Software Guide

Wie Heise berichtet, hat das Pentagon auf der Video-Plattform YouTube einen Channel namens Multinational Force Iraq gestartet, um darüber für das US-Militär und den Einsatz im Irak „günstige“ Bilder und Informationen zu veröffentlichen. Man will zwar Niederlagen und Opfer auf der eigenen Seite nicht zeigen, wohl aber unterhaltsame Einsätze, bei denen der Gegner bekämpft und besiegt wird, schreibt Heise.

Damit ist YouTube für mich gestorben, mein Aktionsplan:

• YouTube-Account löschen
• Blog nach YouTube durchsuchen und alle Links und Video-Einbettungen entfernen
• YouTube nicht mehr verlinken
• YouTube per E-mail informieren, dass dies inakzeptabel ist

(via Sprechblase | Basic Thinking | Google Watchblog)

In letzter Zeit verwenden immer mehr Webseiten den Webservice von snap.com: sobald man mit der Maus über einen Link fährt, wird nach einer Verzögerung in einem JavaScript-Fenster ein Screenshot der Zielseite angezeigt. Anfangs mochte ich dies nicht besonders gerne, doch mittlerweile nervt es mich täglich mehr.

Zum Glück gibt es nun Abhilfe, per Cookie lässt sich die Vorschau abschalten. Leider keine dauerhafte Lösung, da ein Löschen der Cookies Snap wieder aktiviert :-( Schade, dass es wohl noch kein Firefox-Plugin dafür gibt.

(via diverse Blogs)

4 Studentinnen der Rheinischen Fachhochschule Köln haben eine Projektarbeit über Corporate Weblogs geschrieben, Download (PDF, 7MB) (Download wurde entfernt).

Ich habe die ersten Seiten der Arbeit mehr oder weniger überflogen. Sie macht oberflächlich einen guten Eindruck, liest man sich allerdings weiter ein, so werden manche Punkte meines Erachtens nicht richtig dargestellt.

Bei einer Passage hat es mich aber eben fast vom Stuhl gehauen und ich musste dreimal nachlesen, und zwar diese von Seite 38, wo zuvor noch Archiv-Blogs erklärt wurden:

Archivierung deutschsprachiger Blogs:
Der Law-Blog
Dieser Weblog, gegründet von Udo Vetter, stellt ein umfassendes Archiv deutschsprachiger Blogs zur Verfügung (siehe Abb. 22). Ein thematisch zutreffender Blog kann innerhalb des Law-Blogs bis zu 20.000 verschiedene Beiträge chronologisch archivieren. Der Law-Blog wird kostenlos zur Verfügung gestellt und ermöglicht den Bloggern ihre Beiträge an einem zentralen Punkt zu speichern. Neben einer Informationsvermittlung soll der Law-Blog auch eine Diskussionsplattform für angesprochene Themen sein. Die Betreiber des Law-Blogs weisen in ihren allgemeinen Geschäftsbedingungen darauf hin, dass detaillierte Rechtsfragen im Law-Blog nicht geklärt werden können, ergo Angaben innerhalb des Blogs die Konsultation eines Rechtsanwaltes nicht ersetzen.

Es wird dabei auf den Lawblog-Beitrag Textdiebe verwiesen. Sorry, aber aber das ist schlichtweg falsch. Lawblog hat in dem Artikel nur das Impressum eines (mittlerweile aufgelösten) Blogs zitiert und dazu Stellung bezogen. Dieses Archiv-Blog hatte unzählige Weblog-Inhalte unerlaubt bei sich gelistet, ich berichtete darüber am 08.05.2006 unter Dreister Content-Klau.

Als Einleitung werden auf Seite 38 Archiv-Blogs erklärt:

Archivblogs sind innerhalb von manchen Corporate Blogs verankert. Wie der Name schon sagt, archivieren diese Blogs die bereits bestehenden, um so eine ideale Informationsvermittlung zu ermöglichen. (…)

Nochmal: Diese sog. „Archiv-Blogs“ eignen sich unbefugt Content an (z.B. über RSS-Feeds) um dann z.B. über Anzeigenschaltung Geld zu verdienen, dies hat nichts mit Corporate Blogs zu tun.

Diese Falschaussagen zeigen, dass in keinster Weise gut recherchiert wurde. Ich habe mir diese Arbeit jetzt nicht mehr weiter angesehen, weiß also nicht ob noch weitere Hämmer enthalten sind.

