Drupal WYSIWYG Editor Whizzywig

Manche der Websites die ich betreue, z.B. die Evangelische Gemeinschaft Marburg-Süd, brauchen die Möglichkeit, Bilder in WYSIWYG-Manier einzubinden. Für deren Benutzer ist es zu umständlich, ein Bild hochzuladen und dann die Bild-URL in ein IMG-Tag zu schreiben.

Der normaler von mir bevorzugte Editor (f)ckEditor hat leider im Zusammenspiel mit Drupal keine bequeme Möglichkeit, Bilder einzufügen, aber der Editor Whizzywig hat sie.

Whizzywig installieren

1. Von http://drupal.org/project/whizzywig das tar.gz-Archiv herunterladen, auspacken und wie üblich das Verzeichnis whizzywig auf sites/all/modules hochladen.
2. In Verwalten / Strukturierung / Module die bisherigen Editor-Module wysiwyg und ggf. fckeditor stilllegen.
3. Das Modul Whizzywig (im Rahmen Easy Module) einschalten.
4. In Verwalten / Einstellungen / Whizzywig / Sichtbarkeit:
   • Haken setzen bei „Enable editor for Comment“ und „Enable Editor for Block“
   • Rahmen “Inhaltstyp”: „Dont show editor on this content type“ wählen und das Feld darunter leeren.
   • Rahmen “Textarea ID”: „Dont show editor on this content type“ wählen und das Feld darunter leeren.
5. In Verwalten / Benutzer / Berechtigungen, Rahmen whizzywig-Modul setzen, wer whizzywig nutzen darf:
   • access: alle, die in irgendeiner Form Inhalte erstellen oder ändern dürfen.
   • administer: nur Systemverwalter
   • file und folder: je nach Bedarf; browsen dürfen mehr Leute als deleten.
   • toolbar: full dürfen weniger Leute als basic

Bild einfügen

1. Die gewünschte Seite aufrufen und in den Bearbeiten-Modus gehen; Cursor an die Stelle setzen, wo das Bild eingefügt werden soll. Wenn das Bild parallel zu einem Absatz erscheinen soll, muss der Cursor vor den Anfang dieses Absatzes.
2. Klick auf die Schaltfläche “Image” (zwischen Link und Tabelle). Die Werkzeugleiste erweitert sich um die Bild-spezifischen Felder.
3. Auf “Browse” klicken. Es öffnet sich ein Fenster “Insert or Modify Image”
4. Klick auf durchsuchen; im lokalen Dateisystem das Bild suchen und doppelklicken. Pfad und Dateiname steht jetzt im Feld “File to upload”.
5. Klick auf “Upload Now”. Das Bild wird der Liste im unteren Teil des Fensters hinzugefügt.
6. Klick auf “Insert” um das Bild in die Webseite einzufügen. Der Drupal-interne Pfad erscheint im Feld “Image address (URL)”.
7. “Alternate text” ausfüllen.
8. Align wählen (ich nehme gerne right).
9. Ggf. Border (Rahmendicke, meist 0) und Margin (Abstand zum übrigen Text, z.B. 5) eintragen.
10. Klick auf “Insert Image”. Das Bild erscheint in der Webseite.
11. Text u.s.w. weiter schreiben, Webseite speichern.

Anfahrtsskizze mit OpenStreetMap.org

Rechtliche Grundlagen

Bei Karten muss man bekanntlich sehr aufpassen wie die Nutzungsrechte aussehen. Bei OpenStreetMap stehen die rechtlichen Bestimmungen unter http://www.openstreetmap.org/copyright.

So wie ich das verstehe, darf man ein statisches Bild verwenden, muss aber die Quelle nennen. Für eine einfache Anfahrtsskizze besteht es auch kein Risiko, dass die ganze Website unter die OpenStreetMap-Lizenz fallen würde (siehe http://wiki.openstreetmap.org/wiki/DE:Legal_FAQ#Muss_ich_meine_ganze_Website_unter_die_CC-By-Sa_stellen.2C_wenn_ich_eine_Abbildung_meines_Standorts_von_OSM_dazu_benutze.3F)

Karte erstellen

1. Im Browser zu www.openstreetmap.org gehen.
2. Die Karte passend verschieben und zoomen; ggf. hilft die Suchfunktion. Akzeptiert wurde der Suchstring “Deutschhausstr. 32, 35037 Marburg”. Marburg/Lahn wurde nicht gefunden. Die Suche ist nicht auf Hausnummern genau; man sollte also selber wissen, wo innerhalb der Straße die Hausnummer ist.
3. Oben den Reiter “Export” wählen.
4. Links unten die Option “HTML zum Einbinden” wählen.
5. Klick auf “Markierung zur Karte hinzufügen”; auf die zu zeigende Stelle setzen.
6. Im Feld “Ausgabe” steht ein HTML-Text für einen IFRAME.
7. Den genannten IFRAME-Code an geeigneter Stelle in die Website einbauen.

