Weg von Google – eigener CalDAV- und CardDAV-Server mit Baïkal

Nicolas Christakis

Ich will weg von Google. Verstehe mich bitte nicht falsch, deren Services funktionieren ja eigentlich wunderbar. Brauchbare Apps, die von der ausgezeichneten Suche profitieren, und das alles kostenlos. Kostenlos, wenn man die eigenen Daten nicht als Bezahlung für die Verwendung des Dienstes sieht: Was Du in Gmail schreibst oder empfängst, liest Google fröhlich munter mit.

Baïkal: Kalender und Kontakte hausgemacht.

Selbst nutze ich Gmail seit Jahren. Der Bedienkomfort ist gross, meine Lust, mich davon loszulösen, bisher gerade deshalb eher klein. Das Problem bringen auch andere mit Gmail vergleichbare Dienste wie iCloud oder die Online-Variante von Outlook mit sich: Sie sind so einfach zu benutzen, dass sich von ihnen loszulösen einer Herkulesaufgabe gleichkommt. Gerade weil mir Datenschutz ein grosses Anliegen ist, habe ich mich aber doch an den Schritt gewagt und darf entwarnen: Es ist nicht so schwierig, wie es klingt. Ich möchte Dir hier erklären, wie ich vorgegangen bin.

Welche App kommt zum Einsatz?

Ich brauche E-Mail, Kalender und Kontakte. Damit E-Mails bei uns funktionieren, muss ich nichts Weiteres tun – ich habe im Vorfeld bereits eine Domain registriert und diese auf meinem Webhosting eingerichtet.

Das Synchronisieren von Kalendern und Kontakten benötigt entsprechende Software auf Server-Seite. Da muss also erst mal ein Tool her, das beides kann. Kriterium für die verwendete Software: Sie soll die gängigen Synchronisierungs-Standards unterstützen, damit ich meine Kalender und Kontakte mit entsprechenden Apps synchronisieren kann, und quelloffen sein. Das bedeutet, dass der Quellcode öffentlich einsehbar ist, wovon ich mir bei einer viel genutzten App eine gut gepflegte und sichere Software erhoffe, die von anderen überprüft werden kann.

Fündig geworden bin ich bei Baïkal, einem CalDAV- und CardDAV-Server, der alle oben genannten Anforderungen erfüllt und zudem kaum Speicherplatz und Rechenleistung benötigt. Die Software kann auf sämtlichen unserer Webhostings eingerichtet werden.

Einrichtung und Setup von Baïkal

Vorbereitungsarbeiten in my.cyon

  1. Richte gemäss unserer Anleitung «Subdomain auf Ihrem Webhosting einrichten» eine neue Subdomain ein. In unserem Beispiel habe ich baikal.oliverorange.ch verwendet. Die Subdomain zeigt dabei auf ein eigenes Unterverzeichnis der Domain selbst, bei mir ist das ~/public_html/baikal/html.
  2. Installiere gemäss unserer Anleitung «SSL-Zertifikat (Verschlüsselung) einrichten» ein kostenloses SSL-Zertifikat für Deine Subdomain. Achtung: Wenn die Subdomain neu ist, kann es ein Weilchen dauern, bis die Zertifizierungsstelle die Subdomain abrufen und das Zertifikat aktiviert werden kann.
  3. Gehe zu «Datenbank» > «MySQL» und richte dort gemäss unserer Anleitung «Datenbank erstellen» eine neue Datenbank ein. Bei mir heisst diese «olivero2_baikal». Kopiere Datenbankname, den Benutzer und dessen Passwort. Du brauchst diese Daten gleich bei der Installation von Baïkal.

