WordPress – Framework wie Gleitcreme

Ich habe bewusst die Kommentarfunktion meiner WordPress-Instanz abgeschaltet, da ich für diese Seite haftbar bin und so viele Spinner durchs Internet ziehen, die es früher in der Anzahl nicht gegeben hätte.

Nun, ich bekam von meinem Checkbot Post, dass jemand Kommentare, die niemals jemand sehen kann, in meine Blog-Einträge eingeschleust hat?!? WTF! Was will jemand auf dem unwichtigsten Blog eines alten Mannes?

IONOS, wo seit Jahrzehnten meine Site gehostet wird, schrieb mir detailiert, was ich als Sicherungsmaßnahmen einbauen kann. WTF! Ich muss Plugins installieren, damit Spinner nicht abgeschaltete Plugins nutzen können? Okay, seitdem ich das gemacht habe, wurde mir auch angezeigt, dass ich noch zwei „Standard-Plugins“ drin habe, die unsicher sind und habe sie auch ausgebaut.

Was ist das für eine Welt, wo man sein Betriebssystem, seine Webseite äh… das Framework mittels Zusatzprogramme so absichern muss, damit vorbeilaufende Datenreisende nicht die Sicherheit aushebeln?

Ich war fast geneigt, wieder die alte warpsite.de hochzufahren, die aus reinem HTML4 bestand und von mir von Hand geschrieben wurde… Man ist aber ja faul. Sofern es das nun gewesen ist, bleibt es bei Word[Er]Press, aber noch eine dieser Art von schlechten Nachrichten und ich baue das wieder um.

Vormerken: 1. & 2. September 2023 QS Barcamp in Hamburg

Auch 2023 wollen wir am 1. und 2. September wieder das QS[Bar]camp in Hamburg bei oose veranstalten – das Format bleibt: Barcamp, also

Tag: Vortrag + Grillen
Tag: Frühstück + open space.

Wer auf dem Laufenden bleiben möchte, gerne bei LinkedIn der Gruppe QS Barcamp beitreten.

Ausstieg aus WhatsApp

Da Autobahnen heutzutage auch mal früher fertig werden und meine wesentlichen Kontakte auch auf anderen Messenger-Diensten erreichbar sind, wurde der Ausstieg aus WhatsApp um 6 Tage vorverlegt

Ich bin aus Facebook ausgestiegen (2018), aus Twitter (2020) und nun ist auch WhatsApp Geschichte.

Warum?

Ich musste mit ansehen, wie Google die Geschäftsidee eines guten Entwicklers platt machte, als sie Google Maps ins Leben riefen und Earthbrowser (Internet Archiv 7.2.2005, einen Tag bevor Google Maps online ging) starb. Der Mann hatte seine Familie mit seiner Dienstleistung ernährt. Die Konzentration wichtiger Services auf nur einen Anbieter ist und bleibt bleibt ein Monopol in vielerlei Hinsicht niemals gut für Verbraucher.innen. Preise, Funktionsumfang, Zulassung zu Services und damit vielfältige Meinungen begrenzen etc. Wir kennen das.

Monopole sind niemals gut

Insofern obliegt es uns selbst diese Monopolbildung zu stören, indem wir Alternativen aktiv fördern. Ich möchte also garnicht, dass alle zum Fediverse wechseln, sondern ich würde mir nur wünschen, dass es genügend sind, damit es auch neutral[er]e Meinungen, nicht gesteuerte Aussagen und kritische Hinterfragungen auch zukünftig noch gibt.

Bei IT-Technik ist es auch ratsam, dass es neben einem großen auch mindestens noch ein paar kleinere Anbieter gibt, die manchmal auch so groß werden, um dem Großen seinen Grenzen aufzuzeigen. Die Welt, wo es nur WinDO[w]S als Platzhirsch gab und die lahme Ente IBM mit OS/2 einfach zu schwerfällig und Apple mit MacOS zu arrogant war, möchte ich nicht wiederhaben.

