ct 1 Juli 08

Report I Hosting: Angebote

(f,b"",IJJ:,nhj"~J )e

!Ir"~ Zkpr:::"':!M!'''''''~'

~~'["50S r",;<ItJ~

:~ :::~:;:~~::';~;t!!:.- .••••~ . i ~,,~\,.rirf'fd(l()lIil,.IY'rb/!)'I'W~lb~~d..~•••• ~~:~f.!<?:.";;;,.~~,,,\'''~'",~,;cr.,

••••• ~,.!!t.•••••_ JIxtI!OIImCIIU'O>1l1jilsligtll\lUItitOUci.Di;PU)

)in~Jard:t;j ~'Jsi::;,.:f.j~;d:I'I:~r-..:J::Jkb'E~~t:~~rr.!&i: 5!:- '

"'""

;.m

~ 'j,::;;rSE:r:~•••

"'"" \I!R\D!IUicIIWnltIJ"stl'~d!rlizlll

~i=~)J:.rmX~r.trXh~~hn:&::i\·~~ "3;D{*"""">fu:;"""";'~.j.!>:e-sc,1-_

"' ••••••• rlllli!i<it u··Pri!l1tlt<un 1111!ltI;g,ft iklltlllA:~~~~~~::SCe~T"1h::~~!:z.~:xf.i.~~·~~f:~r~dIiY*'::

Holger Bleich

Vorhang auf!Zehn Hoster-Pakete mit PHP und Daten

bank für den dynamischen Webauftritt

Eine Website zu erstellen und zu pflegen ist heute soeinfach wie noch nie: Für wenig Geld erhält der KundeServerplatz, Domain und Mailservice. Kaum mehr muss

er berappen, wenn der Hoster ihm außerdem PHP und

eine Datenbank fürs Blog oder Forum zur Verfügungstellen soll. Doch Kostenfallen, lange Vertragslaufzeitenund verwirrende Funktionsbeschreibungen verleidenihm den Einstieg. Wir haben zehn Webhostern genauauf die Finger geschaut.

122

Das Internet bietet genugPlatz für alle. Hundertedeutsche Provider haben

schlüsselfertige Heimstätten fürWebsites und E-Mailsim Angebot.Entsprechend laut müssen dieseHoster die Werbetrommel rühren.Sie versuchen, potenzielle Kunden mit Sonderangeboten undimmer neuen Featuresin den Vertragsabschluss zu locken. Vielefrischgebackene Webmaster bemerken erst, wenn sie ihre Website online haben, dass sie einvöllig überdimensioniertes Paketgewählt haben, etwa, weil diesesja kaum teurer schien als das Einsteigerangebot. Dann freilich istes meist zu spät, den Fehler zukorrigieren, denn oftmals bindendie Hoster ihre Kunden für mindestens ein Jahr an den Vertrag.

11

l~_~LO..i'iiii;;; .. _

Wir haben den Markt gEtet und uns zehn Providerausgepickt, deren Angebotgenau unter die Lupe nah1& 1 und Strato waren als di,

den größten Webhoster geZusammen dominieren diEden Unternehmen das deuWebhosting mit mehr als 7(zent Marktanteil. domainFa,

Hetzner, Host Europe, Lywdie Telekom gelten als Promit viel Erfahrung und als sAdressen für stabiles Ho~Die Marke AII-Inkl.com vers(dem Provider Neue ME

Münnich bereits seit einigerren mit günstigen Konditiund nahezu konstant guterfügbarkeit außergewöhnlichen Kundenzulauf. 1bluGoneo schließlich sind relati

c't 2008, HE


Strato scheintwie viele andereHoster aucheiniges zuverschenken,versteckt aberlediglich dietatsächlichenKosten im Klein

gedruckten.

'I!JITGJTr31--2ßJ~'

weise hervorzuholen. Es blieb

ihm nichts übrig, als die tatsächlichen Preisejedes Angebots mitdem Taschenrechner aufzuaddieren und handschriftlich zu erfassen. Dennoch hatte er stets

die Befürchtung, Kostenhinweise in dem Wust von Kleingedrucktem übersehen zu haben.

Besonders perfide ist, wasGoneo in dunkelblauer Minischrift auf hellblauem Hinter

grund mitten in einem riesigenTextblock versteckt: Der Hoster

definiert dort eine Kündigungsfrist von zwei Monaten anstattder im Markt üblichen vier Wochen zum Monatsende. Die we

nigsten Kunden dürften daraufachten. Möchten sie dann ihrPaket einen Monat vor Ablauf derLaufzeit kündigen, wird der Hoster dies verweigern, da sich jagemäß Sternchentext der Vertragbereits stillschweigend um weitere zwölf Monate verlängert hat.

In unserer Übersicht aufSeite 126 haben wir sämtlicheRabattaktionen außen vor gelassen und stattdessen die regulären Preiseaufgelistet. Zum einensind die Sonderangebote ohnehin zeitlich begrenzt, zum anderen erschweren sie den realistischen Vergleich von Preis undLeistung. Nichtsdestotrotz lässtsich der eine oder andere Eurosparen, wenn man vor dem Abschluss des Vertrags noch mal

Im Testzeitraum gelang es unsnur sporadisch, zur Administrationsoberfläche unseres

T-Home-Accounts zu gelangen.Man befinde sich in einerRelaunch-Phase, erklärte unsdie Telekom auf Nachfrage.

STRATO Rechenzentren co:. frei

WebhosIef des •••• es 2007

"0,'=

GED."rlT., -Q

lange Laufzeit von 24 Monatenhat und nur die ersten 12 davonzu Sonderkonditionen zu habensind.

Schlimmstenfalls findet man in

den Angebotsbeschreibungenkeinerlei Hinweise auf relevanteVertragsmodalitäten wie Zahlungsweise oder Laufzeit. Darüber geben dann erst die Allgemeinen Geschäftsbedingungen(AGB) Aufschluss. Ein Studiumdieser juristischen Klauseln istallerdings zeitraubend, weshalbviele Kunden darauf verzichten.Dassdies eine schlechte Entschei

dung ist, belegt unser Artikel aufSeite 128,in dem wir die AGBderhier erwähnten Webhoster einerPrüfung unterziehen.

Leider arbeiten inzwischensehr viele Webhoster zusätzlichmit der Sternchentext-Methode,um von tatsächlichen Kosten,Laufzeiten und Kündigungsfristen abzulenken. Unser Testkäu

fer war sichtlich genervt und gezwungen, seine Lesebrille für diebisweilen extrem kleinen Hin-

VIdeE1lb •• 1U1"

foo1geKhnttene

,~ ,~, .. -11

WebhostingDÜbenicht

_ HiO/'lh9hts

~~::::':b _.ITnI~[wI'1t :9/. '·:AI·~OT1IC~;.~I,'~:JlI'~DPremtumDPakett imOberblid<

DEmpfthltnDHäufioe Frallen

o STRATO Services

BelGoogII!besser

gefundeflwerclen!

STRATO C••!lCenter01805·05505SMoIFr 01:00'Z3:00 UhrS6ISo 10:00-20:00 Uhr(0,14 tlMil'l. aus dem dt.f"estnet:r,abwetd1enderMobilfunk~rif)

<

htlp:JJ-.straW.de(~webJ(JYeMeWrn:ie'x.htmI

2. Sie sind noch nicht für ein Homepage-Produkt angemeldet Bitte wählen Sie

zunächst ein Homepage-Produkt aus und melden Sie sich an. Produldübersicht &

Anmetduna

logtn nicht mogllch

3. Sie sind Mitarbeiter einer Homepage, und Ihr Zugang ist noch nicht vollständig

eingerichtet Bitte wenden Sie sich an den Administrator der Homepage.

/;\ Das Login ms Homepagecenter ist fehlgeschlagen.Lb Mögliche Ursachen:1. Sie haben sich vor kurzem für ein Homepage·Produl4 angemeldet, die Anmeldung

wurde jedoch noCh nicht vollständig von unseren Systemen verarbeitet On senenen

Ausnahmefallen kann dies mehrere Stunden dauern.) Bitte versuchen Sie es spaterwieder.

Q4te QoMrbet~ ~ Qnri:. l.esezeod>ef1 EWas t!fe

•. +- . e ~~I i1 http://-·str4to.<kjwebhostrq(ndex.htn

ist. Hätte unser Tester nicht gesagt bekommen, dass dort auchHosting feilgeboten wird - erhätte es glatt übersehen. Diequietschbunte Homepage von THome (ehemals T-Online) brachte ihn und uns gar zur Verzweiflung. Selbst mit dem Wissen umein Hosting-Angebot des Unternehmens benötigte er mehrereMinuten, um sich auf dem Portalleidlich zurechtzufinden.

Eine Unsitte, die beispielsweiseInteressenten an DSL-Anschlüs

sen den Vergleich der Angebotezur Qual macht, ist nun auch beiden Webhostern verbreitet: Ra

batte, die innerhalb der Vertragszeit auslaufen, sollen das Angebot besonders günstig erscheinen lassen. Den Vogel dabeischießt Strato ab. Beim Berliner

Hoster gibt es laut Prospekt undHomepage fast sämtliche Paketefür ,,0.- €*". Erst das zum Sternchen gehörende Kleingedruckteoffenbart, dassfür die Ersteinrichtung dennoch eine satte Gebührfällig ist, der Vertrag eine extrem

Preis-Wirrwarr

IWirschauten zunächst einem unerfahrenen Nutzer bei der Suche

nacheinem geeigneten Paket fürseine Zwecke über die Schulter.