Installation von Baïkal

  1. Kopiere über GitHub den Link zur ZIP-Datei der neusten Version von Baïkal, der folgendes Format hat:

    https://github.com/sabre-io/Baikal/releases/download/0.6.1/baikal-0.6.1.zip

  2. Verbinde Dich via SSH auf Dein Webhosting und wechsle ins Verzeichnis ~/public_html/, wo Du folgenden Befehl ausführst:
    wget [Link zum Archiv]

  3. Entpacke das ZIP-Archiv und füge der .htaccess-Datei im Verzeichnis ~/public_html/baikal/html gemäss unserer Anleitung «Weiterleitung auf HTTPS einrichten» eine Weiterleitung auf HTTPS hinzu, damit Login-Daten sicher übertragen werden.

  4. Rufe Baïkal über die Subdomain auf; in unserem Fall ist das https://baikal.oliverorange.ch. Dort sollte nun der «Baïkal initialization wizard» erscheinen. Wähle für «Server Time zone» Deine lokale Zeitzone aus. Der Rest der Einstellungen kannst Du belassen, wie sie sind. Wähle zudem ein starkes Admin-Passwort, das den Admin-Bereich Deiner Installation schützt. Keine Sorge – alle hier eingegebenen Daten kannst Du später wieder ändern. Speichere die Änderungen.

    Baïkal initialization wizard

  5. Auf der nächsten Seite muss uns das Feld «SQLite file path» nicht interessieren – wir wollen MySQL verwenden, und setzen daher den Haken bei «Use MySQL». Danach geben wir die MySQL-Daten an, die wir in einem früheren Arbeitsschritt kopiert haben. Als Wert für «MySQL host» verwendest Du «localhost». Speichere zum Schluss Deine Änderungen.

    Baïkal database setup

  6. Bestätige mit einem Klick auf «Start using Baïkal» und logge Dich auf der nachfolgenden Seite mit dem Benutzernamen «admin» und dem in Schritt 3 gewählten Passwort für Deinen Admin-Zugang ein.

    Baïkal database setup 2

Erstellen von Benutzern und Kalendern

  1. Wechsle in der Admin-Oberfläche zu «Users and resources» und lege dort über «+ Add user» einen neuen Benutzer an. Diesen wirst Du später benötigen, um Kalender und Kontakte mit Deinem Gerät zu synchronisieren.

    Baïkal user accounts

Die Migration Deiner Daten

Zeit, Deine Daten umzuziehen. Ich erkläre Dir, wie Du die Migration Deiner Daten von Google auf Dein Webhosting Schritt für Schritt durchführst.

Daten bei Google herunterladen

Bevor Du auch nur überhaupt daran denkst, Deinen Google-Account zu löschen, solltest Du Deine Daten bei Google herunterladen und das Backup sichern.

E-Mails von Google auf Dein Webhosting umziehen

Du brauchst: ein lokales E-Mail-Programm, in welchem Du IMAP-Konten einrichten kannst. Mit Mozilla Thunderbird klappt der Umzug erfahrungsgemäss prima, weshalb wir in den nachfolgenden Schritten dieses Programm verwenden, in anderen E-Mail-Programmen sollte es aber auch funktionieren.

  1. Richte Deine Gmail-Adresse in Mozilla Thunderbird ein. Wichtig ist, dass Du die Gmail-Adresse als IMAP-Adresse einrichtest. Bei der Einrichtung kannst Du Dich an die offizielle Anleitung seitens Mozilla halten. Achtung: Falls Du bei Google die Zwei-Schritt-Verfizierung nutzt, musst Du für die Einrichtung der E-Mail-Adresse ein App-Passwort generieren.
  2. Richte Deine bei uns gehostete E-Mail-Adresse nun auch in Thunderbird ein. Unsere Anleitung «Thunderbird» leitet Dich durch die nötigen Schritte.
  3. Sobald beide E-Mail-Adressen eingerichtet und synchronisiert wurden (das kann bei grösseren Konten ganz schön lange dauern), kannst Du die E-Mails mittels «Drag und Drop» von Deiner Gmail-Adresse in Deine cyon-Adresse umziehen. Auch hier gilt: hast Du ein grosses Gmail-Postfach, wird der Umzug etwas dauern. Du siehst in der Fussleiste von Thunderbird, wie weit dieser ist.

