Behindertentauglichkeit und Realität

Wer würde Usability-Test machen und dazu keine User einladen? Bei der Behindertentauglichkeit scheint dies leider gang und gäbe. Möglicherweise dem Gedanken folgend „Behindertentauglich ja, aber bitte ohne Behinderte“.

Ein aktuelle Pressemitteilung in der Netzwoche mit dem Titel „Bank Leu wird behindertenberecht“ muss ich ein bisschen kommentieren. Doch zuerst die Bemerkung: Danke an die Bank Leu, dass sie den Weg der Behindertentauglichkeit eingeschlagen haben. Er ist lohnenswert und richtig.

pm_netzwoche_wai_leu.jpg

Ziemlich origniell (zum Anfangen) ist die Bemerkung in der Pressemitteilung, dass es sich bei der Technlologie um HTML nach W3C handelt…

Zuerst das Problem des „Hintereingangs“. Zwei Links führen zu einer alternativen Textversion (auch das Icon mit der Lupe ?!). Behindertentauglich ja aber gehen sie bitte ums Haus, beim Kehricht vorbei und dann bei der rostigen Türe rein. Weshalb eine Trennung in Leute die behindert sind und solche die es nicht sind? Und wer ist genau behindert? Bitte gut für alle in einer Version. Wir hatten auch schon zahlreiche Fälle, wo solche Links (wegen der Sequenz) nicht gefunden wurden im Stil Deutsch/Franà§ais/Blind (im Footer) und bei Deutsch klickte unser Tester.

Die erste HTML-Seite der Alternativrepräsentation sollte ja W3C-konform sein… Na ja, der Validator erzählt mir was von 220 Fehlern. Mit Blick auf geräteunabhängige Codierung nicht gut.

Unten auf der Homepage dann Bereiche mit dem Kommentar „The following pages have not been optimized for the visually impaired.„. Mit einer Version ohne Hintereingang gibt es diese Probleme nicht und Personen mit Behinderung sind nicht gleich „visually impaired“. Hätte eine sensibilisierte Person getestet gibt es solche „Faux Pas“ nicht.

Dann einen Blick in den Quellcode der Seite (die mit dem HTML nach W3C): Was für Liebhaber. Nicht nur sehr viel JavaScript welches gar nicht benötigt (von den alternativen Zugangsgeräten aber geparst) wird aber einige Verletzungen des WAI-Standards WCAG so wie fehlende Content Language oder kein Label beim Eingabefeld der Suche u.a.m.

Nochmals: Danke für den Schritt in die richtige Richtung. Besser wäre aber mehr Liebe zum Detail und weniger Pressemitteilung.

Veröffentlicht unter Allgemein | Verschlagwortet mit

Geld für eine bessere Umsetzung einer „noblen“ Vision?

Google’s mission is to organize the world’s information and make it universally accessible and useful.“ Damit dies auch umgesetzt werden kann, muss ein Werbung sein…
Das, was ich heute aber erfahren habe (danke fürs Abendessen U. und B.), ist nicht mehr nett. Eine Erweiterung von Googles AdSense um Ad Links. Das sind kontextsensitive Links (Schritt 1, kennen wir) die aber auf eine leere Google-Seite mit weiterer Werbung führen (Schritt 2, doof). Nun ja, wahrscheinlich gibt Google das Einkommen recht aber nicht sehr elegant.

i-2f30e53e0ba7ac5a6d4bcb506c77a98b-google-adlinks.jpg

Und hier noch Textfutter und ein Beispiel (rechts aussen).

Veröffentlicht unter Allgemein | Verschlagwortet mit

E-Mail Adressen verstecken und doch nicht

Über E-Mail Spam brauche ich kaum zu klagen – der ist ihnen wahrscheinlich bestens bekannt. Doch wie kommen die Spammer an die E-Mail Adressen?

Die erste Strategie ist raten nach Zufallsprinzip so wie bei Passworten (brute force name guessing) oder raten mit Hilfe von Wörterbüchern. Somit sind kurze, einfache Adressen wie john@hotmail.com schlecht und ein Name wie juerg.stuker gut (weil selten).

Die zweite, deutlich erfolgreichere Strategie ist das Einsammeln von E-Mail Adressen auf Webseiten und in öffentlichen Verzeichnissen. Dies geschieht mit spezialisierten Programmen sog. Spiders oder Crawlers. Solche welche auch von Suchmaschinen genutzt mit dem (legitimen) Ziel zu indizierende Seiten zu beschaffen. Der „Erfolg“ einer solchen Massnahme erlebte ein Mitarbeiter bei uns, welcher eine Frage auf E-Mail Liste publiziert hatte und am nächsten Morgen (und jeden Tag danach) über 200 Spams erhielt.