Ersollte prüfen, ob die Angebotsseitender Hoster auch Neulingenausreichend Informationen bieten, ohne zu verwirren oder zumAbschlusseines falsch dimensio

nierten Vertrags verleiten.Schwierig, überhaupt die pas

senden Angebote zu finden, machen es Websites von Unterneh

men,die außer Webhosting nochandere Leistungen anbieten. Somussman sich bei Strato und 1&1erst einmal orientieren unddurchklicken, bis man aufs Hosting stößt. Lycos zeigt sich alsbunter Gemischtwarenladen, was:JemPortalcharakter geschuldet

sehen die Newcomer unter denKandidaten.

Einige Worte vorweg zum THome-Angebot der Telekom: Alswir uns Mitte Juni 2008 erstmals

in unseren Testaccount einloggen wollten, erhielten wir sporadisch Fehlermeldungen, denenzufolge das "Login ins Homepagecenter fehlgeschlagen" sei.Nachdem sich dieses Problemüber eine Woche hinzog, konsultierten wir die Pressestelle derTelekom. Tatsächlich komme es

gerade und in den nächstenzehn Tagen zu PerformanceAusfällen und fehlerhaften Logins, ließ man uns wissen. DerGrund sei ein just stattfindender,umfangreicher Relaunch des Angebots. Da sich die außergewöhnlich lange Relaunch-Zeitbis in den Redaktionsschluss die

serAusgabe hinzog, mussten wirdarauf verzichten, die Produktangaben der Telekom praktischzu überprüfen. Dies werden wirin einer der nächsten Ausgabennachholen.

Bei der Bestellung von Webspace-Paketen gingen wir zunächst von einem ambitionier

ten Webmaster-Neuling aus. DerBetrieb seiner Site soll kein großes Loch in die Geldbörse reißen.Andererseits möchte er natürlich nicht nur ein statisches"Hallo, hier bin ich" publizieren,sondern gerüstet sein für dasWeb 2.0 mit seinen dynamischenKomponenten. Pflicht ist folglich,dass der Hoster die Möglichkeit einräumt, PHP-Skripte aufdem Webserver auszuführenund mindestens eine Datenbank

anzulegen.

:'t 2008, Heft 15 123


Platz satt

Entscheidung für oder gegen einWebspace-Paket sollte die Beipacksoftware tatsächlich höchstens dann eine Rolle spielen,wenn man die enthaltenen Pro

gramme explizit benötigt.

Alle Pakete sind mit mindestens

500 MByte Speicherplatz ausgestattet, was auch für aufwendigere Site-Projekte vollkommenausreicht. Zu beachten ist, dass,wie in der Tabelle jeweils vermerkt, bei einigen Hostern derPlatzverbrauch von Mail-Konten

vom Webspace abgezogen wird.Bedient man als Webmaster alsoviele Personen mit dem Mailservice und belassen diese ihreempfangenen Anhänge auf demIMAP-Server, kann es schnellsehr eng werden. Besser ist esalso, wenn die Mail-Accountseinen fest definierten Rahmenan zusätzlichem Platz spendiertbekommen.

IP-Datentransfer-Beschränkun

gen weichen bei den Webhostern angesichts extrem günstigerTraffic-Einkaufspreise mehr undmehr den Flat- beziehungsweiseUnlimited-Angeboten. Bei domainFactory, Goneo und Lycosgilt das bereits für die Angebotean der unteren Preisgrenze.50 bis100 GByte Traffic-Volumen proMonat erscheint uns für eineAmateur-Website ausreichend;falls das Freivolumen einmal gesprengt wird, zahlt man eben für

Bis auf die Pakete von domain

Factory und Host Europe enthalten alle ausgewählten Angebotemindestens eine freie Domain.

Als vollwertige Leistung kanndas Domain-Hosting erst gesehen werden, wenn es dem Kunden Flexibilität garantiert. Möchte dieser zum Beispiel die unterder Domain laufenden Mailservices nicht mehr vom Hoster, sondern einem Drittanbieter betrei

ben lassen, muss er Zugriff aufden MX-Record innerhalb der fürdie Domain eingetragenen DNSRecords haben, um dort den nunzuständigen Mailhost eintragenzu können. Erfreulicherweise gestatten neuerdings fast alle Webhoster diesen Zugriff. Volle Flexibilität erhält der Kunde allerdings erst, wenn er auch den zurDomain gehörigen Nameserver(NS)selbst bestimmen darf, etwaum die Domain vom vorhande

nen eigenen Nameserver auflösen lassen zu können.

Einen Shell-Zugang via SSHbietet in den preisgünstigen Angeboten keiner der Provider. DerZugriff auf den Webspace erfolgtalso grundsätzlich via FTP.Sinnvoll ist es, wenn jeder FTP-Zugang vom Webmaster auf einbestimmtes Verzeichniss plusUnterverzeichnisse beschränkt

werden kann. Zugänge mitunterschiedlichen Log-ln-Datenkönnen den Webmaster von ad

ministrativen Aufgaben befreien,sofern mehrere Personen unter

schiedliche Projekte auf der Sitehosten, die beispielsweise mitverschiedenen Subdomains erreichbar sind. Aber auch, um jemandem temporär Zugriff aufeinen beschränkten Verzeichnis

bereich zu geben, bietet sich einseparater FTP-Account an.

Um vor Lauschangriffen geschützt zu sein, sollten FTP,WebFrontend und E-Mail grundsätz-

Mehr Flexibilität

gedruckten. Der Betrieb der Listekann schnell zur Kostenfalle wer

den, denn ist das geringe Freivolumen im laufenden Monat ver

braucht, langt domainFactoryrichtig hin und berechnet 3 Europro 100 MByte nach.

1&1 lässt seinen Kunden dieWahl zwischen Virenschutzund Virenschutz. Warum jenerfür zusätzliche 1,99 Euro diebessere Wahl sein soll, bleibtim Dunkeln.

~2

]@-

diesen Monat etwas mehr für denBetrieb der Webseiten. Zu beach

ten ist allerdings, dass in allerRegel auch der anfallende MailTraffic in die Kalkulation einbezo

gen werden muss.Bekommt man wie bei 1blu,

AII-Inkl, oder Hetzner weniger als50 GByte Freivolumen, muss mandarauf achten, nicht allzu vieleBesucher auf die Site zu locken.

Hetzner und 1blu bieten gerademal 20 GByte Traffic inklusive an.Geht man in einer Beispielrechnung niedrig kalkuliert davonaus, dass jeder Site-Visit durchschnittlich 500 KByte Transferverursacht, käme man folglichauf kostenfreie 40 000 Visits proMonat. Heruntergebrochen bedeutet das gerade mal einenWebsite-Besuch pro Minute. Undbei mehr Besuchen kann es

schnell teuer werden, jedes weitere GByte kostet bei Hetznerimmerhin einen Euro. Dies ist bereits der kurz nach unserer Anfra

ge gesenkte Preis,zuvor verlangte Hetzner fast das Dreifache.

Der Neukunde sollte sichaußerdem darüber informieren,ob neben dem Website-Datenverkehr auch sämtlicher andererTraffic, etwa der MailpostfachAbruf, im Freivolumen enthaltenist. domainFactory etwa bietetzwar eine Traffic-Flatrate, schließthier aber Datenaufkommen, dasdurch eine eingerichtete MailingListe verursacht wird, aus. Hiersind gerade mal 25 MByte proMonat frei, erfährt man im Klein-

~

aeslellenOZ\lSaIZIiCheIVtrt'nschut:

Premlum-VIIenSChut:, :w Tage kostenlos·, danach 1,99 eUR pro

"onatundproE-~II-Pos1fach

·Ef1JO.'8ge.T~k.!irnl'Uen!\IIIIproTo.roe~"'ArI$pfVCh~_tIen Atldefzwett.ne.mtl.rlgWrd~Alf!kelmlll~ff~TagGelßere-t~"'RKtnng~~

•••. 1""' •.•• "!I!i

E·W~I~Adlesse· Irl'llCMe~

OAnb-SP.AUaMMeren

[)::anoel\f'n(jt' E·Mal!svor$ol'be1en (nur ftJf II1iAP-POStfacher)

VelW(>tldungsatt 'E-Moll-Posttoch ~

Passwort· I (mlnd 1ZeKh""')

Puswort .•••·u!Qert'lolen· I (miM ll.etthenJ

VlrE'nSchuttOVil'enstl'lu::aktMl'len

1 &1 AAII-SPAM ElngeheMe Spam-E.M.iIl!S wtlcen e,reld In der'! Qrdner'Spamover'$.chobt'n auf cen Sie mit Ihrem Webm:;I1'~Oder e1nf'm

LItIAP.fahlg~ E·Mall Programm :Uore~n !<onnen rn

Werterlelklnganlegen? ~

Z~ZIIdW ..-an:&dU:z

legen Sie ft>sl. Wie Sie Ihre e-1II •. d-Adre$se Vl!'rWef'lCen mochten, PQP)..II!AAP·Pos.ltach,

e·Ma,I-WI!IIerle'tuno. F b- OCl~ SMg.w'!IIer!e,tu"O"'.

....

Neue E..Mall-Adresse erstellen

i ••••-I

'WIernod'llenSMckE-MIoI-Adresse~?ec.flIM'JenSoebslU)V~~saten""'heE~·MoMS~ t!I:tL-

~-~~~~_.._.__ .__._ ..

Setwr_VenAllWIg-,.•.•K~ion-'-""1&1VftrIle-Cef1lM

Rund um dieMnV81r •••

Sott •••. ~P.aI.welem

oe.f~~eNIHerI

'elVO/M"""",.tIb_nlOn

Ffftil;!