Google-Kalender auf Dein Webhosting umziehen

Du brauchst: Ein lokales Kalender-Programm, in welchem Du Kalender via CalDAV abonnieren kannst. Das sollte im besten Fall auch gleich das Programm sein, das Du in Zukunft für die Nutzung Deiner Kalender verwendest. In unserem Beispiel nutze ich die Desktop-Variante von «Kalender» von Apple, Du kannst natürlich aber das Kalender-Programm Deiner Wahl nutzen. Natürlich kannst Du die Kalender auch mit Mobilgeräten synchronisieren. Egal, ob Du Desktop oder Mobilgerät verwendest: Die Zugangsdaten für die Einrichtung sind immer die selben.

  1. Exportiere Deinen bestehenden Google-Kalender, indem Du der offiziellen Anleitung von Google folgst. Entpacke im Anschluss das heruntergeladene Archiv. Die .ics-Datei benötigen wir für den Import der Daten.

  2. Gehe zu «Kalender» > «Account hinzufügen …» und wähle dort «Anderer CalDAV-Account …»

    Baïkal calendar setup macOS

  3. Für «Accounttyp» wählst Du «Manuell». Gib hier nun die Zugangsdaten Deines in Baïkal eingerichteten Benutzers ein und melde Dich an.

    Baïkal calendar setup macOS 2

  4. Das CalDAV-Konto wird synchronisiert. Weil es noch keine Daten enthält, siehst Du noch keine Termine.

  5. Um Deine Kalenderdaten von Google in Deinen neuen Kalender zu importieren, wählst Du diesen an und gehst dann zu «Ablage» > «Importieren …», worauf Du im Finder-Fenster die zuvor heruntergeladene .ics-Datei auswählst. Im darauf erscheinenden Fenster «Ereignis hinzufügen» wählst Du dann Deinen neuen Kalender aus. Und voilà – die Daten werden importiert.

  6. Du kannst nach Bedarf in Baïkal weitere Kalender für Deinen Benutzer erstellen. Diese werden automatisch mit Deinem Kalender-Programm synchronisiert.

Google-Kontakte auf Dein Webhosting umziehen

Du brauchst: Ein lokales Kontakte-Programm, in welchem Du Kontakte via CardDAV abonnieren kannst. Auch hier sollte das im besten Fall gleich das Programm sein, das Du in Zukunft für Deine Kontakte verwendest. Bei mir ist das die Desktop-Variante von «Kontakte» von Apple, Du kannst natürlich aber das Kontakte-Programm Deiner Wahl nutzen. Selbstverständlich kannst Du auch die Kontakte mit Mobilgeräten synchronisieren, indem Du eine entsprechende App verwendest.

  1. Exportiere Deinen bestehenden Google-Kontakte, indem Du der offiziellen Anleitung von Google folgst. Wähle als Export-Format «vCard» aus. Es sollte eine Datei mit Namen «contacts.vcf» heruntergeladen werden. Diese benötigen wir für den Import der Daten.

  2. Gehe zu «Kontakte» > «Account hinzufügen …» und wähle dort «Anderer Kontakte-Account …»

    Baïkal contacts setup macOS

  3. Für «Accounttyp» wählst Du «Manuell». Gib hier nun die Zugangsdaten Deines in Baïkal eingerichteten Benutzers ein.

    Baïkal contacts setup macOS 2

  4. Das CardDAV-Konto wird synchronisiert. Weil es noch keine Daten enthält, siehst Du noch keine Kontakte.

  5. Um Deine Kontakte von Google zu importieren, wählst Du in der linken Spalte das CardDAV-Konto an und gehst dann zu «Ablage» > «Importieren …», worauf Du im Finder-Fenster die zuvor heruntergeladene Datei «contacts.vcf» auswählst. Und zack, sind die Kontakte synchronisiert.