Aufgrund des Software-Guide-Redesigns gibt es neue Pfade und verwendete Symbole sind nicht mehr unter den bestehenden Pfaden verfügbar. Ist auch egal, wird ja alles über CSS-Dateien geregelt. Das mag man zumindest meinen, denn ich hab plötzlich Fehl-Zugriffe auf verschiedene Dateien meines Themes festgestellt, u.a. auf ein Mini-Icon mit 97 Bytes (ja, Bytes und nicht Kilobytes). Dieser Zugriff kam von focusonlibya.com, und der Quellcode zeigt es:

Ich habe daher jetzt sog. Hotlinking serverseitig gestoppt. Via Google kam ich auf die Seite How Do I Stop Hotlinking and Bandwidth Theft?, die Tipps zum serverseitigen Sperren von Hotlinking gibt.

Ich habe nun folgende Regel in die .htaccess-Datei mit aufgenommen, damit werden Bilddateien nur noch an den eigenen Server ausgeliefert.

#---------------------------------------
# 29.12.2006: Stop Hotlinking 
#---------------------------------------
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?sw-guide\.de/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ - [F]

Es gibt übrigens sogar ein deutschsprachiges Hotlinking-Blog, betrieben vom BloggingTom, ist allerdings nicht mehr ganz aktuell (letzter Beitrag vom April 2006).

Für das Blogsystem WordPress gibt es das sehr weit verbreitete Plugin Trackback Validation. Viele setzen es ein, und irgendwie vertraut man dem Ding auch, stammt es doch von der Rice University, zumindest lt. Webseitenangaben.

Frank Bültge hatte sich das Plugin schon genauer angesehen und festgestellt, dass MySQL-Tabellen beschrieben werden. Daher hat er auch ein Plugin veröffentlicht, um diese Tabellen zu bereinigen.

Schaut man sich den Sourcecode jedoch näher an, so entdeckt man eine Unstimmigkeit:
In den Optionen ist bei Installation folgendes bereits selektiert: „Submit data to the Computer Security Lab at Rice University for research. Tatsächlich wird erst durch das Setzen dieses Hakens eine WordPress-Tabelle geführt, wobei jeder Trackback an diese Uni übertragen wird. Da stellt sich schon mal die Frage, was die Uni mit all den Trackbacks will. Transparenz? Nein, die Uni hält es natürlich nicht für nötig, auf der Webseite darüber zu informieren. Diese MySQL-Tabelle wird dabei ausschließlich für die Uni geführt, Kommentare werden zusätzlich in der Kommentar-Tabelle abgelegt, wenn nicht freigegeben.

Steigt man tiefer ein, so sieht man, dass die Uni die PHP-Klasse Snoopy einsetzt. Diese ermöglicht es, Webseiten per PHP auszulesen, um z.B. an die URLs zu kommen. Kein Problem soweit. Allerdings setzt die Uni die Version 1.2 von Snoopy ein, nur gab es von Snoopy u.a. am 24.10.2005 ein sog. „Snoopy 1.2.1 bug fix and security release“. Das Datum von Dateien im Zip-Archiv des Plugins ist allerdings neuer, außerdem steht auf der Webseite der Uni 21 May 2006: Bugfix release: 0.7.1.

Das bedeutet: Die sog. Rice University vertreibt alten, verseuchten Code und sieht es nicht für notwendig an, bei Updates auch die mitgeführten Daten zu aktualisieren. Ich weise deshalb so drastisch darauf hin, weil doch gerade eine Uni hier eine Vorzeigerolle spielt und nicht schlampen sollte.

Der Witz steht dann auch noch hier:

We are actively developing additional heuristics to add to the plugin; if you observe TrackBack spam that makes it past this plugin, please let us know.

Fakt ist, dass die Hauptarbeit die Open-Source-Klasse Snoopy macht. Das Plugin führt lediglich einen kleinen Regex-Aufruf durch. Heuristik? Im Plugin ist jedenfalls nichts zu spüren.

Wie geht es weiter?
Ich habe aufgrund dieser Erkenntnisse beschlossen, ein eigenes Trackback-Validierungs-Plugin zu schreiben. Ist auch schon fertig und wird gerade von mir hier auf Software Guide getestet. Ich werde es in den nächsten Tagen veröffentlichen. Ich setze damit die neueste Snoopy-Version ein und es gibt eine Möglichkeit, Trackback-Spam ganz streng zu beurteilen (Permalink muss exakt übereinstimmen) oder das ganze weicher zu fahren (irgend ein Link auf Blog reicht).