~HalJhi».F.-.J.j(<<tMt

Preisspanne

Die Preisspanne für WebauftrittAngebote mit ähnlicher Leistungist groß. Goneo hatte mit demStart-Paket für außergewöhnlichgünstige 1,25 Euro pro Monat einAngebot im Programm, was bereits unseren Anforderungen entsprach. Bei keinem der Webhoster mussten wir mehr als 10 Euromonatlich einkalkulieren, umWebspace mit Domain, PHP undMail-Service zu erhalten. T-Homeist bei Weitem am teuersten, dassich im gebotenen nominellenFunktionsumfang allerdings inkeiner Weise widerspiegelt.

Wer auf bestimmte Features

wert legt, sollte vor Vertragsabschluss klären, ob diese enthaltensind oder Zusatzkosten verursachen. Zum Beispiel AII-Inkl: Das"Privat"-Paket ist zwar mit 4,95Euro recht günstig, enthält aberteilweise nicht einmal Basisfunktionen. So verlangt der Providerfür die Spammail-Filterung 1,95Euro extra pro Monat, für die Nutzung des SSL-Proxysknapp einenEuro.Alles inklusive ist bei AII-Inklalso beileibe nicht. Der Nutzerfährt hier wohl auf Dauer meist

günstiger, wenn er gleich zum"Privat-plus"-Paket greift, das monatlich drei Euro mehr kostet.

Einen vergleichsweise gehobenen Preis veranschlagen dieMarktführer 1&1 und Strato. Klar,es gibt dafür das eine oder andere Gimmick mehr, aber ob es fürden Kunden nützlich ist, scheintmitunter fraglich. So bekommtman etwa bei beiden Hostern füreine Versand kosten pauschalevon rund sieben Euro ein großesSoftwarepaket nach Hause geschickt.

Tatsächlich enthalten die Pa

kete Programme, für die man imLaden viel Geld bezahlen würde.

Doch benötigt ein Neu-Webmaster tatsächlich sofort einen Profi

Webeditor vom Schlage einesAdobe GoLive 9, wie ihn Stratozum Paket zwangsbundelt? ImZweifelsfall sollte er da das von1&1 gelieferte Macromedia (ontribute 3 vorziehen, weil es fürHomepage-Novizen die bedienerfreundlichere Variante darstellt. Und ob er eine veraltete

Version des Bildbearbeitungsprogramms Photoshop Elementsbenötigt, darf ebenso bezweifeltwerden. Als Argument bei der

schaut, ob es bei den Hostern inder engeren Auswahl geradeSchnäppchen im Angebot gibt.

124 c't 2008, Heft 15

-------------~--..::!!=--~_1Report I Hosting: Angebote

Bedienung bitteJeder Hoster stellt den Kunden

im Web ein Menü zur Verfügung,mit dem sie Einstellungen anihrem Paket vornehmen können.

Vorbildlich: Gibt es

Probleme mit PHP-Skripten,darf der Kunde bei HostEurope im Menü wichtigePHP-Umgebungsparameterindividuell anpassen.

nahme war 1blu: Unserem Skriptwurde reproduzierbar nach 20bis 25 Sekunden das Lebenslicht

ausgeblasen. Dies ist für komplexere Anwendungen eindeutig zu wenig. Man denke an eineaus vielen Einzelelementen dynamisch gebaute Website.Hängt dahinter noch eine lahmeDatenbank, kann der Aufbauschon einmal länger als einehalbe Minute dauern. Bei unserem 1blu-Paket hätte der Besucher statt der Seite eine kryptische Fehlermeldung zu sehenbekommen.

Erst in Verbindung mit einerDatenbank wird PHPzur vollwertigen Umgebung für dynamischeInhalte. Bis auf domainFactoryzeigen sich alle Hoster in der Auswahl auf aktuellem Stand und

bieten mindestens eine MySQLDatanbank in Version 5 an. Der

Provider aus Ismaning lässt lediglich die Wahl zwischen den beiden veralteten Versionen 3 und 4.

Die Entwickler von MySQL selbstempfehlen aber seit geraumerZeit, auf Version 5.0 oder 5.1 umzusteigen, sie haben die Weiterentwicklung der alten Versionenlängst eingestellt. Fans der Alternative PostgreSQLdürfte es freuen, dass wenigstens Hetzner alseinziger Provider in der Auswahldie Wahl zwischen MySQL undPostgreSQLlässt.

Ungern informieren die Hosteroffenbar darüber, dass der Platzin der Datenbank keineswegsunbeschränkt ist. In aller Regelwird die Datenbank zum ver

brauchten Webspace gerechnet.Je stärker sie folglich anwächst,desto weniger Platz bleibt in imWebspace-Verzeichnis für dieWebsite. Lediglich 1&1 verfährtanders und gewährt genau 100MByte zusätzlich zum Webspacefür die MySQL-Datenbank. Das istnicht gerade üppig bemessen.Von dem Vorhaben, ein Bilderoder Video-Blog einzurichten,sollte man hier eher absehen.

.-~.-

PHPhilft wenig, wenn die Serverumgebung dermaßen beschnitten ist, dass komplexe Anwendungen regelmäßig an dieGrenzen stoßen und abbrechen

(genauer siehe Seite 130). Idealerweise wählt der Webhoster einedefensive Voreinstellung, mit derer andere Kunden und den Webserver schützt, gestattet aberNachjustierungen an der Umgebung durch den Kunden. Vorbildlich haben dies Hetzner und

Host Europe gelöst: In einemUntermenü darf der Kunde - mit

Hilfetexten geleitet - seine PHPKonfiguration in wichtigen Punkten selbst ändern.

Wichtig für den Kunden ist eszu wissen, wieviel Laufzeit seineSkripte mindestens eingeräumtbekommen, bevor der Server sieabbricht, um des System zuschützen. Außerdem benötigenbestimmte Skripte, beispielsweise beim (ontent Management System Typ03, zugesicherten Hauptspeicher für die Ausführung. Genau diese wichtigenAngaben lassen aber viele Provider vermissen. Nur vier Hoster

gaben uns verbindliche Angaben zu beiden Parametern,Goneo wenigstens zur Laufzeit.

Um dennoch einen Anhaltswert zu bekommen, luden wirein Testskript auf die Server, dasdie Zeit bis zum Abbruch misst.Und siehe da: Meist liefen die

Skripte sogar länger als vomHoster zugesichert, auf jedenFall aber mindestens akzeptable60 Sekunden. Die einzige Aus-

I.-AWm..1!W.t!>..-JIldtm..•.•....JIldtm

S"rv,,,t.nd.rd ~ !IlIt1mc:oMmlphp$ p~ php' php • t!tSI..tm

C9iplp,lhrto ~~

::::=~'.:~~d'x.lhtmlll'\d•.l:.Dnp ~ ~

.~..-~ V."""."'~.n~.nlnt>."

",.

.• W.b6"WlI!fldtUlll&n

.• ~An,j.•rd.'.M.il.Allr••"u'''rlfIot.Plft",t ••lluluu,n

• AIIo&mai!w1lIWIWl~.dtUfl6I'1ttH1 fI•W!i.u

o PHPSuhOlln APG M." V.,.

OPHP$·ht.nfionf.in.tell.n

°CGI·l!mntionf'lnftelle"

o DirtctOl'1tnd''''ln.ttll.''

Eln.tellung Ist.tul.PHP·!fTOrf Im~"r.usQ'tb.n.PHP·RtOi,tel"Globll, S'l"Ym~ndard

• PHP·M.qtC-QloIOtu·GPC hrv ••••u.nderd

• PMP·Z.nd·ZU·Komp~bit.ut hrvmt.rId.,d0, PMP'A'oil~'LOno·Arn,. S••••••• rfUlr'ld.rd

o PH'.S,Ulon'Un·Tr,ns.SIO hrv.rtt.nd.rd• PI1P·AIIoooI·C••••T_·Jlu.·A.t.,..nu Se"",,"u,nd..-d

• P"P·M,$QL·$.~·I00~ s.rv •••.•t.tl'ld.rd

• 'HP Suho$lt'I S •• SOOft !l\C'r'fobon S.rY •••.•~ndard

• PHP Suho'ln ~. Prote~on

Admlnl\lratJon> webhostlng > 1109535> Skripte > Skript-Einstellungen

logout

-ProGl,lkt.

-I(ynd,nko/'lto

....•forum

....•"1~eme"'.1

Skriptsprachen

Bei unserer Auswahl gingen wirdavon aus, dass der Neukundenicht nur statisches HTML in sei

nen Webspace packt, sondernauch zeitgemäße Anwendungenwie (ontent Management Systeme, Blogs, Foren oder Wikis präsentieren will. Egal, ob er nuneine 1-Klick-lnstallation des Hosters wählt (siehe Seite 134) oderselbst Hand anlegt: Um dieSkriptsprache PHP wird er kaumherumkommen. Perl hat in diesem Bereich stark an Bedeutungverloren, dennoch ist es wünschenswert, dass (GI auf demServer zur Verfügung steht.Immerhin verzichten mit 1&1,Goneo, Hetzner und Lycos fastdie Hälfte der Hoster darauf.Denkbar ist, dass sie darin eineMöglichkeit sehen, ihre Servervor wild laufenden Perl-Skriptenzu schützen.

Innovative Webentwickler werden bedauern, dass die stark aufkommenden Alternativen Pythonund Ruby bisher wenig Unterstützung von den Hostern erfahren. Besonders in den unterenPreisklassen sind diese Skriptsprachen kaum anzutreffen. Vonden zehn Webhostern in unsererAuswahl bietet lediglich HostEurope in seinem WebPack M dieMöglichkeit, Python- und RubySkripte vom Webserver ausführen zu lassen.

liert der Hoster im Kundenmenükein Wort.