Qualität #1

Windows ist und bleibt Mist, aber Linux ist da mal keine Alternative für Endverbraucher.innen. Egal was die Dogmatiker der freien Software mir sagen. Ich möchte Qualität und dazu gehört auch stressfreier Spaß mit Technik und davon ist kinderUnix seit Jahren weit entfernt. Es ist für technikaffine Menschen sicherlich zugänglich, aber eben nicht für non-Teckies. Apple hat viele aus der Medienbranche als Fangemeinde, aber das wird die Kritik schon laut werden lassen, wenn sie von ihrem einst eigenschlagenen Weg abweichen und den Schutz der persönlichen Daten auch nur einen Milimeter abbauen wollen. Es bleibt abzuwarten, ob es da neues Ungemach gibt, aber Apple ist da in einer anderen Liga als das Zuckerberg-Imperium, dass sein Geschäftsmodell auf den Handel mit Daten aufbaut.

Wenn die medizinische Unterstützungshardware qualitativ leidet

Ich benutze FreeStyle Libre 3 (und vorher Version 2), um meinen Blutzucker laufend zu überwachen und meine Ernährung daran auszurichten. Als Lesegerät benutze ich ein Apple Device nahezu neuester Bauart und immer auf dem neuesten Betriebsystemstand, selbstverständlich.

Warum?

Durch die Anpassung der Ernährung an meinem Blutzucker erspare mir seit einigen Jahren die Einnahme von blutzuckersenkenden Medikamenten. Mein Diabetologe freut sich, ich freue mich und meine Krankenkasse ebenso. Alles gut!?

Wenn Qualität sinkt…

…sinkt das Vertrauen. Wenn man sich auf solche Helferlein verlassen muss oder möchte, dann ist es umso schlimmer, wenn nach ca. zwei Jahren die Sensoren (Version 2) mehrfach infolge ausfallen und man dem Support erklären muss, dass man echt ’ne Hasskappe bekommt, wenn die Dinger nach 12 oder 13 anstatt nach 14 Tagen ’stehen‘ bleiben. Man schleppt ja nicht seinen Medizinkoffer mal so mit sich rum und hat immer ein Ersatzsensor dabei.

…und weiter sinkt

Nun kam Version 3, so groß wie zwei aufeinander gelegte 5 Eurocent-Stücke anstatt zwei aufeinander gelegte 2 €-Stücke (echt klein geworden und weniger Müll), und anstatt RFID wird nun BT LE als Übertrangungstechnik verwendet, da man anscheinend auch mit den Insulinpumpen mal kompatibel sein will. Meinetwegen, mir egal. Frißt zwar den Akku des mobilen Devices leer, aber so sei es.

Leider hat der dritte Sensor dann beim Starten (Init-Prozess) mal den Löffel abgegeben und wurde auch brav vom Service ersetzt (der Mitarbeiter war auch sehr nett und ehrlich).

Doch, nachdem ich die Daten mit dem Internetspeicher mal abgeglichen hatte, sah ich, dass der Sensor gesendet hat, nur die Software hatte einen Blue Screen und zeigte auch am nächsten Morgen noch an in 60 Minuten bereit zu sein. Die Software v3 ist schlechter als die v2, da sie bspw. meine getätigten Nahrungsnotizen einfach nicht mehr in den Bericht übertragen möchte und es eine Ewigkeit dauert, bis die Daten endlich angezeigt werden, aber dann auch kontinuierlich.

Vertrauen futsch

Mein Vertrauen in die einst so gute Lösung ist nun vollends futsch und ich hoffe, dass Apple mit der Watch in Q2/2022 endlich die langersehnte Blutzuckermnessung ohne Stechen anbietet. Ein gutes Produkt wird immer schlechter? So kann man nur agieren, wenn es wenig ernst zu nehmende Mitbewerber am Markt gibt.

STeP-IN Forum Indien – Tolle Organisation

Gerne wieder, könnte man sagen, denn die Organisator*innen haben wirklich tolle Arbeit geleistet und mich in das Werkzeug „Floor“ gut eingewiesen und sich um mich als Mensch gekümmert. Ebenfalls Tyto, Hersteller von Sahi Pro, hat mit seiner Mannschaft zu einem wirklich tollen Erlebnis beigetragen.

Alle Bilder sind Bild-URLs vom nitter-Service, die Twitter spiegeln 😉

Vortrag Business-driven Test Automation auf dem STeP-IN Summit 2021

Darum geht es, wenn man (geschäftsgetriebene) Test-Automatisierung erfolgreich gestalten möchte: Gemeinsame Sprache!