Kalender freigeben und teilen

Du kannst einen in Baïkal erstellten Kalender mit anderen Nutzern teilen.

  1. Rufe den entsprechenden Kalender über 

    https://baikal.oliverorange.ch/dav.php/calendars/[baïkal_benutzer]/[calendar_token_id]

    auf. Die Token ID für den Standard-Kalender lautet «default», für alle anderen Kalender hast Du die Token-ID bei der Erstellung des jeweiligen Kalenders generiert (sie kann aus Zahlen, klein geschriebenen Buchstaben und Querstrichen bestehen).

  2. Unter «Actions» > «Share this resource» kannst Du nun im Feld «Share with (uri):» die E-Mail-Adresse eines anderen Benutzers Deiner Baïkal-Installation angeben. Vergiss dabei den «mailto:»-Präfix nicht. Im Feld «Access» kannst Du auswählen, ob der Benutzer dabei Schreib-, Lesezugriff oder beides erhalten soll. Falls Du dem Benutzer irgendwann mal diesen Zugriff entziehen möchtest, machst Du das auch über dieses Feld.
    Baïkal sharing calendars.

  3. Voilà: Mit einem Klick auf «share» kann der angegebene Benutzer nun auf Deinen Kalender zugreifen. Es ist keine weitere Aktion nötig; der Kalender wird automatisch synchronisiert, sofern der Benutzer bereits ein Kalender-Programm verwendet.

Baïkal aktualisieren

Wie jede andere Software, die Du auf Deinem Webhosting installierst, solltest Du Baïkal auf dem neusten Stand halten. Damit stellst Du sicher, dass erkannte Sicherheitslücken zeitnah geschlossen und nicht mehr ausgenutzt werden können. Zudem erlaubt es Dir, neue Funktionen zu verwenden.

  1. Erstelle ein Backup Deiner MySQL-Datenbank. Da die Datenbank alle Kalender- und Kontaktdaten enthält, ist dieser Schritt besonders wichtig.
  2. Erstelle ein Backup Deines Installationsverzeichnisses von Baïkal.
  3. Lade über GitHub die aktuellste Version von Baïkal herunter und lade die Daten über SSH/SFTP oder FTPS in das Zielverzeichnis der Subdomain hoch ohne dabei den Ordner «Specific» zu überschreiben. Die dort liegenden Daten werden zusammen mit der Datenbank von Baïkal benötigt. Alle anderen Dateien darfst Du ohne Bedenken überschreiben
  4. Öffne das Administrations-Panel, das in unserem Beispiel unter https://baikal.oliverorange.ch/admin liegt, und folge den Anweisungen.

Deine Daten am richtigen Ort

Wenn Du ganz sicher bist, das alles wie gewünscht funktioniert, kannst Du Dein Google-Konto löschen (oder erst mal einen Autoresponder einrichten, der Absender über Deine neue E-Mail-Adresse informiert) und Deine E-Mail-basierten Logins auf Deine eigene E-Mail-Adresse umändern, damit Du das Gmail-Konto nicht mehr benötigst. Auf eine Weiterleitung von Deiner Gmail-Adresse auf Deine eigene E-Mail-Adresse würde ich dabei übrigens verzichten – das wirkt der Absicht entgegen, E-Mails nicht mehr von Google mitlesen zu lassen.

Geschafft! Deine E-Mails, Kalender und Kontakte haben auf Deinem Webhosting eine neue Heimat gefunden und Du hast Dir ein Stück Freiheit in Sachen Privatsphäre erkämpft.

Artikel öffnen

Neuer Massanzug fürs cyon-Webmail

Tom Brühwiler

Tausende von Zugriffen auf das cyon-Webmail zählen wir täglich. Das zeigt, wie wichtig unseren Kundinnen und Kunden der Zugriff via Web auf ihre E-Mails ist. Mit Roundcube Version 1.4 spendieren wir unserem Webmail ab 16.03.2020 nun auch ein neues, aktualisiertes Gesicht. Welche neuen Funktionen und Verbesserungen das Update mit sich bringt, erfahren Sie im heutigen Blogbeitrag.