Was tun? E-Mail Adressen nicht zu publizieren wäre effizient, aber nicht besonders realistisch. Einige Ansätze:

1) Ein Bild anstelle der E-Mail-Adresse oder anstelle des @-Zeichen, welches der Crawler braucht und Adressen aufzufinden. Nachteil ist, dass ein Klick mit à–ffnung des E-Mail Progranmmes (mailto:) nicht tut oder nur in Verbindung mit Ansatz 4. Achtung im ALT-Attribut die Adresse nicht angeben, weil der Crawler den Text lesen würde. Am besten wäre das Bild auch resistent gegen eine Texterkennung, so wie bei einem Captcha, doch das ist eher der Königweg. Dieser Weg ist nicht Barrierefrei.

i-976906dedd805bc960acdd3bccdb3ee2-e-mail-adresse.gif

2) Die Darstellung der E-Mail Adresse in einer HTML-Tabelle, so dass der Crawler den Zusammenhang der einzelnen Adress-Elemente nicht automatisch erkennen kann. Die Einschränkungen vom Ansatz 1) gelten auch hier.

juerg.stuker E-Mail nicht am Stück
@ namics.com

3) Das @-Zeichen als Text ausschreiben oder überflüssigen Text an die E-Mail Adresse anhängen.

juerg.stuker (ät) namics.com
juerg.stuker@namicsREMOVE.com

4) Und dann noch eine Mischung von 3) mit JavaScript bei welcher der sichtbare Text ohne @-Zeichen steht und auf ein Klick wird der mailto-Link so zusammengesetzt dass der Crawler dies nicht versteht. Am einfachsten beim Kundenbeipiel www.erdgas.ch studieren. Der Weg ist der beste im Bezug auf Barrierefreiheit.

Nicht genügend ist der Ersatz eines einzelnen Zeichens durch ein HTML Entität und/oder eine Unicode-Zeichen, da die Übersetzung sehr einfach erfolgen kann.

Auf der gemeinen Seite – und Thema für einen eigenen Post – sind Fallen (honeypots) für Crawler die sich nicht an die Ausschlussreglen von robots.txt halten. Dabei werden zufällige (ungültige) E-Mail Adressen oder endlose Seiten erzeugt… Dies ist aber eher für „Liebhaber“.

Und hier je noch einen Post über Greylisting und E-Mail Authentifizierung.
Mehr Infos auf den Internet auch bei: http://www.turnstep.com/Spambot/

Anti-Spyware Software von Microsoft

Bill Gates gibt zu, dass er auch schon mal Spyware eingefangen hatte, kauft die Firma Giant Company Software und „Genuine Windows Users“ sind um ein Gratis-Tool reicher: Microsoft AntiSpyware (Beta 1).

Das tolle Tool ist natürlich Testsieger etc. aber das wollte ich ja gar erzählen. Lustig fand ich, dass das Tool das Active-X „Windows Update Control Engine“ von Microsoft selbst als unknown einstuft. Na also ab in den Kehricht ;-)

i-5f73f0252df8bee02e9991ac10133b7c-ms_antispyware_beta1-thumb.gif

Und für Leute die nicht alles von Microsoft wollen gibt es ja noch AdAware.

Veröffentlicht unter Allgemein | Verschlagwortet mit

„Low Tech“ gegen Phishing

Phishing, die Kunst vertrauliche Daten durch Täuschung zu ergaunern, ist nach meiner persönlichen E-Mail Stichprobe zu urteilen, stark verbreitet. Alle bekannten transaktionale Systeme wie Online-Banken oder Auktionsplattformen rüsten auf. Teilweise mit teurem High-Tech welcher mich als Nutzer belastet und andere Nutzer, beispielsweise Blinde, ausschliesst.

Ein eleganter Weg beim Login die Authentizität des System zu zeigen gibt es bei der guten alten Streichliste auf Papier.