5. QS Barcamp der Software Testing User Group Hamburg

Speedport Smart 3 auf FRITZ!Box 7590-Umstieg lohnt sich

Geschichte eines treuen Kunden

Ich benutze den Service der Telekom gerne, denn der Service ist i.d.R. stabil und die Mitarbeiter:innen sind in ihrem Fach gut bis sehr gut. Wir haben unseren Anschluss seit 2001 hier im Ort mit einem Umzug und etwa seit 2/2005 wurde der Anschluss auch als „Teleworker“ (heute HomeOffice) regelmäßig genutzt. Beim Umzug haben wir alles mitgenommen. Zuvor waren wir zuvor in Hamburg mal zu MobilCom gewechselt und erschüttert wie schlecht alles laufen kann…

Heimarbeitsplatz von Sun Microsystems im Rahmen von Sar@h (noch vor iWork) (Quelle: J. Sievers, 24. Februar **2005**)

Ich habe die Router der Telekom immer gerne eingesetzt, da sie i.d.R. stabil ihren Dienst taten und wenig Schnick-Schnack boten (ich möchte am Netz angeschlossen sein und nicht herum fingern).

oben CISCO VPN-Router, darunter *Telekom Teledat DSL Router Komfort* (Quelle: J. Sievers, 24. Februar **2005**)

Die Speedport-Router waren nacheinander allesamt hier oder auch bei meiner Mutter im Einsatz, selbst die LTE-Versionen, wo ich mittels externer Antennen versucht hatte mehr rauszuholen. Insofern: Ich bezeichne mich als kompetent einige Qualitätsmerkmale dieser Produkte bewerten zu können.

Die Speedport Smart 3 war hier einige Zeit im Einsatz, aber überzeugt hat sie nie wirklich. Nachdem ich den optimalsten Platz des Routers gefunden hatte, hatten wir stabiles WLAN. Durch Mesh und Magenta TV Boxen (erste Version hatte ich auch getestet) und einiger Updates wurde alles richtig schlimm. Ich habe sogar die SmartHome-Funktionen getestet und allesamt wieder abgeschaltet, weil ich den Fehler dort ausschließen wollte:

Abbrüche der WLAN-Verbindung nahmen deutlich zu
Bestimmte Dienste, wie Jitsi, Microsoft Teams (Vermutung WebRTC oder UDP, da auch VPN-Verbindungen denselben Effekt hatten) ließen die Speedport in einem undefinierten, nicht mit dem Internet verbundenen Zustand zurück (Neustart notwendig). Es spielte keine Rolle ob kabelgebunden (alle meine Rechner) oder WLAN!
WLAN-Geschwindigkeit war nicht mehr von Vorteil, manche der Familienmitglieder sind auf LTE am mobilen Gerät umgeschwenkt

Da wir allesamt mehr oder weniger im HomeOffice seit knapp einem Jahr unser Dasein fristen und ich bei mehreren privaten und geschäftlichen Videokonferenzen immer abrupt unterbrochen wurde, platzte mir der Kragen.

Support der Telekom versucht zu helfen

Ich habe den Support bemüht und dieser hat sehr freundlich, schnell und kompetent die Stanmdardverfahren angewandt, damit wir Telekom-Netzprobleme ausschließen konnten. Leider half der Tausch des Gerätes nicht.

Das Problem habe ich nach 1 Woche auch dem zweiten Telekom-Supporter erklärt, aber leider ging der nicht auf meine Vermutung ein, das die letzten beiden Firmware-Updates diese Probleme verursachen und so habe ich dann die Entscheidung gefällt, selbst (wieder) Hand anzulegen. AVM war schon zu MailBox-Zeiten eine gute Adresse, da deren ISDN Adapter von MailBox-Betreibern gerne genutzt wurden.

Nachdem ich auf der AVM-Seite nach einem Partner vor Ort gesucht hatte rief ich den Telekommunikations-Profi meines Vertrauens an. Er ist seit 2001 immer stets bemüht unsere Wünsche zu erfüllen (selten, aber in diesen Zeiten Werbung für lokale Dienstleister und Shops: Ahrensburger:innen kennen World Of Phone sicherlich). Er hatte die Mesh-Version (ich muss durch zwei Stahlbetondecken stabiles WLAN in alle Etagen liefern) der AVM FRITZ!Box 7590 und Repeater 2400. Click & Collect und das Gerät war meins.