Zu einem Webspace-Paket gehört grundsätzlich auch ein andie Domain gekoppelter Mailservice. Mindestens SO, besser 100eigene Postfächer sollte der Hoster schon gewähren, damit mandie Familie, den kleinen Betrieboder den Sportverein mit Adressen und eigenen Accounts versorgen kann. Damit das Postfachnicht bereits nach dem Empfangvon ein paar Bildern und MP3süberläuft, benötigt es genügendKapazität. Ein hartes Limit von lediglich 25 MByte, wie es Host Europe vorgibt, erscheint da eherals schlechter Witz. Sogar die 1beziehungsweise 2 GByte großenPostfächer von Strato und 1&1können schnell voll sein, dannnämlich, wenn der Nutzer seineMails nicht herunterlädt, sondernmittels IMAP auf dem Server ver

waltet. Apropos: Erfreulicherweise lassen sich die Mails bei

allen geprüften Hostern sowohlvia Web-Frontend als auch perPOP3und IMAPabrufen.

Dass AII-Inkl, wie bereits kurzerwähnt, als einziger für dieSpam-Filterung dem Kunden zusätzlich in die Geldbörse greift,scheint kaum akzeptabel. Angesichts der täglich einprasselndenSpam-Massen gehört ein vernünftiger Müllfilter zum Basisdienst für den Nutzer. Ein zusätzlicher Virenschutz bietet ein Plusan Sicherheit, erscheint uns aberverzichtbar, sofern die Mail-Nutzer umsichtig agieren. 1&1 lässtbei der Einrichtung eines MailPostfachs die Wahl, ob der Account mit einem "Virenschutz"oder einem "zusätzlichen Virenschutz" versehen werden soll.Letzterer muss wohl viel besser

sein, schlägt er doch mit 1,99Euro monatlich zu Buche. Wirkönnen da aber nur spekulieren,denn zu den Unterschieden zwischen den beiden Varianten ver-

Nachrichtenwert

lich sicher verschlüsselt nutzbar

sein. Bei einigen Anbietern ist esnicht einmal drin, den Zugriff aufdie Webpräsenz für die Besucherzu verschlüsseln. Wenigstensein Proxy, der SSL über eineZwischenstation ermöglicht, sollte Pflicht sein. Die Provider behandeln das Thema Verschlüsse

lung und Datensicherheit fastdurch die Bank aber recht stiefmütterlich. Diesem Thema widmen wir uns daher ausführlich in

eigenem eigenen Artikel abSeite 130.

c't 2008, Heft 15 125


Webhosting-:-Rakete.<,

v' v'-v'v'v'

v' (11 Euro)- (100 €/Technikerstunde)

k. A.

99%99%99,90 %99,80%

k.A.

k.A.k.A.90 sec.60 sec.

k.A.

k. A.k. A.13 MBytek. A.

14 Ctlmin

OrtstarifOrtstarifkostenfrei14 Ctlmin~ o.i- -- -1 Monat keine1 Monat2 Monate

12 Monate

1 Monat6 Monate12 Monate

2,90€

4,95€6,95€1,25€

16,90€

,-,14,95€>4,95€4,95€

!Iaut Herstellerangabe

100 500unbegrenzt100

v'/v'/v'

v'/v'/v'v'/v'/v'v'/v'/v'

5 GByte gesamt

Teil des Webspace5 GByte gesamt2 GByte gesamt

v'

Iv' v'v'v'

v'v'v'v'

- (1,95 €/Monat)v'v'v'

v' (separate Traffic-Berechnung)-

v'

v'v'4,5

4,54,54,5---

---

2 My5QL 4, 55 MySQL 4, 51 My5Ql3.41 My5Ql5

Teil des Webspace

Teil des WebspaceTeil des WebspaceTeil des Webspace

v'v'v'v'

v'- (0,95 €/Monat)

Goneo

Homepage Start

www.goneo.de

01805/911522

domainFactory

MyHome Dynamic

www.domainfactory.de

08 00/3 23 98 00

AIHnkl

AII-Inel Privat

www.all-inkLde

035872/3 53 10

1blu

Homepage Power

www.lblu.de

030/20181000

4,5

v'

Photoshop Elements 5.0,

Ulead GIF-Animator 5,

Macromedia Contribute 3,

Hello Engines! Standard 6

1 GByte

2

100

100 GByte

- (aber Auto-Paket-Upgrade)

2

v'v'

- (4,99 €/Monat)

v'

1&1

Homepage Perfect

www.lund1.de

0180/5001535

1 MySQl4, 5

100 MByte

v'

200

v'/v'/v'

2 GByte/Account,

25 GByte gesamt

v'v'v'v'

Kommunikation

Anzahl E-Mail-Konten

POP/IMAP/Webmail

Mailspace

Anbieter

Produkt

Webadresse

Telefon

Grundausstattung

Webspace

Enthaltene Domains

Subdomains

maximaler Transfer pro Monat

Kosten fiir Überschreitung des

Transferlimits

Anzahl FTP-Zugänge

FTP-Nutzer-Verzeichnisse

SSL -Proxy

SSl-Zertifikat inkL

DNS-Record-Zugriff

Nameserver änderbar

Verzeichnisschutz (htaccess)

Software inklusive u. a.

Mail-Weiterleitung

Catchall-Funktion

Provider- Spam-Filterung

Mailinglistenverwaltung

Entwickerfunktionen

Perl

PHP (Version)

Python (Version)

Ruby (Version)

Datenbanken (Versionen)

max. Größe pro Datenbank

Server Side Ineludes

Frontpage Extensions

Cronjobs

SSH-Shell

Videostreaming

Service

Tägliches Backup!

Kundenzugriff auf Backup!

garantierte Verfiigbarkeit1

zugesicherte Skript-Laufzeit'

zugesicherter RAM-Speicher pro Skript'

Kosten Telefonsupport

Vertrag

Kündigungsfrist

Mindestvertragslaufzeit

monatliche Gebühren

Setup-Gebühr (einmalig)

v' vorhanden - nicht vorhanden

I!I

Meist ist es unterteilt in Domain-,E-Mail und Entwicklerfunktionen. Hier findet sich, wenn vorhanden, auch ein Web-FTPClient, mit dem sich mal ebenschnell eine Datei hochladenlässt.

Als Faustregel unter UsabilityExperten gilt: Je umfangreicherdie Funktionspalette, destomehr leidet die Übersicht. Dassdies nicht zwangsweise so seinmuss, beweisen Host Europe,

Goneo und Strato: Die Webmaster-Kommandozentralen dieserProvider sind logisch strukturiertund wirken aufgeräumt. Bei 1&1stört lediglich, dass hin und wieder Funktionen angeboten werden, die sich nach dem Klick darauf lediglich als Upgrade-Angebote entpuppen. Das Frontendvon domainFactory bietet jedeMenge Informationen und Einstell möglichkeiten, darunter leidet aber stark die Orientierung.

Bisweilen fanden wir Untermenüs nicht mehr wieder oder

landeten plötzlich an ganz unpassender Stelle.

Einfach gestrickt, aber übersichtlich präsentieren sich dieKundenmenüs von AII-Inkl, Hetzner, Lycos und 1blu. Beim WebFrontend von 1blu vermisstenwir allerdings erklärende Hilfestellungen. Wenn etwa einKunde, der sich erst einmal umsieht, zur Einstellung des Name-

servers gelangt, wird ihn sicherlich interessieren, welche Vorteileihm daraus erwachsen. Er solltesich tunlichst an die Warnunghalten, die 1blu wenigstens angebracht hat: "Bitte behalten Siein Zweifelsfällen die GrundeinsteIlungen beL"

Service

Um den Kunden Datensicherheit zu gewähren, sollten die

126 c't 2008, Heft 15


2 GByte 500 MByte1,5 GByte500 MByte1 GByte

1

- (ab 0,50 €/Monat)133

300

100unbegrenzt4020

20 GByte

50 GByte100 GByte50 GByte100 GByte

0,99 €/GByte

0,19 €/GByte3,99 €/GByte- (Upgrade-Vorschlag0,51 Ct.!GByte

von Support)6

10101

vv'v'v'

v' - (ab 99 €/Jahr)

- (150 €/Jahr)

vv'v'v'

V

-v'

V

-v'v'v'

Adobe GoUve 9, Adobe Photoshop Elements 6,Steganoslntemet Security 2008,0&0 Disklmage

v'

v

v'v'v'

vv'v'v'

99,90 %

99,90%96%99%

k.A.

30 sec.30 sec.120 sec.

k.A.

32 MByte16 MByte32 MByte

Ortstarif

kostenfrei14Ct.!min14Ct.!min

1 Monat

1 Monat1 Monat1 Monat

1 Monat

12 Monate12 Monate24 Monate

4,99€

2,99€6,95€3,99€

9,90€

14,99€,9,90€14,90€

Webhoster am besten täglichein Backup von Webspace, Datenbanken und E-Mail-Accountsfertigen. Tatsächlich behauptetjeder Hoster, dies auch zutun. Dass im Ernstfall ein Restore nicht immer funktioniert,belegte vor einiger Zeit 1blu [1]:Durch einen Hardwareausfallwaren die Daten von rund1000 Kunden verschwunden.Ein Wiederherstellungsvorgangmisslang, sodass die Kunden auf

aktualisierte Backup-Historie vonWebspace und Datenbanken.Der Kunde kann sich jederzeitbeim Backup-Server einloggenund aus den Snapshots das Passende heraussuchen. Sogar dieWiederherstellung einzelner Dateien, egal ob sie nun vor einerStunde oder vor 30 Tagen gesichert wurden, gelingt so problemlos.