Das cyon-Webmail in neuem Kleid.

Augenfällig: Neues Design

Bisherige Nutzer werden es auf den ersten Blick bemerken: Unser Webmail zeigt sich ab dem 16. März 2020 in komplett neuem Kleid. Aufgeteilt in die vielerorts verwendete 3-Spalten-Ansicht bringt Roundcube damit endlich mehr Übersicht über Ordner, Mails und Inhalte. Neu ist der verwendete Skin zudem responsive, passt sich also on the fly an die Grössen der Browser oder Mobilgeräte an (und ja, wir wissen, dass uns andernorts dazu noch ein weiteres Mosaiksteinchen fehlt 😉).

Die neue Oberfläche «Elastic» funktioniert mit verschiedenen Bildschirmgrössen.

Die neue Oberfläche «Elastic» funktioniert mit verschiedenen Bildschirmgrössen.

Unter der Haube: Bessere Mailvelope-Integration

Wer seine E-Mails gerne PGP-verschlüsselt verschickt, kann in Roundcube 1.4 mit einer verbesserten Integration der Browser-Erweiterung «Mailvelope» rechnen. Das Addon ist für Google Chrome und Mozilla Firefox verfügbar und basiert auf OpenPGP.js, einer JavaScript-Implementierung des OpenPGP-Standards.

Das Verschlüsselungs-Plugin Mailvelope ist neu noch besser integriert.

Das Verschlüsselungs-Plugin Mailvelope ist neu noch besser integriert.

Kontaktfreudig: QR-Code für Kontaktdaten

Im cyon-Webmail lässt sich mit dem neuen Webmail nun auch für jeden angelegten Kontakt ein QR-Code erstellen. Scannt man diesen mit einem anderen Gerät, zum Beispiel mit dem Smartphone, hat man so im Handumdrehen die aktuellen Informationen zum Kontakt.

Kontakte lassen sich neu praktisch per QR-Code anzeigen.

Kontakte lassen sich neu praktisch per QR-Code anzeigen.

One more time: Resend

Ebenfalls neu: Die sogenannte «Resend»-Funktion, wie sie einigen vielleicht bereits aus Microsoft Outlook oder Apple Mail («Umleiten») bekannt ist. Sie ähnelt dem klassischen Forwarding, leitet die entsprechende E-Mail aber im Originallayout weiter. Der E-Mail-Body enthält also keine Quotes, keine Angaben zum Original-Absender und Empfänger und auch dem Betreff wird kein «Fwd», «Wtrl» oder ähnliches vorangestellt. Kurzum: Für den Empfänger sieht die E-Mail aus, als sei sie direkt an ihn geschickt worden.

E-Mails lassen sich neu im Original weiterleiten.

E-Mails lassen sich neu im Original weiterleiten.

Byebye: Adieu Internet Explorer 9

Was bleibt, ist ein kleiner Abschied. Von der bisherigen Oberfläche einerseits und andererseits vom guten, alten Internet Explorer 9. Der bereits im März 2011 erschienene IE9 wird von der jüngsten Version von Roundcube nämlich nicht mehr unterstützt. Und das ist, nach fast neun Jahren, wohl auch gut so.

Artikel öffnen

Contao 4.9 – Neue Version mit Long-Term-Support

Tom Brühwiler

Das Content-Management-System (CMS) Contao hält sich seit Jahren in den Top 5 unserer regelmässig veröffentlichen CMS-Ranglisten (2013, 2014, 2015, 2016, 2017, 2019). Das ist kein Wunder, denn das Open-Source-CMS hat gerade in den deutschsprachigen Ländern Deutschland, Österreich und der Schweiz eine grosse und treue Fangemeinde. Dafür sorgt auch die Contao Association mit Sitz in der Schweiz als offizieller Trägerverein des CMS.