Einrichtung erfolgte nach dem Sieg des HSV über Eintracht Braunschweig und um 17h waren die Kabel neu verlegt (hatte ich eh vor um das Netz besser trennen zu können) und alles lief.

Neuverlegung LAN-Kabel (Quelle: J. Sievers, 23. Januar 2021)

Ersetzt und verkabelt… (Quelle: J. Sievers, 23. Januar 2021)

Erfahrungen seit der Installation

Seit 14 Tagen ohne einen einzigen Reboot mit mehreren Umstellungen im Heimnetz stabil
Adaption der Box an meinen Nummernraum war kein Problem. Dokumentation im Netz durch AVM ist sehr gut!
WLAN sehr stabil und Protokollinformationen sehr hilfreich um den 5 GHz Kanal optimal zu wählen!
16-Port Switch, NAS, Firewall-Appliance, AirPrint-Drucker, VPN Arbeitgeber, eigenes VPN, selbst die Telekom Magenta TV Boxen laufen stabil (sind nun gekabelt, aber auch ok), alles läuft ohne Probleme

Die Telekom sollte sich wirklich mal Gedanken über ihre Hardwarelieferanten machen. Wenn selbst langjährige Kunden, sog. Fans/Fanboys/-girls, auf eigene Faust Hardware beschaffen, kommen wir wieder dahin wo wir einst waren als der Laden noch Deutsche Bundespost hieß und wir uns „vernünftige“ Hardware aus dem Ausland beschafft hatten….

Transzendente Qualität trifft transzendente Agilität

Prof. Dr. Jochen Ludewig hielt auf der TAV (Fachgruppe Test, Analyse und Verifikation von Software) Fachtagung im Jahre 2016 in Bremen mal einen Vortrag über Software-Qualität – Zwischen hohem Ziel und hohler Floskel.

Ich fand es sehr spannend in kurzen Ausflügen zu erfahren, dass eben die modelierte Qualität die unnatürlichere, aber eben die meßbare, kontrollierbare ist und die transzendente Qualität, nicht meßbar, aber dafür die ist, die uns begeistert. Er nahm das Beispiel der Schwarzwälderkirschtorte, die man nicht vermessen würde, sondern eben sagt, dass sie eben (oder eben nicht) ausgezeichnet war.

Wenn wir nun immer nur die meßbare Qualität nehmen, was verlieren wir dann?

Wir verlieren die unmittelbare Verbindung zur erlebten Qualität, damit auch den Blick auf denjenigen, der die Qualität erlebt (das Objektive verdrängt das – wichtigere – Subjektive.)
„Software Qualität – Zwischen hohem Ziel und hohler Floskel“ (2016)

Die Qualitätsprüfung, die wir benutzen, kann aber nur so gut sein, wie das unterliegende Modell und wird immer von dem natürlichen, was wir empfinden, (mehr oder weniger stark) abweichen.

Im agile Kontext wird die Meßbarkeit auch gerne vorne hin gestellt, also das Modell… Wie auch bei der Qualität…

Mit anderen Worten: Die modellierte Qualität bedarf stets der Kontrolle und Bestätigung durch die transzendente Qualität.
„Software Qualität – Zwischen hohem Ziel und hohler Floskel“ (2016)

Im agilen Kontext sehe ich dieselbe Herausforderung: Man muß sich im agilen Vorwärstkommen anhand von Kenngrößen auch bedenken, dass die Beteiligten „begeistert“ sein sollten, damit sie den Wandel mit tragen. Da spielen aber Kenngrößen keine Rolle, sondern das Empfinden und die Emotionen. Innerlich bewerten wir eben das Gefühl, ob man sich in der neuen Rolle und der gestellten Herausforderung wohlwollend gegenübersteht. Messen kann man das nicht, sondern die Schwarzwälder Kirschtorte muss schmecken, auch wenn es manchmal diverser Anläufe braucht.

