Firefox 2.0 Tuning

Seit einigen Wochen bin ich auf den Firefox 2.0 umgestiegen ... und habe mich über einige der Änderungen geärgert. Jetzt habe ich die nervigsten Neuerungen wieder auf den 'alten' Stand gebracht:

Zum einen ärgert das 'Heraussrollen' der Tabs. Gerade bei Recherchen arbeite ich mit vielen gleichzeitg geöffneten Tabs, aber bei 10 bis 12 Tabs ist beim Firefox 2.0 Schluss, weitere Tabs verschwinden und lassen sich nur über langwieriges Scrollen finden.

Das liegt daran, das die Tab-Reiter mit einer gewissen Mindestbreite dargestellt werden. Diese ist default-mässig auf 100 Pixel, und dann passen eben (je nach Bildschirm-Auflösung nur 10 oder 12 Tabs auf dem Bildschirm.

Diese Default-Einstellung kann man ändern über
- about:config aufrufen
- den Eintrag "browser.tabs.tabMinWidth" von 100 auf 0 setzen
- den Browser neu starten
Schon werden die Tabs deutlich kleiner, zwar nicht bis auf 0 Pixel, denn ansteuern muss man sie ja noch können, aber zumindest bis auf knapp 40 Pixel runter, das Tab enthält dann nur noch das favicon. Das reicht dann für 25 bis 30 Tabs, erst dann scrollen weitere Tabs hinaus.

Was mich auch etwas nervt, ist der Schließen-Button auf jedem Tab. Eigentlich eine nette Idee. Wenn man aber mit vielen Tabs arbeitet und mal schnell 5 oder 6 schliessen will, sind die Schließen-Buttons aber jeweils an einer anderen Stelle, und man muss jedesmal mit der Maus hin-navigieren
Meistens nutze ich dann direkt die Tastatur (sechsmal CTRL-W tut's auch). Man kann's aber auch auf das alte Verhalten mit einem einzigen Schliessen-Button ändern.

Ähnliche Vorgehensweise:
- about:config aufrufen
- beim den Eintrag "browser.tabs.CloseButtons" von 1 auf 3 setzen
- den Browser neu starten

Das Ergebnis beider Aktionen sieht dann so aus:



Die dritte Änderung, die mich stört, ist die Minimierung der Steuermöglichkeiten in der unteren Symbolleiste bei der Find-As-You-Type-Funktion. In der Version 1.x gab es die VOR und ZURÜCK-Buttons und die HIGHLIGHT-Möglichkeit, diese sind im Firefox 2.0 jetzt nur noch in der Suchen-Funktion enthalten.

Durch folgenden Eintrag in die userChrome.css (unter Windows im Ordner C: \Dokumente und Einstellungen \<<account>> \Anwendungsdaten \Mozilla \Firefox \Profiles \<<profil>> \chrome) kann das 'alte' Verhalten wieder erstellt werden

#FindToolbar > * {display:-moz-box}

Schon sind bei Find-As-You-Type die gleichen Steuer-Möglichkeiten, die auch in der Suche enthalten sind:

CW: Reicher Russe zahlt drei Millionen Dollar für Vodka.com

gerade gefunden:

Reicher Russe zahlt drei Millionen Dollar für Vodka.com
Der russische Milliardär Roustam Tariko, der Mann hinter der Unternehmensgruppe Russian Standard, hat drei Millionen Dollar für die Web-Adresse Vodka.com hingeblättert.

Die teuerste Domain, mit der ich persönlich bisher in Kontakt gekommen bin, hat übrigens 'nur' 500.000 Mark gekostet.

Wozu brauche ich eine Informations-Architektur ?

Bei der Recherche für den vorigen Artikel habe ich etwas auf dem Auftritt eines großen Automobil-Herstellers gesurft, und schmerzlich eine durchgehende Informations-Architektur vermisst. Auf der Startseite werden alle verfügbaren Modelle aufgelistet. Allerdings verweist jedes Modell auf eine eigene Micro-Site, die leider alle komplett anders aufgebaut sind.

So öffnen drei der acht Microsite ein weiteres unverlangtes Popup-Fenster. Zwei haben zumindest einen Link "Sollte keine automatische Weiterleitung erfolgen, klicken Sie bitte hier", um bei vorhandenem Popup-Blocker dem Nutzer eine Chance zu geben, doch noch etwas über dieses Modell zu erfahren, bei der anderen Microsite sind Nutzer mit einem kleinen Firmenlogo allein im Browser.