Literatur

[1] Holger Bleich, Julian Höppner,

Eingelagert im Web, Was Providerund ihre Kunden gegen Datenverlust tun, c't 10/08, S. '68 cTI:

Fazit

Der Webhosting-Neukunde erhält bei den deutschen Anbietern eine Menge Leistung fürvergleichsweise kleines Geld.Schon für 1,25 Euro pro Monatlassen sich bei Goneo dynamische Inhalte unterbringen, dieper PHP und angeschlossenerDatenbank von Skripten zusammengebaut werden können.Entwickler, die Wert auf eine flexible Umgebung legen, sind beiHost Europe bestens bedient:Für 2,99 Euro erhalten sie Webspace, der sogar mit den alternativen Skriptsprachen Python undRuby umgehen kann.

Sieht man von der Telekom ab,die es nicht schaffte, uns im Testzeitraum einen funktionierenden

Hosting-Account zur Verfügungzu stellen, verrichteten alle Pakete die zugesicherten Leistungen.Wie der Test auf Seite 130 ergab,schränkt allerdings Lycos dieFähigkeiten der PHP-Schnittstelleso gehörig ein, dass sie in vielenFällen kaum noch zu gebrauchenist. Vorbildlich ganz im Unterschied dazu Hetzner und HostEurope: Hier lassensich möglichePHP-Einschränkungen sogar überdas Kundenmenü individuellaufheben.

Geärgert haben uns die meisten Hoster mit der Unsitte, realePreisangaben und sonstige fürden Kunden unangenehme Vertragsbestandteile im klein undkontrastarm dargestellten Sternchentext zu verstecken. Bisweilen gewannen wir den Eindruck,dass hier der Neukunde sogarbewusst in die Irre geführt werden soll. Nur Hetzner, AII-Inkl undT-Home zeigten sich als zuvorkommende Vertragspartner undwiesen Preise prominent platziert und sternchenlos aus. (hob)

1 Monat

12 Monate

9,99€

14,99€

k.A.

k.A.

k.A.

14Ct.!min

1 MySQl4, 5

Teil des Webspace

v'

4,5

103

v'/v'/v'

5 x 1 GByte,

die anderen 50 MByte

v'v'v'

Service akzeptable 11 Euro,Goneo dagegen stolze 100 Europro Technikerstunde, wobei völlig unklar ist, wie lange ein Techniker von Goneo mit einem Restore-Vorgang beschäftigt seinkönnte.

Eine bessere Backup-Lösungals die von Strato ist am Marktnicht vorhanden: Basierend aufeiner Technik des Storage-Herstellers NetApps fertigt der Hoster vollautomatisch eine ständig

1 MySQL5

Teil des Webspace

v'

v'

4,5

100

v'/v'/v'

1 GByte/Account

4,5

2 MySQL5

Teil des Webspace

v'v'v'

2S0

v'/v'/v'

Teil des Webspace

ihre eigene Datensicherung angewiesen waren.

Ideal ist es, wenn der Hosterseinen Kunden die Möglichkeitgibt, bei individuellem Datenverlust ein Restore selbst anzustoßen. Mit AII-Inkl, Hetzner undLycos versicherten uns immerhindrei Hoster, dass eine Nachfragebeim Support genüge, um kostenlos an die vom Provider gesicherten Archive zu kommen. do

mainFactory verlangt für diesen

v'5

2.5

1.9.0

2 MySQL5

Teil des Webspace

v'

100

v'/v'/v'

3 GByte gesamt,

25 MByte pro Account

v'v'v'

4,5

1 MySQL4, 5 oder Postgre5QL

Teil des Webspace

v'

vvv'

SO

v/v'/v'

2 GByte (Teil des Webspaces)

c't 2008, Heft 15 127

Report I Hosting: Geschäftsbedingungen

RonnyJahn

Unzulässige Klauseln in Geschäftsbedingungenvon Webhostern

Vertrag ist Vertrag

Allgemeine Geschäftsbedingungen von Webhosternsind meist ellenlang, kompliziert formuliert undstrotzen noch dazu vor juristischen Fachbegriffen.Kein Wunder, dass viele Neukunden nie einen Blickhineinwerfen. Sie nicken Texte ungesehen ab, dieoft gespickt sind mit unzulässigen Klauseln undschwammigen Formulierungen, wie unsereStichprobe zeigt.

Ihr besonderes Augenmerk sollten Kunden darauf lenken, ob indem Hosting-Vertrag eine Traffic-Begrenzung vereinbart wird.Die Tarife einiger Anbieter enthalten eine Regelung, wonachder Monatspreis ein bestimmtesDatentransfervolumen ohne Zusatzkosten enthält (siehe TabelleS. 126). Was geschieht nun,wenn die Website einen größeren Zulauf hat als vom Betreibererwartet? Dies wird von den Anbietern unterschiedlich geregelt.

1blu behält sich beispielsweise das Recht vor, den Vertragohne Weiteres zu kündigen,wenn der Inklusiv-Traffic einenMonat lang um zehn Prozentüberschritten wird. In den Ge

schäftsbedingungen räumt sich1&1 hingegen das Recht ein, denKunden auf einen Tarif umzustellen, bei dem ein entsprechendes Datenvolumen enthalten ist. Der Kunde wird über die

sen Vorgang lediglich informiertund soll ab dem Zeitpunkt derUmstellung den Preis für diesenTarif zahlen. Beide Variantensind unzulässig: Die einmaligeÜberschreitung des vertraglichvereinbarten Traffics kann wedereine außerordentliche Kündi-

Vertragspartner die Fortsetzungnicht zugemutet werden kann(siehe Paragraf 314 BürgerlichesGesetzbuch, BGB). Die Anbieterregeln oftmals in den Geschäftsbedingungen, was in ihrenAugen ein "wichtiger Grund" indiesem Sinne ist. Ein solcher - soheißt es bei einigen' Providern soll beispielsweise vorliegen,wenn der Kunde "für zwei aufeinanderfolgende Monate mitder Bezahlung eines nicht unerheblichen Teils des Rechnungsbetrags in Verzug" ist.

Allgemeine Geschäftsbedingungen müssen aber transparentgestaltet sein. Das bedeutet, dassdie Voraussetzungen und Rechtsfolgen einer Klausel so klar undpräzise wie möglich beschriebenwerden müssen und dem Unternehmer kein ungerechtfertigterBeurteilungsspielraum eingeräumt werden darf. Wann ein"nicht unerheblicher Teil desRechnungsbetrags" vorliegt, wäreim Streitfall jedoch von der Einschätzung des Providers abhängig, sodassvon einer transparenten Regelung nicht gesprochenwerden kann. Derlei Klauseln sind

deshalb höchst fragwürdig.

Traffic-Fallen

laufzeit-Fesseln

Die Geschäftsbedingungen fastaller Provider enthalten auch das

Recht zur kurzfristigen, einseitigen Kündigung. Ohne Weiteresist dies nur bei Verträgen möglich, die auf unbestimmte Zeitohne besondere Laufzeit geschlossen wurden. Die meisten

Verträge enthalten aber eineLaufzeitregel, sodass eine ordentliche Kündigung erst nachAblauf dieser Laufzeit erfolgendarf. Hieran muss sich nicht nurder Kunde halten, auch der Anbieter ist an diese Laufzeit gebunden. Dies scheint einigenAnbietern nicht zu gefallen.

So regelt der Webhoster 1&1in den AGB, dass er den Vertragjederzeit mit einer Frist von vierWochen beenden darf. Auch

Lycos behält sich das Recht zurjederzeitigen Kündigung vor, sofern dies "geboten erscheint".Während der Kunde also bei die

sen Angeboten für zwölf Monatean den Vertrag gebunden seinsoll, wird ihm selbst jegliche Planungssicherheit verwehrt. DiesesUngleichgewicht zu Lasten desKunden stellt eine unangemessene Benachteiligung dar undwürde daher mit hoher Wahrscheinlichkeit von Gerichten alsunzulässig bewertet werden.

Das Recht zur außerordentlichen Kündigung vor Ablauf derMindestvertragslaufzeit bestehttatsächlich nur dann, wenn einsogenannter "wichtiger Grund"vorliegt und dem kündigenden

Begrenzung einzufügen. DerBundesgerichtshof hat daher imletzten Jahr entschieden, dassderartige Klauseln unzulässigsind (Az. 111 ZR 63/07). Eine Vertragsänderungsklausel darf demzufolge dem Verwender nichtdie Handhabe geben, das "Vertragsgefüge insgesamt umzugestalten und insbesondere dasÄquivalenzverhältnis von Leistungen und Gegenleistung erheblich zu seinen Gunsten zuverschieben".

Zeitraum an den Vertrag gebunden ist. Vielmehr können auchVertragsänderungen innerhalbdieser Zeit grundsätzlich nur einvernehmlich herbeigeführt werden. Der Anbieter darf also neuePreise oder eine Änderung derLeistung nicht einfach diktieren.Vielmehr müsste er mit den Kun

den eine Änderungsvereinbarungtreffen, ansonsten gilt das bei Beginn des Vertrags Abgemachte.

Die Provider stecken hier ausihrer Sicht in einem Dilemma: Siemöchten die Kunden einerseitslangfristig an sich binden, aufder anderen Seite wollen sie dieVerträge auch flexibel verändernund die Preise erhöhen können.Dieser Problematik entspringenPreisanpassungs- und Leistungsänderungsklauseln, die über dasrechtlich zulässige Maß hinausschießen. Alle derartigen Regelungen, die wir gefunden haben,waren unzulässig.