„Agile Softwareentwicklung ist ein Vorgang, bei dem Projekte in Iterationen unterteilt werden. Das Ergebnis einer jeden Iteration wird beurteilt und dazu genutzt, den Zeitplan neu zu bewerten, Features werden nach ihrem Geschäftswert implementiert, damit die wichtigsten Dinge zuerst umgesetzt werden. Die Qualität sollte so hoch wie möglich sein. Der Zeitplan wird vornehmlich dadurch gemanaged, dass sich der Umfang des Projekts ändert.
Das ist agile Software Entwicklung.“
„Clean Agile, Die Essenz der agilen Softwareentwicklung“, Robert C. Martin „Uncle Bob“, 1. Auflage, 2020 S. 47

Der „Geschäftswert“ ist nicht immer in Geld auszudrücken, wenn es bspw. darum geht Kunden zu Fans zu machen¹, denn dort kommt man über Emotionen. Natürlich ist das Endergebnis irgendwann meßbar (mehr treue, zahlende Kunden o.ä.), aber man muß manchmal auch „Umwege“ über nicht sofort meßbare ~~Kennzahlen~~ Wege gehen und diese sollten also nicht immer im Vordergrund stehen.

Mehr Ehrlichkeit (= Einsicht), Disziplin und Demut wären gut. Aber Disziplin bedeutet nicht, der Bürokratie zu dienen.
„Software Qualität – Zwischen hohem Ziel und hohler Floskel“ (2016)

Wenn also der reine Fokus auf die meßbare Qualität und meßbare Agilität gelenkt wird, glaube ich, verlieren wir die Verbindung zur erlebten [Lebens-] Qualität. Wir dienen dann der Bürokratie, weil jemand die Kennzahlen haben möchte.

Die Rückbesinnung auf ursprüngliche Formen (Qualität und Agilität) sollten wir am Softwareentwicklungsprozess beteiligten Menschen ab- und an mal mitgeben (Retrospektiven), denn das Produkt sollte nicht gut vermessen sein, sondern den Kunden und die am Erstellungsvorgang beteiligten Menschen begeistern…

¹ Empfehlung: "Das Fan-Prinzip", Roman Becker, Gregor Daschmann, 2. Auflage, 2016

Webinar 16.5.: Agile Applikationssicherheit in Echtzeit für DevOps

Security Testing durch Instrumentierung verspricht bei DevSecOps bessere und schnellere Ergebnisse als gängige Scan-Verfahren. Erfahren Sie in Theorie und Praxis, was hinter der Methode steckt.

Scannen Sie noch oder instrumentieren Sie schon? Denn neue Test-Methoden können die Anwendungssicherheit während der Entwicklung und im laufenden Betrieb effizient steigern. Hören Sie nicht nur die Theorie vom Hersteller, sondern auch den Praxisbezug des QA-Spezialisten Jörg Sievers von der Ponton GmbH in Hamburg und seine Erfahrungen mit neuen Security-Testmethoden aus Anwendersicht.

Quellcode zu scannen (Static Application Security Testing, SAST) und Anwendungen dynamisch zu testen (Dynamic Application Security Testing, DAST) sind wichtige Bestandteile funktionierender DevSecOps-Prozesse, generieren jedoch zu viele Falschmeldungen oder liefern nicht ausreichend Ergebnisse. Weiterhin ist Scanning mittels SAST sehr zeitintensiv oder DAST benötigt Experten zum Vorbereiten von Tests und deren Interpretation. Manuelles Pentesting kommt schon aus Zeitgründen nicht jedes Mal zum Einsatz.

Für DevOps, die ShiftLeft-Methodology und mehrfaches Deployment am selben Tag sind Interactive Application Security Testing (IAST) und Runtime Application Self-Protection (RASP) wesentlich besser geeignet. IAST und RASP ermöglichen zeitnah akkurat Ergebnisse für unterschiedliche Anwenderrollen in den jeweils präferierten Werkzeugen.

Wir freuen uns auf Ihre Teilnahme!

Ihre Referenten:

Mirko Brandner Jörg Sievers
Senior Sales Engineer / QA Specialist
Technical Evangelist Ponton GmbH
Contrast Security

Quelle: https://www.security-insider.de/agile-applikationssicherheit-in-echtzeit-fuer-devops-v-41422-12645/