Kürzlich habe ich bei der Entwicklung einer Web-Anwendung einen modalen Dialog eingefügt, welcher mit JavaScript aufgerufen und geschlossen werden sollte. Dabei musste ich eine Funktion realisieren, die auf jeden Klick außerhalb dieses Dialogs diesen wieder schließt. Diese Funktionalität kann sehr einfach mit jQuery realisiert werden.

Mit CSS-Selektoren können einzelne Elemente oder eine Gruppe von HTML-Elementen angesprochen werden. Neben den üblichen Selektoren – wie z.B. Tag-Name, Klasse oder ID – existieren noch weitere effiziente Selektoren. Wer nativ JavaScript programmiert, kann diese Selektoren auch einsetzen, um effektiv Elemente anzusprechen. In diesem Artikel stelle ich fünf eher unbekannte, aber mächtige CSS-Selektoren vor.

Für die Energieagentur des Zollernalbkreises programmierte ich eine neue Website, mit der das neue Corporate Design einführt wurde. Hauptherausforderung in der visuellen Kommunikation war, den Spagat zwischen den Erwartungen einer halbstaatlichen Einrichtung und unkomplizierter Bürgernähe zu realisieren.

Flexibel und leistungsstark ist WordPress. Von einem anfänglichen einfachen Blog-System hat es sich zu einem Content-Management-System (CMS) entwickelt und bietet eine Vielzahl von Funktionen. Da ich aber immer einen möglichst schlanken und aufgeräumten Quellcode haben möchte, was sich positiv auf die Geschwindigkeit auswirkt, gibt es einige automatische Funktionen, die mich stören. In diesem Artikel möchte ich euch zeigen, wie unnötige Funktionen in WordPress deaktiviert werden können.

Damit ein angemeldeter Benutzer korrekt zugeordnet werden kann, verwendet PHP sogenannte Sessions. Bei dieser Technik muss die Session-ID bei jeder Kommunikation zwischen Client und Server übertragen werden. Dies bietet natürlich potentielle Angriffsflächen. In diesem Artikel möchte ich einige Maßnahmen zur Absicherung der Logins aufzeigen.

Es ist ein weit verbreiteter Irrtum, dass Benutzereingaben automatisiert und pauschal mit einer Funktion in PHP gefiltert werden können. Die effektivste Maßnahme, um Code Injections zu vermeiden, ist, die geeignete Filterung für die richtige Eingabe zu verwenden.

Die Absicherung der Kommunikation einer Website per Hypertext Transfer Protocol Secure (HTTPS) sollte eigentlich Standard sein. Trotz Verschlüsselung gibt es Angriffsszenarien auf HTTPS. Der HTTP Strict-Transport-Security Header, kurz HSTS Header, hilft hierbei einige Schwachstellen auszumerzen und so die Website sicherer zu machen.

Das Einschleusen von JavaScript Code, auch Cross-Site Scripting (XSS) genannt, stellt eine enorme Gefahr dar. Damit können Daten von anderen Benutzern geklaut werden oder Phising-Seiten untergemogelt werden. Website-Betreiber können aber mit dem XSS-Protection Header eine Schutzmaßnahme gegen XSS-Angriffe einfach aktivieren.

Von welchem Typ eine Datei ist, kann per HTML definiert werden. Die Definition des Dateityps wird als MIME-Type bezeichnet. Ist diese nicht angegeben oder passt die Dateiendung nicht zu der Angabe, versucht der Webbrowser den Dateityp zu „erraten“. Dies kann bei einer falschen Interpretation zu Sicherheitsproblemen führen. Mit dem Header-Eintrag X-Content-Type-Options kann dies unterbunden werden.

Für meinen Blog arbeite ich sehr viel direkt auf der Code-Ebene. Auf einigen Seiten gibt es individuellen HTML-Code, aber hin und wieder setze ich auch etwas direkt mit PHP um. Dies lässt sich nicht direkt über den Editor von WordPress realisieren. Mit zwei einfachen Methoden kann dies aber elegant für ganze Seiten umgesetzt werden.