, die mir im Joomla-Kontext begegnet sind, das weniger dominiert. Das heißt nicht, dass jeder Joomla-Integrator ein Stümper ist; nur eben, dass er sich in einem Umfeld mit auffällig vielen Stümpern bewegt.

Frage ist: Warum ist das so? Ist Joomla ein schlechtes CMS? Meiner Meinung nach ja, aber das ist wenig objektiv. Aber irgendwas muss doch da dran sein, wenn es so beliebt ist. Module zusammenstöpseln und eine irgendwie lauffähige Seite bekommen, ohne sich groß einarbetien zu müssen, können auch andere Systeme. Was ist es also, was all die Stümper und Anfänger so anzieht? Warum setzt man ein System ein, dessen nach vielen Jahren endlich erscheinende neue Version ungefähr das halbe Featureset von anderen Systemen vor fünf Jahren implementiert? Stichwort Rechtesystem oder tabellenfreier HTML-Output der Core-Funktionen. Weil es so einfach in der Integration ist und man vom Wissensstand her nicht in der Lage ist, ein besseres System einzusetzen? Dann stellt sich aber die Frage: Warum nimmt man Geld für eine Dienstleistung, wenn der eigene Wissensstand gerade mal für das einfachste Werkzeug reicht? Immerhin muss man den Joomla-Integratoren der Kreisliga lassen, dass sie meistens auch nur Kreisliga-Preise aufrufen. Wenn ich aber bei günstigen Nebenberuflern die Wahl habe zwischen einem ambitionierten Studenten und einem Feierabend-Joomla-Bastler, gewinnt der ambitionierte Student. Joomla im Angebot ist für mich ein klar schlechtes Zeichen, das würde ich nicht buchen. Gemeine Vorurteile? Vielleicht, aber auch das ist bei der Wahl eines CMS für Angebote für Geld zu berücksichtigen.

Aber mit der nächsten Version kommen doch endlich alle wichtigen Features… Ja, schön. Schon mal die Planungen für TYPO3 5.0 gesehen? Nein? Weil das noch nicht relevant ist, weil es in ferner Zukunft passiert? Genau. Handfeste Defizite in der aktuellen Version mit Planungen für die Zukunft zu entschuldigen, ist nicht zielführend, weil die anderen sich ebenfalls weiterentwickeln. Während in Villabajo noch mit einem benutzbaren Rechtesystem gekämpft wird, redet man in Villarriba von Aspektorientierter Programmierung, MVC, Content-Repositories und (vielleicht endlich mal praxistauglichem) Frontend-Editing.

Empfehlungen, die ich übrigens über die Jahre immer wieder gehört habe, sind ModX (das als Geheimtipp gilt), TYPO3 (das ich selber häufig nutze), Wordpress (weil alle es nutzen, es ein tolles Backend hat und es so schön nah am Code operiert), Textpattern (das ich vom Konzept her gar nicht mochte, das aber von seinen Fans vehement vertreten wird), Drupal (vor allem im Community-Kontext) und verschiedene kleinere recht charmante Systeme.