Anfahrtsskizze mit Google Maps

Ich betreue technisch die Website eines befreundeten Rechtsanwalts. Er möchte gerne eine Anfahrtsskizze auf seiner Website haben.

Eine meiner ersten Ideen war Google Maps. Google erlaubt nur die Benutzung per API, nicht aber das Einfügen eines statischen Screenshot o.ä. Google speichert aber die Identität der abrufenden Website-Besucher.

Die einfachste API ist die Google Static Maps API. Die Verwendung in Anfahrtsskizzen einer Firmenhomepage ist ausdrücklich erlaubt (siehe http://code.google.com/intl/de-DE/apis/maps/faq.html#tos_commercial).

Es gibt einen schönen Erstellungs-Assistent in http://gmaps-samples.googlecode.com/svn/trunk/simplewizard/makestaticmap.html. Der liefert für die angegebene Straßenadresse den Link http://maps.google.com/maps/api/staticmap?center=50.813636,8.775115&zoom=15&markers=50.813640,8.775130&size=400×600&sensor=TRUE_OR_FALSE

Der Rechtsanwalt gab zwar sein Einverständnis für Google Maps, aber mir ist trotzdem nicht wohl beim Gedanken, dass Google speichert, wer die Website des Rechtsanwalts angeschaut hat.

Daher habe ich mich entschieden, nicht Google Maps, sondern Openstreetmap zu verwenden.

Bloggen mit Drupal

Als technischer Administrator der Website www.mr-sued.de bekam ich die Aufgabe, ein Blog einzurichten. Das ist in Drupal nicht schwer, aber man muss an vielen Ecken konfigurieren:

einmalige Konfiguration:

• Verwalten / Strukturierung / Module / Kern-Optional / Blog aktivieren (Haken setzen)
• Verwalten / Benutzerverwaltung / Berechtigungen / blog-Modul: Rechte zum Erstellen, Bearbeiten, Löschen nach den organisatorischen Anforderungen setzen. Lesen darf Blogeinträge sowieso jeder.
• Verwalten / Inhaltsverwaltung / Inhaltstypen / Blogeintrag / Bearbeiten: Haken setzen, wie es die Situation erfordert, insbesondere bei “Arbeitsablauf”. Man kann Blogs auch sinnvoll nutzen, wenn nicht jeder Eintrag auf der Startseite erscheint, nämlich über den Block “Neueste Blogeinträge” im Theme.
• Wenn das Modul “Content Access” installiert ist: Verwalten / Inhaltsverwaltung / Inhaltstypen / Blogeintrag / Zugriffskontrolle; insbesondere “jeden Eintrag lesen”.
• Falls gewünscht ist, eine Liste der Blogeinträge als Block (an der Seite jeder Seite) anzuzeigen: Verwalten / Strukturierung / Blöcke / “Neueste Blogeinträge”

Das Verfassen von Artikeln ist dann einfach. Im Navigationsmenü (oft mit dem eigenen Benutzernamen beschriftet) wählt man Inhalt erstellen / Blogeintrag.

Anti-Viren-Software erhöht das Risiko gewaltig

Im letzten Post schrieb ich da eher theoretisch über die Gefahr, dass sich der Updater per Buffer-Overflow o.ä. was Böses einfängt. Viel realer ist die Gefahr, dass der Scanner, der ja auf allerlei potenziell und real schädliche Dateien losgelassen wird, sich an einer zu prüfenden Datei so verschluckt, dass er darin enthaltenen bösartigen Code mit seinen eigenen Rechten (die meist “Vollzugriff auf Alles” beinhalten, denn er soll ja ggf. alles Schädliche blockieren können) ausführt. Die zahlreichen Meldungen der letzten Monate über Sicherheitslücken in Virenscannern lassen den Verdacht aufkommen “entsteht durch den Einsatz von Virenscannern nicht bald mehr Gefahr als durch die Viren selber?”.

Der Angriffsweg heisst dann “der Virenscanner des Opfers muss eine präparierte Datei prüfen”. Wenn dieser Virenscanner auf dem Mail-Gateway liegt, genügt es also einen Super-Virus (so virös, dass er den Virenscanner zum Trojanischen Pferd macht) an das Opfer zu schicken, und schon hat man Zugriff auf alles, was durch dessen Mail-Server läuft…

Es muss also eine Architektur her, die benutzbare Systeme liefert, die auch ohne Anti-Viren-Software sicher sind – denn die nützt im Ernstfall wenig und kann sogar zusätzliche Lücken aufreißen.