Contao 4.9 – Neue Version mit Long-Term-Support

Vor wenigen Tagen hat die Community nun ihre jüngste «Flagschiff-Version» 4.9 LTS zum Download freigegeben. LTS steht dabei für «Long Time Support», was konkret bedeutet, dass Version 4.9 bis im Februar 2023 mit Bugfixes und ein weiteres Jahr, also bis zum Februar 2024, mit Sicherheitsupdates versorgt wird. Das sorgt für mächtig Planungssicherheit.

Mit Contao 4.9 halten seit der letzten LTS-Version einige Verbesserungen und Neuerungen Einzug, die das CMS noch attraktiver machen.

SERP-Vorschau

Die Vorschau der «Search Engine Result Page» erlaubt es innerhalb von Contao die Seite so anzuzeigen, wie sie voraussichtlich in den Suchresultaten von Google aussehen wird. So können Titel, Beschreibung und URL einer Seite bereits im Vorfeld optimiert werden.

Contao 4.9: SERP-Vorschau.

So sieht die ausgewählte Seite voraussichtlich in den Google-Suchresultaten aus.

Image Lazy Loading

Mit «Lazy Loading» werden Bilder erst geladen, wenn sie auch wirklich gebraucht werden, konkret: Wenn Sie im sichtbaren Bereich des Browsers auftauchen. Dafür kann Contao neu das loading="lazy" -Attribut im HTML-Quelltext setzen.

Zwei-Faktor-Authentifizierung

Für mehr Sicherheit ist die Funktionalität für eine Zwei-Faktor-Authentifizierung bereits standardmässig ins CMS integriert. Diese wurde nun um Backup-Codes, mit denen man sich anstellte des Bestätigungscodes anmelden kann, sowie um Trusted Devices, erweitert. Trusted Devices sind vertrauenswürdige Geräte, die nur ca. alle 60 Tage durch die Eingabe des Bestätigungscodes bestätigt werden müssen.

Contao 4.9: 2FA.

Die Zwei-Faktor-Authentifizierungsfunktion hat weitere Verbesserungen erhalten.

Crawler

Ein Crawler übernimmt den Aufbau des Suchindex und sucht nach defekten Links. Damit lassen sich nicht mehr gültige Links einfach auffinden und der Inhalt so aktuell halten.

Dynamisierte Favicon- und robots.txt-Verwaltung

Das Favicon und die robots.txt können neu pro Domain festgelegt werden.

Und wer es jetzt noch etwas genauer wissen will: Im untenstehenden Video, entstanden im vergangenen Oktober an der Contao-Konferenz 2019 in Duisburg, werden die Neuerungen noch einmal näher vorgestellt.

Artikel öffnen

PHP 7.4 wird ab Mai 2020 neue Standardversion

Tom Brühwiler

Seit Ende November 2019 ist die neueste PHP-Version 7.4 bereits in einer Stable Version auf unseren Servern in Betrieb. Ab Mai 2020 machen wir PHP 7.4 nun zur neuen Standardversion. Damit liefern Webhostings von cyon zukünftig PHP-Websites standardmässig mit PHP 7.4 aus.

Ab Mai 2020: PHP 7.4 wird Standardversion.

Muss ich etwas unternehmen?

Falls Sie in Ihrem my.cyon-Konto nicht ausdrücklich eine andere PHP-Version für Ihre Website ausgewählt haben, nutzen Sie die von uns vorgegebene PHP-Standardversion. Zurzeit ist das PHP 7.1. Nach der Umstellung der Standardversion wird Ihre Website völlig automatisch mit PHP 7.4 ausgeliefert.

Sind Sie unsicher, ob Ihre Website auch mit PHP 7.4. wie gewohnt funktioniert? Mit wenigen Mausklicks können Sie das bereits jetzt testen.

Wie prüfe ich, ob meine Website auch mit PHP 7.4 funktioniert?