Häufig lasen wir etwa Klauseln, nach denen eine Vertragsänderung dadurch herbeigeführt werden soll, dass der Provider den Kunden über sein Änderungsvorhaben informiert undihm eine Frist für den Wider

spruch setzt. Versäumt derKunde diese Einspruchsfrist, sollder Vertrag nach den geänderten Bedingungen weiterlaufen.Grundsätzlich ist das zwar eingangbarer Weg, die Klauselnwaren hier jedoch so weit gefasst, dass sie dem Anbieter dasRecht einräumen, sowohl Leistung als auch Gegenleistung inerheblichem Umfang zu ändern.

So wäre es nach diesen Regelungen für den Anbieter möglich, den Preis kurzerhand zuverdoppeln oder eine Traffic-

Preis-leistungs-Bindung

Für die meisten der geprüftenVerträge gilt eine Mindestlaufzeit.Dies hat jedoch nicht nur zurFolge, dass der Kunde für diesen

Bequem und ganz ohne Medien bruch lassen sich mitfast allen Webhostern Ver

träge in Sekunden schnelle online schließen. Der Kunde muss

sich nur mit den AllgemeinenGeschäftsbedingungen (AGB)einverstanden erklären, indem erein kleines Häkchen setzt. Kaumeiner macht sich die Mühe, dieses bindende Vertragsbeiwerkvollständig durchzulesen.

Kein Wunder, sind doch dieGeschäftsbedingungen oft ellenlange Aneinanderreihungen vonKlauseln, die für den juristischenLaien unverständlich bleiben.

Zum Beispiel 1&1:DerWebhosteraus Montabaur quält seine Neukunden mit sage und schreibe 40KByte AGB-Text.Dasentspricht inetwa sechs c't-Seiten ohne Abbildungen. Wie noch zu erörternsein wird, verbirgt sich mancheüberraschende Passagedarin.

Wir haben die AGBjener zehnWebhoster durchgesehen, die wirin die Marktübersicht auf Seite

122 aufgenommen haben. DasErgebnis ist mehr als ernüchternd: Die Geschäftsbedingungen aller zehn Provider enthaltenunzulässige Klauseln. Dabei handelt es sich keineswegs nur umkleine Fehler. Es betrifft auch Re

gelungen von erheblicher Bedeutung, in denen sich die Anbietersehr weitgehende Befugnisseeinräumen und umgekehrt dieInteressen der Kunden unangemessen benachteiligen.

128 c't 2008, Heft 15

Report I Hosting: Geschäftsbedingungen

102

10.:1

10.5

10.4

Fazit

Beim Abschluss von Webhosting-Verträgen gilt für den Neukunden: Drum prüfe, wer sichlange bindet. Das verbraucherfreundliche BGBsieht zum Glückvor, dass Klauseln auch nach Annahme des Angebots unwirksamsein können. Es_gilt: Der Kundehat eine Erwartungshaltung, dieim AGB-Beiwerk nicht unterminiert werden darf. Geschieht diesdennoch, ist die entsprechendeRegelung überraschend unddamit nichtig.

Sieht sich der Kunde in seinenRechten beschnitten, sollte erzuerst eine Einigung im Gutenmit dem Provider anstreben.Zeigt der sich bockig, hilft oft nurnoch der Gang zur Beratungsstelle der örtlichen Verbraucherzentrale oder gar das Konsultieren eines auf Vertragsrecht spezialisierten Rechtsanwalts. (hob)

das Recht, den Vertrag zu stornieren, ohne sich an die Widerrufsfrist halten zu müssen.

Anders sieht es aus, wenn erdie Dienstleistung zwischenzeitlich bereits genutzt hat. Bekommt er im Anschluss an dieBestellung den Serverplatz zurVerfügung gestellt und überträgt erste Website-Daten, istsein Widerrufsrecht erloschen.

Allein die Einrichtung eines Kundenkontos und das Einloggen inden Kundenbereich genügt hierfür jedoch nicht, denn dies sindbloße Vorbereitungshandlungen, bei denen vom Erbringender eigentlichen Dienstleistungnoch nicht die Rede sein kann.

Vielfach wird von den Providern dennoch behauptet, dasWiderrufsrecht sei unabhängigvon der Nutzung durch den Kunden schon deswegen erloschen,weil der Speicherplatz einfachnur zur Verfügung gestellt unddie Wunsch-Domain registriertwurde. Das ist mit den gesetzlichen Regelungen zum Widerrufsrecht kaum zu vereinbaren,wenn die beschriebenen Maßnahmen nicht auf ausdrücklichenWunsch des Kunden erfolgt sind.Nur in diesem Fallführt die Erbringung der Dienstleistung zum vorzeitigen Erlöschen des Widerrufsrechts. Im Rahmen der Bestellungfragt unserer Beobachtung nachkein Provider seine Neukundenüberhaupt nach diesem Wunsch.

Ronny Jahn ist Jurist bei der Verbraucherzentrale Berlin. cl:

-~~e·

kann der Provider grundsätzlichauch die durch die Sperre entstandenen Kosten zurückverlangen. Erdarf hier jedoch keine willkürlich festgesetzte Gebühr fordern, sondern muss sich an denbezifferbaren Kosten orientieren.

Widerrufsrecht

Nicht nur die AGB der überprüften Hosting-Provider enthaltenzahlreiche Fehler, auch mit demWiderrufsrecht nehmen es diemeisten Anbieter nicht allzu

genau. Webhosting-Verträgesind Fernabsatzverträge, sodassder Kunde seine Bestellunggrundsätzlich innerhalb vonzwei Wochen widerrufen kann,sofern er privat agiert und nichtGeschäftskunde ist.

Die Provider sind nicht nurverpflichtet, ihren Neukundendieses Widerrufsrecht zu gewähren, sie müssen vor dem Abschluss des Bestellvorgangs auchdarauf hinweisen. Von den zehnüberprüften Anbietern habendies lediglich drei berücksichtigt.Bei den übrigen Providern erfährt der Kunde im Bestellprozesszum Widerrufsrecht nichts. Wirder auch im Weiteren dazu nichtordnungsgemäß belehrt, hat er

10. Pflichten des Kunden

D!'r Kunde Ist vE!rpfll(hjE'l sem€' InternE't-8erte und· sofem d€'r 1&1 E-ShOP Oegensl3nd des Ver1laIJes Ist - semE'nInternet·Shop SOzu gestalten, d"SS eine Uberma~loe Bel1ls.\ung des Semfs, z B durCh CGI-Skllpte, d,€, ein€'

noheR ••thenlE'lstungerfoldemotleIUberdulch$ChmttllchVleIArbertsspelthelbeanspruchen,velmlt'denWlld 1&1 .,

1SI..b.P,",Pdl!II'II..SPJfPLl...tlli>Ji"OJ'Itu.opnAa!nrtl".tUDS!pn.DII".btoPlP.(.ht_tdPfL)l(Icn.ZI"Ulltduu:b..(jP~J1,.Qdo:>~

10.1

10.6

'"'"

~ __~.~m ~ !:.tvorW< ~~~

•• .,) . ~ ;;.j Q :Erhttp://_.h.r.::l\.rVoI><fIifortXor/Gt~;~soord-07!fllOC(03El868CB8fL·i ~1~:;':;>(4~

DeI Kunde vE!rpfilchlet SICh, \/On 1 &.1zum Z_c~e des lug ••ngs zu deren Dienste elha~ene Passworter $olleng

geh€'lmzu halten und den PfOVlder Ur1Vef21JgIIChZU u'Jlormleren, sob"Jd E'r davon Kenntl'us ellilngl,dilSsunbefugten DnU",n das Passwol'l b~kann1 ISI $ot1l",n rnfOlge VerSChllldE'nS d!'s Kunden Olltte durch MIssbl"lIcheiN Pa'>$WCII'I€'rleistungen von 1& 1 nu\Z€'n, na"et der KUnde gegenub€'1 1&1 1IufNut-ungsentgell undSch ••densersatz Der Kunde WIld daf ••uf hmgewt!'sen, dass es .hm oblii!9I. nacn jE'dem Arbe<!stag-, an dem d€"

Oa1€rnbestilnd durch Ihn t)ZN ,>eme Ertullunos- odel VernChtyngsgehilfenvt'filMertWIJlde, eme Dil1enslchefungdUIChzu1"yh,en,WObeiDalen.dleayfdenServernvon1&I,jIbgeleglsind.nICht"ufdlesensichelungsgt'spelchertwerden durfen. Der Kund€' hai eine vollstilndlge D••tenslchelung InsbE/sondere vor le(j",m BE/grnn von Arb"'llE.>n von

1&1 odervol (jt'r InSlÖllI••l,on von gell@lE.'rteIHard- oder Soltw ••le (jurcl\2ufuhlen Der Kunde teslet.m ubllg ••ngrundhch Jedes Programm 3ur Mangelfreiheit und Yerw ••ndtlarkert In seiner ~onkl ••len Sdua~on, bevor er m<! dE'ropE'ratrven Nutzung des progl ••mms beglnn1 DIes gilt auch rur Prog'amm€', d,€' er Im Rahmen d@IGewahllelslung

ynd der PIle!)€' von 1&1 elhalt Der KuMe Wild ausdruclchch darauf hmgl'Wles!'n, dass ber€'rts g€'rlngl\J!llgeVerand.:>rungen ••n der SOttw31E' dIe LautfahigkE'ct des gesamtt'n Sy$lems Meml1ussen kann