Fortsetzung folgt ;-)

Wie bei Micro Persuasion zu lesen ist, haben Edelman und Technorati die angeblich einflussreichsten Blogs in Deutschland, Frankreich und Italien herausgestellt:


Wie falsch diese Auswertung im Bezug auf „einflussreichste Blogs“ ist, zeigt jedoch folgendes:
Es gibt bei Micro Persuasion eine Excel-Liste mit den Top 247 Blogs in Deutschland: Top 100 DE FR IT.xls.
Bereits auf Platz 12 erscheint Software Guide:

Technorati/Edelman vertrauen also blind den eingehenden Bloglinks. Warum diese bei Software Guide sehr viel mehr sind als bei Blogs ähnlicher Struktur (ähnliche Themen, ähnliche Beitrags-Frequenz, ähnlich lange online), hatte ich bereits in meinem 9-Monats-Traffic-Report erklärt:
Mit dem von mir geschriebenen WordPress-Plugin Maintenance Mode kann man kurzfristig das Blog in einen Wartungsmodus versetzen, um z.B. Wartungsarbeiten am Theme vorzunehmen, der Besucher erhält dann nur eine Standard-Seite mit entsprechendem Hinweis. In der Fußzeile dieser Wartungsseite ist ein Link auf Software Guide. Geht nun der Technorati-Bot auf eine Seite, wenn gerade der Wartungsmodus aktiviert wurde, so bekommt Software Guide einen Link mehr bei Technorati.

Genau so läuft es übrigens mit Bloggern, die eigene Weblog-Themes veröffentlichen: in der Regel wird in der Fußzeile des Themes auf’s eigene Blog gelinkt, was ja mehr als fair ist, wenn das Theme kostenlos bzw. unter GPL zur Verfügung gestellt wird. Bei diesen Links ist der Effekt sogar noch gravierender, da diese dauerhaft und nicht temporär wie bei einem Wartungsmodus sind.
Das erklärt wohl u.a. auch, warum z.B. 4null4.de in den Top10 gelandet ist, nämlich wegen dem WordPress-Theme Binary Blue.

Ich persönlich freue mich über jeden „echten“ Link auf Software Guide, das sind mittlerweile einige, aber sicherlich nicht von 630 verschiedenen Blogs bewusst gesetzt, wie Technorati/Edelman-Statistik angibt.

Bloggern, die schnell in die Technorati-Edelman-Top10 kommen möchten, empfehle ich, ein sehr gutes WordPress-Theme zu erstellen das bei vielen gut ankommt, dann geht das fast von ganz alleine :-)

Dass es so einfach ist, war mir nicht bewusst: der folgende 8 Minuten lange Film zeigt mit Englischen Untertiteln, wie einfach Schlösser zu öffnen sind.

[Link gelöscht, Grund siehe Artikel Fuck off, YouTube]

In einer PDF-Datei (544k) werden weitere Details gezeigt. Wahrscheinlich ist es auch in Deutschland schwierig, Versicherungsleistungen im Fall von Diebstahl zu bekommen, wenn eine Wohnung ohne Spuren geöffnet wurde.
(via electrobeans)

Navigationsmenü einer Webseite:

Das Beispiel zeigt sehr deutlich, wie man es nicht machen soll: Google-Adsense-Anzeigen nahezu perfekt ins Navigationsmenü integrieren, zudem läuft ein Script im Hintergrund, das die Werbung nach einer Weile an anderer Stelle im Menü platziert. Selten habe ich ein solches Negativ-Beispiel gesehen, um Besucher zu verarschen und zu Klicks auf Werbung zu verleiten. Und gemäß den Adsense-Richtlinien ist dieser Einsatz scheinbar sogar erlaubt, zumindest wird nichts gegen eine Integration wie dieser erwähnt. Wäre ja auch nicht sinnvoll, da Google bei jedem Klick kassiert.