Der Login-Prozess besteht auch zwei Schritten.

i-64491ed6ffbe3c32ab84902da5b91468-sgkb_login1-thumb.gif

Nach dem ersten Schritt sagt mit das System 1) den zuletzt von mir genutzten Code und 2) welche Position dran ist. Zwar könnte auch das (mit einem Proxy-Mechanismus) ausgetrickst werden aber der Schutz ist immer noch besser als bei den High-Tech Tokens. Mir gibt es ein gutes Sicherheitsgefühl!

i-ebaf1ffc79b80e2f137d4203084779ac-sgkb_login2-thumb.gif

Veröffentlicht unter Allgemein | Verschlagwortet mit

Blogging oder das Ende der PR Abteilung

Blogging als Massenbewegung wurde vielerorts schon thematisiert (z.B. bei uns schon vor einiger Zeit). Ein sicheres Zeichen, dass etwas den Sprung vom Insiderwissen in das Bewusstsein der breiten à–ffentlichkeit geschafft hat, ist ein Artikel im Economist: Der Blog von Robert Scoble, bekannt als „The Scobleizer„, ist ein Phänomen, nicht nur seit besagte Zeitschrift darüber geschrieben hat. Zuerst gewöhnlicher Blogger, ist er jetzt Chef-Blogger von Mircosoft. Und hat damit etwas erreicht, was ganze Armeen von hochbezahlten PR-Spezialisten nicht erreicht haben: Microsoft, die oft verteufelte Software-Schmiede, erscheint weniger teuflisch und das insbesondere bei unabhängigen Entwicklern. Wenn der Trend sich fortsetzt, werden ganze PR-Abteilungen überflüssig. Vielleicht keine schlechte Sache. Die Welt wäre vermutlich ein Stück ehrlicher.

The Awful German Language

Auch wenn die Anzahl an englischen Fremdwörtern (zu) hoch ist, habe ich es bin anhin geschafft auf Deutsch zu schreiben… Nun wird es für einmal englisch. Mark Twain sein Dank:

In the German it is true that by some oversight of the inventor of the language, a Woman is a female; but a Wife (Weib) is not — which is unfortunate. A Wife, here, has no sex; she is neuter; so, according to the grammar, a fish is he, his scales are she, but a fishwife is neither. To describe a wife as sexless may be called under-description; that is bad enough, but over-description is surely worse. A German speaks of an Englishman as the Engländer; to change the sex, he adds inn, and that stands for Englishwoman — Engländerinn. That seems descriptive enough, but still it is not exact enough for a German; so he precedes the word with that article which indicates that the creature to follow is feminine, and writes it down thus: „die Engländerinn,“ — which means „the she-Englishwoman.“ I consider that that person is over-described.

Den ganzen (wundervollen) Text, geschrieben 1880 als Anhang im Buch A Tramp Abroad finden Sie hier.

Veröffentlicht unter Allgemein | Verschlagwortet mit

IDN Spoofing (Punycode Homograf Angriff)

Kein Sicherheitsproblem von Firefox/Mozilla aber ein Designproblem der internationalen Domänennamen (mit mehr erlaubten Zeichen als 7-Bit ASCII) — Nota bene seit 2001 bekannt.

Bei den internationalen Domänennamen, so wie www.nestlé.ch (mit Akzent aigu) wurde ein Verfahren gesucht, bei welchen die DNS-Infrastruktur (Namensauflösung bspw. von namics.com zur IP-Adresse 193.141.193.209) nicht angepasst werden musste.

Die gewählte Lösung ist eine Codierung des Namens mit Sonderzeichen in einen Namen ohne Sonderzeichen. Um die zwei Arten zu trennen steht vor dem codierten Text der Präfix xn--. So wird aus www.jürg.com -> www.xn--jrg-hoa.com. Das Verfahren nennt sich Punycode und ist in RFC 3492 definiert.

Damit der Benutzer den hässlichen String www.xn--jrg-hoa.com nicht sieht, zeigt der Browser nur www.jürg.com an. Und nun die Sicherheit: Gewisse (unterschiedliche) Zeichen werden je nach Zeichensatz visuell identisch dargestellt. So beispielsweise das „a“ in lateinischen Alphabeth und das kyrillische „a“. So resultiert www.paypal.com und www.xn--pypal-4ve.com (mit kyrillsichen „a“ d.h. den Unicode Zeichen #1072) optisch auf derselben Site. Hier das Beispiel für Firefox/Mozilla und IE mit Versign-Plugin etc.: www.paypal.com. Schade, dass dasselbe auch mit https tadellos funktioniert (das Zertifikat prüft auf den angezeigten Namen). Da das Problem bekannt war, empfahl ICANN die Registration von homografen Domänennamen nicht zuzulassen. Aber möglicherweise war der Umsatz bei den Verkäufern höher gewichtet ;-)

Die erste Reaktion war — nach einer erneuten Publikation des Problems — den Ausbau der IDN-Funktionalität aus den Mozilla-Produkten (Bug ID 279099). Nach einer weiteren Diskussion soll die Unterstützung nun bleiben, doch die Information eines möglichen Angriffs (resp. der Punycode-Strong) soll angezeigt werden (Bug ID 282270). Natürlich gibt es schon eine Extension. Na ja, dann warten wir mal ab…