Der Kunde SICMn zu. cass ClI!! 1&1 von Ihm mngNelllen Dalen nthtJg und votlstandlg $Ino. EI vt'rpfllchlet sIch, 1&1

1ewE!lls unverzughch Ober Anderungen der mrtgeleillen Dal'!n zu untemthten und auf entspreChende Anfrage von1&1 binnen 15 Tilgen ab Zugang die a~1Uelle RI(htJQkeit erneut zu beslallgen. Dieses betrl1TlmstHlsonlJerE'• Name und p()$lahsche Anschrrn CIes Kund'!n• N ••me, post ••hsche Anschr.ft, E·M ••r~AdreS$e SOWl€'Tel€'fon- und T€'lef"~'Numm€'r des !€'chrJ'set1er\

AnspreChp ••rtn€,rSfur d,e Doma,n,• Nam€', postaliSChe AnSchnft, E·Miul·Adresse sOWIe Telefon- und Telef.;u-Nummer des admmISIUI,Y1>n

AnsprechpartnersfurdleDomatn$OWle• falls der KuMe eigene Name.Se~r $lellt lU$at!JICh die IP·Mress€'n des pnmaren und s€'kund8ren

Names€'rfflrs emschlleßllCh der Namen d,€'ser Server

('er Kundt' wrpflith\t>t Sith. ohhe ausdl\icl<llcht'S E'rriNstilndnis des jllWelllljen EmpfilOgefs ~erne E·hlails, die

WE'rbung entnallen,:U vE!lsenden Oder ve'sehdE.>n zu lassen DIes gilt msbesondE.>re d3nn, wenn dIe belte1fendenE-h1i1IIS mltjewe,ls olelchem Inh1l11miissenhilftvertHtrtetwerdr/'n (sog 'Spammln91 Verletz! der kunde dievorgenanntePlllth1,sOlsll&1 berethtJg1,denTalJlunver:ugllchzuspenen

Der Kunde hat m seine E-Milil F'ostracher eingehend •• N.achnchlen m r••gelrnaßlgen AbstiInden \/On hochsl ••.ns .•.,elWOChen abzurufen 1$.1 behal! SICh das Rechtvor, Nr den Kunden emoehende 1)l1Isonliche Nachrichten an deon

Absender ZUIUCkzu senc€'n, wenn die m den JeweIligen Tan1en vorgesehenen l<apaZl1atsgrenu-n ubel$chfltten$Ind some der Kunde ubel emen Zenraum von 2 Monaten ijber em E·Mall,Postfach w€'der E·Nall$ wrienden

nOCh E-Nalls von dl€'s€'m h€'runwllad€'n, $0 1$11&1 b€',echITg1, d'€'$€'s E-Mall·PosIf1lChZUel€.al<ll.l1€.r€.n D€'r Kund€'kanndasbelJofl'eneE·hlarl-Kontoellleu1aklMel€'n

tO 1&1 WebtMhrtg Urnere AGa Allgemen~ AGa 1.1.07111<1Firefox ~f8J

E·/IoI"'1 Pos1!'aCh€'r dUr1en ausschlleßbch fur dIe .l'.bwKldung von E-Mail·YelkehrvelW.e.ndetwerden.Eslst

msbesond€'re strikt untelSagl E·Mail Postf"cMI als Spelcherplat: fur "ndeIe Dateien und O"len;:u nutzen

den auf seiner Website gegengeltendes Recht verstoßen wird.Die Provider wollen damit verhin

dern, wegen möglicher Rechtsverletzungen der Kunden selbstin Anspruch genommen zu werden. Tatsächlich ist ein HostingProvider verpflichtet, rechtswidrige Inhalte zu sperren, sobald erKenntnis davon erlangt. Dahersind entsprechende Klauselnnicht zu beanstanden.

Problematisch wird es jedoch,wenn der Anbieter als Grund zurSperrung lediglich einen "Verstoßgegen die guten Sitten" nennt.AII-Incl will für solch einen "Verstoß" sogar eine Vertragsstrafevon 5000 Euro fordern. Nach denGeschäftsbedingungen von Lycosgenügt als Sperrgrund bereits,dass Inhalte "unangebracht" sind.Was ein "unangebrachter" Inhaltsein soll, bleibt im Dunkeln. Derartige Klauseln sind natürlich unzulässig. Die Anbieter dürfen dieSperrung nicht an irgendwelcheschwammigen Voraussetzungenknüpfen, bei denen es letztlichvon ihrem Gutdünken abhängt,ob eine Seite gesperrt werdenkann oder nicht.

Sofern eine Sperrung jedochberechtigt ist und der Kunde denSperrgrund zu verantworten hat,

Die AGB von 1&1 sind 40 KByte lang.-Nur ein Bruchteil derNeukunden dürfte die Geduld haben, sie zu studieren, dabeiverbirgt sich so manche Überraschung im Klausel-Kauderwelsch.

gung noch eine dauerhafte Vertragsänderung rechtfertigen.

Unzulässige DruckmittelEinweiterer Bereich,den Providerin den AGBoftmals unzulässig regeln, ist die Service-Verfügbarkeit.In den entsprechenden Klauselnheißt es meist, dass die Verfügbarkeit der Dienste nur insoweitgarantiert sei, als dies nach dentechnischen Voraussetzungenmöglich ist und kein Fall der "höheren Gewalt" vorliegt. Die Leistungserbringung soll auch dannnoch vertragsgemäß sein, wennes aufgrund von Umständenaußerhalb des Einflussbereichsdes Anbieters zu Beeinträchti

gungen der Dienste kommt.Im Zweifel würde dies also be

deuten, dass der Kunde seinenMonatsbeitrag auch dann zahlenmuss,wenn seine Seite nicht erreichbar ist und er keine E-Mailsempfangen kann. Eine solcheRegelung ist unzulässig. Zwarkann der Provider Schadensersatzansprüche des Kunden mitdem Hinweis auf ein fehlendesVerschulden zurückweisen. Erhat aber keinen Anspruch aufBezahlung, wenn die Vertragsleistungen nicht erbracht werden. Der Kunde kann die Gebühren vielmehr anteilig mindernoder sogar komplett verweigern,wenn der Ausfall länger, etwamehrere Tage, anhält.

Kommt der Kunde seinen

Pflichten in unberechtigter Weisenicht nach, hat der Provider einprobates Druckmittel: Er kannseineLeistung verweigern, indemer beispielsweise die Websitesperrt. Davon machen die Anbieter insbesondere dann regen Gebrauch, wenn der Kunde seineGebühren nicht zahlt. Die Geschäftsbedingungen der Anbieter enthalten oftmals Klauseln,die eine Sperre unabhängigdavon erlauben, wie viel derKunde dem Anbieter schuldet. Es

heißt dann sinngemäß schlicht:"Gerät der Kunde in Zahlungsverzug, kann der Anbieter sperren." Ein ausreichender Sperrgrund liegt aber nicht vor, wennder Kunde lediglich mit einemgeringfügigen Betrag, also etwaeiner Monatsmiete, im Verzug ist.In einem solchen Fall wäre dieSperrung unverhältnismäßig unddamit unzulässig.

Die Anbieter behalten sich

nicht nur bei Zahlungsverzug dasRecht zur Sperre vor, sondernauch für den Fall, dass vom Kun-

c't 2008, Heft 15 129

Report I Hosting: Sicherheit

I".,. ~ ...••• k,.._I~/. 't~ t

IO

Christiane Rütten

Webhosting-Pakete im Sicherheits-Check

Wir haben uns die günstigen Hosting-Angebote des ersten Artikels auch ausder Security-Perspektive näher angeschaut. Wie viel Sicherheit kann man erwarten?Ist sie für die Hoster selbstverständlich oder muss man sie sich erkaufen?

Schlüsselkompetenzeinem kurzen Blick in die Dokudes Providers mit der am prominentesten beschriebenen Upload-Methode auf den Server,und los geht es. Kaum jemanddürfte Zeit und Lust haben, sichlange mit den Eigenheiten desgemieteten Webspace auseinanderzusetzen. Wenn die Applikation läuft, ist das Ziel in derRegel erreicht.

Ein weiterer untersuchter Aspekt ist die Aktualität undGrundsicherung der Server-Systeme. Wichtige Indikatoren sinddas Alter von Kernel und PHPInstallation sowie die Voreinstellung der sicherheitsrelevantenPHP-Optionen. Tragen Kerneloder PHP-Umgebung ein Kompilierungsdatum, das ein halbesJahr oder länger zurückliegt,lässt dies auf Nachlässigkeit beiUpdates schließen. Die Wahrscheinlichkeit ist bei solchen Servern hoch, dass unerkannte Sicherheitslücken sowohl die Systeme als auch die darauf laufenden Anwendungen gefährden.

Ein großer Teil der Schwachstellen in PHP-Anwendungenlässt sich nur ausnutzen, wennder Server mit der PHP-Einstellung register_globals=onläuft. ImTestfeld stellten sie nur Host Europe und Strato auf das sicherereoff, was auf den Servern beischlecht programmierten Webanwendungen zu Problemenführen kann. Auf Nachfrage bestätigten uns beide Anbieter,

lässlich, wenn man nicht ausschließlich Sicherheitsexpertenzum Kundenkreis zählen darf.

Das Thema Verschlüsselungführt aber in fast jeder gesichteten Online-Dokumentation einNischendasein: Bestenfalls wirdes als separater Punkt abgehandelt, meist aber nur als eher belanglose Randnotiz, die manschon gezielt suchen muss. Beider Hälfte der untersuchten Hoster findet sie sogar überhauptkeine nennenswerte Erwähnung, und nirgends wird sie ausdrücklich empfohlen.