(via betamode)

Immer wieder erhalte ich von Betreibern relativ frischer Blogs per Email Anfragen zu Linktausch-Angeboten, folgende Anfrage kam vorhin rein:

(…) ich wollte Sie fragen, ob Sie vlt. Interesse an einem Linktausch zwischen unseren Blogs hätten?
Ich beschäftige mich in meinem Blog vorwiegend mit den Themen (…)

Zur Vereinfachung für mich schreibe ich hier in diesem Beitrag meine Meinung darüber und kann dann zukünftig bei solchen Anfragen direkt darauf verlinken ;-)

Einzelne Beiträge verlinken, Trackbacks

Jede Minute werden zig Blog-Beiträge in der Blogosphere untereinander verlinkt: Blog A schreibt einen Artikel, Blog B berichtet im eigenen Blog vom Artikel auf Blog A und setzt dorthin einen Link. Blog A erhält halbautomatisch „im Gegenzug“ einen Trackback-Eintrag in den Kommentaren. Dadurch ensteht die Verlinkung untereinander.
Dabei ist immer die Quelle mit URL anzugeben, das gehört zum guten Stil und hat sich etabliert. Entweder macht man das direkt im Text (z.b. „…habe ich bei …. gelesen…“) oder etwa ein via-Link am Ende des Artikels.

Blogroll

Besucht der Blogger von Blog B das Blog A immer wieder, so wird er/sie das Blog A in die Blogroll, also dauerhafte Linkliste aufnehmen.
Anhand der Blogroll orientieren sich übrigens auch Besucher des Blogs, um die Interessen des Bloggers einzustufen. Jeder Besucher nimmt an, dass Blogs in der Blogroll auch vom Blogger regelmäßig gelesen werden. Würde ein Blogger dort auch Links von Blogs listen, die er/sie nur wegen Linktausch aufgenommen hat, so wäre das den Besuchern gegenüber in gewisser Weise nicht ehrlich.

Kommentare

In Blogs wird auch regelmäßig kommentiert, dabei gibt der kommentierende Blogger bei „Webseite“ natürlich die URLs seines Blogs an. Auch dadurch entstehen Backlinks (wenn nicht durch die Software deaktiviert, Stichwort nofollow). Regelmäßige Kommentare in Blogs, die einen interessieren, können dabei durchaus sehr viel mehr bringen als ein Dutzend Linktausch-Aktionen.

Wie macht man ein neues Blog bekannt?

Wenn man erst kürzlich ein Blog eröffnet hat, hat man anfangs nur wenige Besucher. Das kann nach einer Weile demotivieren, denn was bringen die tollsten Beiträge wenn keiner mitliest und verlinkt.
Einen sehr guten Artikel hat Robert Basic in Wie wird das eigene Blog bekannt? geschrieben, absolut lesenswert!

Wer WordPress als Blog-Plattform einsetzt, kann sich meine Artikel ‚Tipps zu SEO für WordPress‘ – Teil 1 und Teil 2 ansehen, um das Blog selbst zu optimieren.

Aktuell hat zudem Dr. Web Weblog eine tolle Aktion gestartet: Kostenlose Werbung für Weblogs, es gibt bereits eine große Plakatwand.

Fazit

Linktausch sollte man wirklich vermeiden, das macht man heutzutage nicht mehr, außerdem ist es dem Besucher gegenüber nicht ehrlich, wenn man das macht.
Mir persönlich ist viel lieber eine E-Mail à la „wenn Du Lust hast, dann schau mal bei mir im Blog vorbei…“. Solch einem Link-Tipp folge ich gerne. Finde ich es interessant, so gibt es einen Artikel und damit einen Link, oder es wird zumindest weiter beobachtet, welche Beiträge in der Zukunft kommen. Ich denke, den meisten Bloggern geht es hier ähnlich wie mir.

Vorkommnisse

Am 22. Juni berichtete ich von vermehrtem Spamaufkommen auf Software Guide: innerhalb weniger Stunden über 500 neuer Spam-Beiträge. Am 26. Juni berichtete ich von einer Verzehnfachung, also mehrere tausend Spam-Beiträge/Tag, und mögliche Abhilfen. Am 4. Juli hatte ich daraufhin das Mathe-Antispam-Plugin veröffentlicht.

Robert Basic berichtete fast parallel ebenfalls von massiven Problemen mit Spam, bei ihm war das ganze noch einen Schritt weiter, da teilweise lange Wartezeiten auftraten aufgrund der Spamattacken, also massiv negativer Einfluss auf die Server-Performance (siehe u.a. Spam-Stats und Gegenmaßnahmen).
Denis hatte es noch härter erwischt.