Die beliebtesten CMS wie WordPress oder Contao sind bereits mit PHP 7.4 kompatibel. Um zu testen, ob auch Ihre Website mit PHP 7.4 problemlos funktioniert, gehen Sie wie folgt vor:

  1. Loggen Sie sich in Ihr my.cyon-Konto ein.
  2. Wählen Sie den Menüpunkt «Erweitert > PHP-Versionsmanager».
  3. Wählen Sie für die gewünschte Domain oder einen einzelnen Unterordner die PHP-Version 7.4.

    4. PHP-Versionsmanager mit PHP 7.4

  4. Rufen Sie anschliessend Ihre Website auf und prüfen Sie diese auf sichtbare Fehler oder fehlende Elemente. Melden Sie sich ausserdem im Administrationsbereich Ihres CMS an und prüfen Sie, ob Fehler in der Darstellung oder Fehlermeldungen sichtbar sind.
  5. Funktioniert Ihre Website auch mit PHP 7.4 wie gewünscht, wählen Sie wieder den Wert «Standard» für die gewünschten Verzeichnisse. So nutzen Sie immer automatisch die jeweils gültige Standardversion.

Mögliche Stolpersteine: Plugins und Themes

Änderungen an der PHP-Version verursachen mit den Kernsystemen von WordPress, Joomla, TYPO3, Drupal, Contao und Co. in der Regel keine Probleme. Plugins, Erweiterungen und Themes, die noch nicht auf die neueste PHP-Version vorbereitet sind, können hingegen Fehlermeldungen verursachen. Legen Sie deshalb bei der Prüfung Ihrer Website mit PHP 7.4 ein besonderes Augenmerk auf Plugins und Themes und etwaige Fehlerausgaben. In vielen Fällen genügt das Deaktivieren des Plugins oder der Wechsel auf ein moderneres Theme, um die eigene Website wieder fit für die kommenden Jahre zu machen.

Wann wird die PHP-Standardversion für mein Webhosting umgestellt?

Wir werden mit der Umstellung der PHP-Standardversion ab Mai 2020 beginnen. Um Ihnen bei allfälligen Problemen mit der Umstellung rasch zur Seite stehen zu können, werden wir die Umstellung auf den verschiedenen Servern zu unterschiedlichen Zeitpunkten vornehmen. Den genauen Zeitplan finden Sie in unserem Supportcenter sowie im my.cyon-Konto unter dem Menüpunkt «Erweitert > PHP-Versionsmanager». Wir erinnern unsere Kundinnen und Kunden ausserdem vor der Umstellung per E-Mail.

Artikel öffnen

Captchas: Es muss nicht immer reCAPTCHA sein

Philippe Krebs

Was wären Websites ohne Kontaktformulare. Oder Kommentarfelder. Sie bieten eine Austauschmöglichkeit oder gar ein Mitwirken von Website-Besuchern. Falls Sie schon eine Weile mit solchen Elementen auf Ihrer Website arbeiten, kennen Sie vielleicht die eine oder andere Form von Kontaktformular- oder Kommentar-Spam.

Captchas: Es muss nicht immer reCAPTCHA sein.

Solche Spam-Attacken werden automatisiert durchgeführt und in der Regel hilft eine Absicherung mit einem Captcha. Captcha ist die Abkürzung für «Completely automated public turing test to tell computers and humans apart» – also ein Test, der Mensch und Maschine unterscheiden soll.

In der Regel sind diese Tests in Form von kleinen Bildrätseln sichtbar, die nur Menschen lösen können sollten. Wir bei cyon empfehlen unseren Kundinnen und Kunden ebenfalls den Einsatz von Captchas, um sich vor bösen Überraschungen zu schützen.

reCAPTCHA: Der Platzhirsch

Der verbreitetste Dienst für solche Captcha-Lösungen heisst reCAPTCHA. Der Dienst wurde ursprünglich an der Carnegie Mellon University entwickelt und später von Google aufgekauft. Er definiert quasi den Standard und gilt als sehr zuverlässig.