Antivirensoftware erhöht das Risiko

AV-Software erhöht in gewisser Weise das Risiko, Opfer von Malware zu werden. Durch die ständig neuen Bedrohungen ist bekanntlich ein ständiges Aktualisieren von Virensignaturen und Suchprogrammen erforderlich. Dies birgt zusätzliche Risiken:

1. Die Updates erfordern eine Internet-Verbindung und erhöhen dadurch die Zeitspanne, in der die Maschine Angriffen ausgesetzt ist.
   Entkräftung: heutzutage hängt sowieso jeder den ganzen Tag am Internet.
2. Die Updates werden auf die Platte geschrieben, d.h. ein Programm, das aus dem Internet Daten holt (der Updater), hat das Recht, permanent Daten zu ändern, die von Programmen mit sehr hohen Zugriffsrechten (Scanner) ausgewertet werden.
   Entkräftung: digitale Signaturen können das Unterschieben falscher Daten verhindern.
   Entkräftung der Entkräftung: Digitale Signaturen können aber nichts ausrichten gegen Buffer-Overflows und verwandte Probleme, die bereits vor oder während der Signaturprüfung zuschlagen können.

Antivirensoftware nützt nicht mehr viel

Selbst der bekannte russische Antivirenspezialist Eugene Kaspersky sagte am Rand der CeBIT, dass die Hersteller von Sicherheitssoftware auf Dauer den Kampf gegen die Internet-Kriminalität verlieren könnten (Heise Newsticker Meldung), u.a. weil die Kriminellen schneller sind. Die “Bösen” haben ca. 100-150 Millionen PCs in ihrer Hand (Heise Newsticker Meldung) und können so m.E. innerhalb von Minuten jede E-Mail-Adresse der Welt mit frischer Malware versehen. Bis die Antivirenhersteller das neue Viech bemerken, ihre Signaturen aktualisieren und diese Updates breit verteilt haben, vergehen dagegen mehrere Stunden. Kurz gesagt: wenn die Bösewichte wollen, können sie ihre Erzeugnisse an jedem Virenscanner vorbei schicken.

Folge: JavaScript stark einschränken

Wenn von aussen keinerlei ausführbarer Code kommen darf, gilt das auch für JavaScript. JS ist akzeptabel, solange es nur mit der Website interagiert, von der es gekommen ist (Standardfall in AJAX-Anwendungen). JS muss aber auf jeden Fall daran gehindert werden, irgendwelche Daten permanent auf dem Benutzer-PC zu hinterlassen, d.h. der JS-Interpreter darf keinerlei Schreibvorgänge auf Dateien zulassen und Lesevorgänge eigentlich auch nicht – Mozilla muss sich dann eine andere Art der Konfigurationsverwaltung überlegen (nicht mehr die .js-Datei).

Read-only muss in Hardware realisiert sein

Für wirkliche Sicherheit muss der Schreibschutz des ausführbaren Codes in Hardware realisiert sein. Ein (nur) software-basierter Schutz kann durch bösartige Software aufgehoben werden. Die vielen heutigen Meldungen über rechteausweitende Lücken sind deutliche Hinweise darauf.
Ein Hardware-Schutz kann z.B. nach Art des Schreibschutzschiebers der früheren Disketten oder des Schreibschutzschalters mancher heutigen USB-Sticks gestaltet sein. Gut denkbar ist auch, allen ausführbaren Code von vornherein auf einem physikalisch nicht schreibbarem Medium, z.B. einer CD-ROM, zu halten, wie es etwa die bekannte Linux-Live-CD Knoppix zeigt.

Echte Sicherheit gibt’s nur im Read-Only Mode

Wenn ein Bösewicht auf einem Rechner etwas tun möchte, muss er irgendwohin schreiben. Kann er nicht schreiben, kann er nichts tun, also ist das System sicher. Manche Würmer beschränken sich auf Schreiben in den RAM und sind dadurch beim nächsten Neustart verschwunden. Damit könnte ggf. noch leben. Wenn das Viech (bayerisch für “unangenehmes Tier”) aber auf die Festplatte (oder allgemein: permanenten Speicher) schreibt, hat man das Viech an Bord. Also Fazit: Schreibzugriffe auf die Platte müssen auf die allernötigsten Fälle beschränkt werden.