Auslöser

Hauptauslöser waren massive direkte Spamattacken per Bots, diese gingen nicht über Trackback/Pingback, sondern direkt über die Kommentar-Funktion.

Das Problem ist in keinem der Fälle, dass tatsächlich Spam durchkommt, denn etweder wurde Akismet oder Spamkarma eingesetzt. Beide WordPress-Plugins haben einen unterschiedlichen Ansatz, arbeiten aber sehr zuverlässig.

Hauptprobleme

Die Hauptprobleme waren vielmehr:

• Wird ein (Spam-)Kommentar abgegeben, so erfolgen durch diese Plugins mehrere Schreib- und Lesevorgänge in der MySQL-Datenbank, was bei Attacken den Server entsprechend beansprucht und ausbremsen kann.
• Bei mehreren tausend als Spam eingestuften Kommentaren kann es vorkommen, dass dazwischen False Positive sind, also echte Kommentare, die als Spam eingestuft wurden. Diese gehen in den Massen allerdings unter und werden vom Administrator gelöscht. Aus der Tätigkeit der Moderation wird also bei mehreren tausend Spams/Tag nur ein „per Mausklick alle als Spam gekkenzeichneten Nachrichten löschen“.

Lösung

Als Lösung wurde von Software Guide daraufhin Folgendes eingesetzt:

1. Math Comment Spam Protection Plugin:
   Das Plugin habe ich vor wenigen Tagen geschrieben, es stellt beim Kommentieren simple Mathe-Aufgaben. Mehr zu dem Plugin siehe unten.
2. Trackback Validator Plugin: Markiert alle Trackbacks als Spam, welche auf dem verlinkenden Blog keinen Back-Link zur getrackbackten Seite haben.
3. Akismet: Läuft weiterhin im Hintergrund und blockt alles, was trotzdem durchkommt.

Auf Software Guide ist das Konzept bisher aufgegangen, kein einziger Kommentar kam durch, die Anzahl der als Spam markierten Kommentare ging auf < 20 Stück / Tag zurück. Robert verwendet seit 06.07. ebenso dieses Konzept, wie er unter Die sanfteste Methode gegen Werbemüll berichtet, und scheint bisher ebenso gute Erfahrungen zu machen.

Mathe-Anti-Spam

Die meisten Spams blockt von Anfang an das Math Comment Spam Protection Plugin. Diskussionen dazu siehe auch unter Dr. Web: Spamschutz mit Rechenaufgaben.
Das Plugin stellt in seiner Version 1.0 einfachste Additionsaufgaben. Selbstverständlich lässt sich das per Bot sehr einfach umgehen, indem man das HTML ausliest und die Summe entsprechend übergibt. Allerdings verwenden derzeit nur die wenigsten Blogs einen solchen Schutz, somit ist die Abdeckung für Spammer völlig uninteressant.

Weiter plane ich für die Zukunft, das Plugin entsprechend zu erweitern und auch die Ausgaben der Zahlen und Operatoren als Text anzubieten, u.v.m.

Bilder und Captchas möchte ich nicht verwenden, da diese die Zugänglichkeit weiter einschränken. Zudem sind auch Captchas meist sehr einfach durch Bots lösbar, siehe PWNtcha – captcha decoder, Using AI to beat CAPTCHA oder W3C: Inaccessibility of CAPTCHA.

Das mit den Matheaufgaben ist nur eine Maßnahme von mehreren, und ist sicherlich verbesserungswürdig. Da aber heute der allergrößte Teil aller Webseiten keinerlei solcher oder ähnlicher Maßnahmen zur Spam-Abwehr treffen, ist diese Maßnahme sehr wirkungsvoll. Einige Webmaster nutzen von noch einfachere Möglichkeiten, wie etwa eine Checkbox (Kommentar wird nur gespeichert, wenn diese gesetzt ist) oder Kommentarvorschau. Das Plugin mit den Matheaufgaben ist da einen Schritt weiter, aber sperrt keine Anwender aus (als wie es etwa bei Captchas der Fall ist), auch da die Aufgaben selbst sehr einfach gehalten sind.
Die Rechenaufgaben zu berücksichtigen ist für Spammer zum heutigen Stand völlig uninteressant, da dieses Antipspam-Verfahren nur von einer minimalen Anzahl an Webseiten genutzt wird. In ein paar Jahren mag dies anders aussehen, aber bis dahin gibt es auch eine neuere Version des Plugins :-)