Was viele nicht wissen: Die Zuverlässigkeit kommt nicht nur von den gut ausgewählten Rätseln. Im Hintergrund erhält jede Benutzerin und jeder Benutzer einen Fingerabdruck, der eine grosse Rolle bei Googles Turing-Test spielt. Jede Anfrage erhält einen Score mit undurchsichtigem Ranking, bei dem viele Faktoren mitspielen. Das könnten die IP-Adresse oder auch google.com-Cookies sein. Grundsätzlich vermute ich, dass Google hier möglichst viele verfügbare Daten hinzuzieht, weil das den Dienst zuverlässig macht.

Ich halte es für problematisch, dass dieser Vorgang im Hintergrund abläuft und Google so von jeder reCAPTCHA-ausfüllenden Person Daten sammeln kann. Welche Website wurde zu welchem Zeitpunkt von wo aus aufgerufen? Zusammen mit all den anderen Daten, die Google über jeden von uns hat, liesse sich daraus ein sehr genaues Profil erstellen. Wer versucht, sich diesem Profiling zu entziehen, indem sie oder er zum Beispiel über das Tor-Netzwerk versucht, ein reCAPTCHA auszufüllen, sieht sich oft gleich mit mehreren und schier unlösbaren Bild-Rätseln konfrontiert.

Alternativen zu reCAPTCHA

Wer für seine eigene Website nicht auf reCAPTCHA setzen will: Es gibt einige sehr passable Alternativen zum Platzhirsch. Die meisten davon sind auch sehr einfach integrierbar. In unserem Supportcenter-Artikel «Captcha», haben wir einige dieser Lösungen für Sie gesammelt. Ein kleiner Vorgeschmack:

Versteckte Formularfelder (Honeypot-Felder)

Eine bereits seit 2007 relativ gut funktionierende Methode, sind versteckte Formularfelder. Nicht speziell für Ihre Website geschriebene Spam-Scripts sind nicht intelligent genug, um ein Formularfeld mit dem Namen «URL» leer zu lassen. Wenn das Formularfeld mittels CSS versteckt wird, fallen 99.9% aller Spambots darauf herein. Vergessen Sie dabei bitte nicht, über ein <label>-Element die Barrierefreiheit zu gewährleisten.

Antispam Bee für WordPress

Angesichts der Beliebtheit von WordPress, widmen wir unserem Plugin-Tipp einen eigenen Abschnitt. Antispam Bee ist ein zuverlässig arbeitendes Open-Source-Plugin, das wenig Daten sammelt und einem gleichzeitig sehr viel Kontrolle lässt. Wir setzen Antispam Bee selber schon seit Jahren erfolgreich auf unserem Blog ein und können das Plugin uneingeschränkt weiterempfehlen.

Antispam Bee lässt sich individuell konfigurieren.

Antispam Bee lässt sich individuell konfigurieren.

CMS-spezifische Antispam-Erweiterungen

Neben Antispam Bee für WordPress gibt es für praktisch alle Content-Management-Systeme ein grosses Sammelsurium an Captcha-Erweiterungen. Diese bringen verschiedene Technologien von Haus aus mit und sind einfach zu installieren.

Die Plugins für die beliebtesten Systeme finden Sie unter folgenden Links:

Captcha oder kein Captcha?

Nicht zuletzt stellt sich aber auch immer die Frage: Sind aufdringliche Captchas wirklich nötig? Wie oft habe ich mich schon genervt, wenn ich vor dem Absenden meiner Kontaktanfrage ein mühsames Captcha ausfüllen musste. Ich lege Ihnen deshalb ans Herz: Überlegen Sie sich vor jedem Einbau eines Captchas, ob dieses wirklich nötig ist. Vielleicht gibt es einfachere Lösungen, die Ihre Besucherinnen und Besucher weniger ausbremsen.

Artikel öffnen