Beim ersten Modell sind die Hauptkategorien links oben untereinander angeordnet:

Design&Erlebnis
Leistung&Technik
Kontrolle&Sicherheit
Komfort&Aussttatung
Q-Tronic

Das gleiche Modell als Kombi hat eine komplette andere Hauptnavigation und bietet unten links nebeneinander die Punkte

Design Technik Raum Komfort QTronic Probefahrt Mobile Entertainment

Das dritte Modell hat dann eine deutlich emotionalere Navigation, auch diese Navigation unten links nebeneinander

Freiheit Stil Mut Heritage Registrieren Magazin

Beim vierten Modell sind die Navigationspunkte wieder anders, diesmal oben rechts angeordnet

Design Technik Sicherheit Entertainment News

Anbei das Ganze mal visualisiert.




Ich habe mich ja schon dran gewöhnt, mich auf einer WebSite mancher Firmen in eine manchmal abenteuerliche Informations-Architektur einzudenken. Aber das für jedes PRODUKT dieser Firma zu machen ... da hatte ich irgendwie keine Lust zu.

Drücken Sie "START" um den Wagen auszuschalten

Vor einigen Jahren ging im Internet ein angeblich echter Mail-Verkehr zwischen Bill Gates von Microsoft und General Motors um. Auf die Aussage von Bill Gates

"If G.M. had kept up with technology like the computer industry has, we would all be driving twenty-five dollar cars that got one-thousand miles to the gallon."

gab es eine Reaktion von General Motors, in der einige Eigenarten von Computern und insbesondere des Windows-Betriebssystems auf Autos umgelegt wurden.

"If GM had developed technology like Microsoft, we would all be driving cars with the following characteristics:
...
13. You'd press the "start" button to shut off the engine.

Zumindest für den letzten Punkt ist es soweit, genau diesen Wagen hatte ich jetzt als Leihwagen:



Nachdem man das stylische Klötzchen, das den Schlüssel ersetzt, in den Schlitz neben dem Lenkrad eingesetzt hat, kann man den Wagen über den darunter befindlichen "Start"-Knopf anlassen ... und auch wieder ausschalten.
Zumindest steht auf dem Knopf noch unter "Start" (in klein) "stop"

Firefox 3.0 besteht Acid2-Test

gerade bei heise.de gefunden, die aktuellste Entwickler-Version der Firefox 3.0 ist jetzt endlich soweit, den ACID2-Test zu bestehen.

Google Answers gibt auf ... und Yahoo! legt nach

Vor einigen Tagen ging es ja schon durch die Presse: Google stellt seinen Dienst "Google Answers" ein.

Am Donnerstag und Freitag liefert UserFriendly den passende Strip dazu, in dem Yahoo! Answers als mögliche (wenn wohl auch nur wenig begeisternde) Alternative genannt wird.





Und heute sehe ich bei N24 eine Werbung für Yahoo! Answers.
Zufall ? Oder hat Yahoo! schnell die Lücke erkannt und reagiert ?

CW: Technik als Modeartikel

Frank Niemann schreibt im CW Notizblog über den Vortrag “The people problem” von Gartner. Dort wird eine Zukunft skizziert, in der die Teenager von heute, die “Digital Natives”, in der Wirtschaft 'angekommen' sind.

Diese “Digital Natives” wüchsen mit MP3-Playern, Handys und PDAs auf und nutzten sie wie einen Gebrauchsgegenstand, ohne sich Gedanken über die Funktionsweise zu machen.

...

Zudem würde dann nicht mehr der Betrieb IT-Lösungen wie Notebooks bereitstellen, sondern die Anwender brächten ihre eigenen Geräte mit, weil ihr mobiler PC cooler ist als das schnöde Gerät, welches die IT als Standard definiert hat.

Frank Niemann ist das skeptisch, ob sich das so entwickeln wird:

Nette Vorstellungen sind das schon. Ob aber beispielsweise Banken oder Behörden es zulassen, dass ihre Mitarbeiter ihre eigenen Gerätschaften ans Firmennetz anstöpseln, wage ich zu bezweifeln. Firmen versuchen ja, möglichst standardisierte IT-Umgebungen zu schaffen: Eine Hardware, ein Betriebssystem und möglichst viel Standard-Software.

Diesen Punkt haben wir aber bereits heute erreicht. In vielen Firmen sind die Hälfte aller Beschäftigten Externe, die natürlich ihre eigenen Geräre mitbringen. Aber auch die fest angestellten Mitarbeiter bringen Vielfalt in die technologische Landschaft. Bei einer Sicherheits-Konferenz vor knapp zwei Jahren berichteten mehrere Sicherheits-Verantwortliche von großen Firmen bereits über die Probleme mit Blackberry's, PDA's, Designer-Handy und sonstigen Geräte, die vom Management oft aus Prestige-Gründen angeschafft werden. Der Begriff "Manager-Tamagotchi's" hat sich dafür schon durchgesetzt.

Zum einen gibt es die technologischen Probleme: das höhere Management lässt Erklärungen wie "kein zertifizierter Treiber" kaum gelten. Dann die Vielfalt der Geräte: diese werden ja nicht unter dem Gesichtspunkt 'das was alle haben' angeschafft, sondern 'das was sonst keiner hat'. Dann die sich daraus ergebenden Sicherheits-Probleme: das Aktuell-Halten und Patchen einer Vielzahl heterogener mobiler Endgeräte, die fast nie im Firmengelände sind, ist ein logistischer Alptraum. Hinzu kommt die nicht zu unterschätzende Verlust-Quote von kleinen leichten Geräten mit sensitiven Informationen, die in Flughafen-Lounges und Taxis vergessen werden.

Willkommen in der Welt von morgen.

AJAX und Security

Bei SecurityFokus gerade einen interessanten Artikel zu AJAX und Sicherheit gefunden. Darin werden einige der neuen Lücken und Angriffsmöglichkeiten beschrieben, die sich durch den vermehrten Einsatz von AJAX Web-Anwendungen ergeben.
Wobei 'neu' übertrieben ist, keines dieser Themen ist wirklich neu, vieles nur allzu bekannt. Das läuft wieder auf dieselben Themen hinaus, die auch sonst immer die Problemkinder darstellen: saubere Session-Verwaltung und strenge Datenvalidierung.

• clientseitige Sicherheitsüberprüfung

Mit der Einführung einer starken clientseitigen Logik besteht oft die Versuchung, Funktionalitäten (nur) clientseitig zu implementieren, die (auch) serverseitig implementiert werden müssen. Angreifer können clientseitige Validierungen natürlich leicht umgehen.

• breitere Angriffsfläche

Mit AJAX werden viel mehr serverseitige Funktionen im Internet zur Verfügung gestellt. Statt einigen wenigen Funktionen werden plötzlich Nachlade-Funktionen, Auto-Vervollständigungen, Read-Ahead-Funktionen implementiert und auch von außen erreichbar gemacht. Damit gibt es viel mehr Punkte, bei denen Fehler gemacht werden können. Und der Aufwand, all diese Punkte auch zu testen, steigt erheblich.
Aus meiner bisherigen Erfahrung könnte ich drauf wetten, das für eine AJAX-Anwendung kein einziger Cent mehr für Sicherheitstests zur Verfügung gestellt wird.

• AJAX-Anwendungen als Frontend zu Enterprise SOA's

Das SOA-Paradigma ist zwischenzeitlich ja in vielen Firmen umgesetzt, und verspricht auch ganz viele und tolle Dinge ... vielleicht sogar zu Recht.

Leider habe ich bisher den Eindruck erhalten, das die großen Anbieter und viele Beratungs-Firmen das Thema 'Sicherheit' dabei sträflich vernachlässigen und das immer so ganz einfach darstellen, man muss sich gar nicht drum kümmern, "da gibt es zentrale Sicherheits-Funktionen zur Authentifizierung und Autorisierung" und gut. Im Hinblick auf interne Angreifer schon etwas optimistisch.

Die Versuchung, aus einem AJAX-Client direkt einen Enterprise-WebService aufzurufen, ist groß. Wenn dann solche unsicheren Enterprise-Services plötzlich direkt aus einem AJAX-Client aufgerufen werden (und damit 'frei' im Internet stehen), wird leicht ein ganzen Firmennetz kompromittiert.

• Neue Cross-Site Scripting (XSS) Möglichkeiten

Die Entkopplung der Nutzer-Interaktion von der Server-Interaktion bietet ganz neue Angriffs-Potenziale. Bei XSS-Angriffen auf klassische Web-Anwendungen kann der Nutzer oftmals ein ungewöhnliches Verhalten feststellen: die Applikation hängt oder reagiert langsam, merkwürdige Dinge werden angezeigt usw. Bei komplexen AJAX-Anwendungen kann dies aber für den Nutzer völlig unsichtbar im Hintergrund passieren. Während man völlig ungestört seine eMails in einer AJAX-Anwendung liest, wird im Hintergrund das Adressbuch ausgelesen.

Dazu kommt der Einsatz von relativ mächtigen AJAX-Frameworks (ich selber bin grade in einem solchen Auswahl-Prozess). Eine Lücke in einem solchen Framework kann Angreifern leicht Zugriff auf eine ganze Reihe von Sites geben .. ähnlich wie Lücken in Webservern, Betriebssystemen, Application Servern, ...

Für gefundene Lücken in Server-Software gibt es ausreichende Möglichkeiten: die Hersteller veröffentlichen Advisories, (mit einigen unrühmlichen Ausnahmen) relativ schnell Patches, und man kann leicht Betriebs-Prozesse zur Einbindung dieser Patches aufsetzen (habe ich selber schon gemacht).
Bei clientseitigen Bibliotheken ist das sicherlich deutlich schwieriger, ich hatte bisher nicht den Eindruck, das die Hersteller solcher Bibliotheken das Thema 'Security' so wichtig nehmen wie die Hersteller von Server-Software.