Von Anfang an gutNeben der Dokumentation der

Sicherheits-Features gilt besonderes Augenmerk den DefaultEinstellungen. Die meisten Kunden wollen einfach nur ihre Webanwendung laufen lassen, sei esein Blog, Forum oder Webshop.Die schubsen sie bestenfalls nach

schlüsselten Form, die gegensolche Angriffe gefeit ist: HTTPSfür den Webserver, IMAPS,POP3S und SMTPS für E-Mailsowie FTPS (FTP mit SSL) undSFTP(FTP über SSH)für die Dateiübertragung.

Allerdings verursacht Verschlüsselung durch die erhöhteProzessorlast einem Webhosterzusätzliche Kosten - Geld, dasdie Anbieter lieber einsparen,wenn die Kunden keine Verschlüsselung fordern. Das Testfeld ist daher alles andere als homogen. Dabei ist es keinesfallsso, dass bei den Premiumangeboten alles und bei den Billigangeboten nichts verschlüsselt ist.Allein der Vergleich der LowEnd-Angebote unter den Hostern förderte höchst unter

schiedliche Ergebnisse zutage.Eine gute, klare Dokumenta

tion, die die Kunden notfalls andie Hand nimmt und die Sicherheitskonzepte erläutert, ist uner-

Wer Anmeldedaten fürKundenmenü, Webanwendung oder seine E

Mails unverschlüsselt durchs Netzschickt, handelt sich leicht Unannehmlichkeiten oder gar Ärgerein. Und längst nicht immer gehtman über das vertrauenswürdigeNetzwerk daheim ins Internet:Blogging und Web-Shopping ausdem Frühstückscafe oder derE-Mail-Check am Bahnhof gehören für viele bereits zum Alltag.

Doch öffentliche WLAN-Hotspots arbeiten unverschlüsselt jeder in der näheren Umgebungkann die Funkdaten mitschneiden. Ähnlich problematisch istdie Situation in kabelgebundenen Universitäts- oder Firmennetzen, in denen es oft nicht absehbar ist, wer alles in demselben Netzwerksegment mitlauscht oder per ARP- oderDNS-Poisoning Unfug treibt.

Alle wichtigen Netzwerkprotokolle gibt es auch in einer ver-

130 c't 2008, Heft 15

dass es zu Beginn der Umstellung zu einem leicht erhöhtenSupport-Aufkommen gekommen sei. Andererseits berichteten aber auch beide übereinstimmend, dass die sicherereEinstellung inzwischen keinennennenswerten Zusatzaufwandmehr verursache.

BriefgeheimnisZu den Diensten der Hoster zähltaber nicht nur das Bereitstellenvon Servern für PHP-Anwendun

gen. Insbesondere gehören zujedem Angebot auch E-MailKonten, und in dem Bereichzählt Verschlüsselung per IMAPS,POP3S und SMTPS heutzutagezu den wichtigsten SicherheitsFeatures. Da die zuständigenServer zur Infrastruktur der Hoster zählen, sollten sie mit ordentlichen SSL-Zertifikaten eines ver

trauenswürdigen Herausgebersausgestattet sein. Nur mit denenist sichergestellt, dass man sichmit dem richtigen Server verbindet und Passwörter und Daten

nicht in falsche Hände gelangen.Wir sind jedoch bei einigen

Anbietern über selbstsignierteWegwerfzertifikate und sogarzum Servernamen unpassendeZertifikate gestolpert. Selbstsignierte Zertifikate sind wenigstensfür den Privatgebrauch noch hinnehmbar. Die meisten Mailer bieten die Wahl, das Zertifikat dauerhaft zu speichern, und sindfortan still, solange sich das Server-Zertifikat nicht ändert. Doch

unpassende Zertifikate sorgendurch wiederholte Fehlermel

dungen nur für Verwirrung undunnötige Unsicherheit. Solcheunprofessionellen Administrationsfehler haben in diesem Be

reich eigentlich nichts verloren.Auch bei der HTTPS-Verschlüs

selung der Webserver gilt es,zwei Einsatzfälle zu unterschei

den. Für private Anwendungenund kleine Anwendergruppengenügt eine Billigverschlüsselung mit einem selbstsigniertenZertifikat oder auch ein SSL

Proxy, der verschlüsselte HTTPSVerbindungen annimmt und perHTTP an den zuständigen Webserver weiterleitet. Beides würdeden Hostern kaum Aufwand undKosten verursachen, ist aberselbst bei den Premiumangeboten keinesfalls Standard. Wer hin

gegen kommerziell arbeitet,_benötigt für eine vertrauenswürdige Verschlüsselung in der Regelein ordentliches Zertifikat eines

c't 2008, Heft 15

anerkannten Herausgebers. Dochdas kostet Geld, und zwar je nachAnbieter bis zu mehrere HundertEuro im Jahr.

1&1

Aus Sicherheitssicht stellt 1&1 ein

ausgewogenes Angebot bereit.Insgesamt zählt die Online-Dokumentation des Anbieters zu denbesten im Test; auch in den meisten Sicherheitspunkten ist sie vorbildlich. SSL-Zertifikaten und der

Konfiguration verschlüsselter

SSL und TLS?

Secure Socket Layer (SSL)undTransport Layer Security (TLS)sind Protokolle, die der Authentifizierung und Verschlüsselung von Internetverbindungen dienen. Treten etwa ein EMail-Programm und ein Mailserver ordentlich per SSLoderTLS in Kontakt, ist es nichtmehr möglich, die Verbindungpassiv zu belauschen oderaktiv durch Einklinken in den

Datenstrom zu manipulieren.Außerdem können sich die

Verbindungspartner mit denverwendeten Zertifikaten authentifizieren, also einen Identitätsbeweis liefern. In der

Regel überprüft nur das ClientProgramm anhand des Server-Zertifikates, dass es wirklichmit dem angeforderten Serverspricht. Der Server hingegenverlangt zur Nutzerauthentifizierung in der Regel Name undPasswort.

Eigentlich ist TLS der neueName für SSL seit Version 3.1.

Häufig werden die beidenAkronyme daher synonym verwendet. Je nach Anwendungsprogramm bezeichnet TLSaber auch ein besonderes Verfahren zum Verbindungsaufbau, was für allerlei Verwirrungsorgt. Ein Client kann miteinem Server auf zwei verschiedene Weisen in Kontakttreten: ausschließlich ver

schlüsselt über einen gesonderten SSL-Port (etwa 443statt 80 für verschlüsseltes

HTTP)oder gewissermaßen alsSSL-Upgrade einer unverschlüsselten Verbindung aufdem Standard-Port mittels desBefehls "STARTTLS", sofernClient und Server dies unterstützen.

FTP-Verbindungen wurden separate Abschnitte gewidmet. DerHinweis auf E-Mail-Verschlüsse

lung findet sich aber leider nur alsRandnotiz in der Kurzübersicht.

Einen offenen SSL-Portgibt esfür IMAPSund POP3S,verschlüsseltes SMTP gibt es jedoch nurper STARTTLS,das nicht alle Mailer unterstützen. Wem der SSL

Proxy nicht reicht, der kann für5 Euro im Monat ein vollwertigesSSL-Zertifikat hinzubuchen. Verglichen mit anderen Anbieternist das recht günstig.

Leider ist der unverschlüsselt

übertragene STARTTLS-Befehlein wunder Punkt. Berichtenzufolge arbeiten E-Mail-Abhörsysteme wie das Echelon derUS-Geheimdienste unter anderem mit der Methode, alle aufPort 25 übertragenen STARTTLS-Kommandos herauszufil

tern beziehungsweise zu manipulieren. In der Regel dürftedies auf einem großen Internet-Backbone oder providerseitig geschehen. Weil E-MailServer untereinander keineverschlüsselten Verbindungenerzwingen, interpretieren siedies als "die Gegenseite beherrscht kein STARTTLS" undschicken die elektronischePost unverschlüsselt durchsNetz, sodass sie sich mitschneiden lässt. Dasselbe gilt für andere Man-in-the-Middle-An

griffe etwa in unverschlüsselten Funknetzen oder anderen nicht vertrauenswürdigenNetzwerken.

Die sicherste Verbindungseinstellung ist daher direktes SSLüber den dedizierten Port,etwa 995 für IMAPS(lMAP überSSL)oder 465 für SMTPS.UnterThunderbird und OutlookExpress nennt sich diese Verbindungseinstellung schlicht"SSL". Doch auch STARTTLSvon Thunderbird unglücklichverkürzend "TLS" genannt - istsicher, sofern es sich erzwingenlässt. Vor der Option "TLS,wenn verfügbar" sollte mansich daher unbedingt hüten:Im Fehlerfall bekäme man

nicht einmal eine Warnung zusehen, also auch nicht beieinem Angriff. Outlook Expresshingegen unterstützt STARTTLSgar nicht.


Selbst das Basispaket ist inpuncto Verschlüsselung gut ausgestattet. Lediglich SSL-Zertifikatund vollwertigen SSH-Zugangzur Remote-Administration auf

der Kommandozeile gibt esbeim Premium-Paket "Homepage Professional" noch dazu.

Beim Server-System gibt sichder Provider aus Montabaur gewohnt konservativ. Der LinuxKernel von Januar 2007 macht

einen sehr angestaubten Eindruck und wirkt daher unsicher.

Die PHP-Umgebung hingegenwurde offenbar erst kürzlich erneuert.

1blu

Kundenmenü und Webmailersind ordentlich verschlüsselt,doch ansonsten hat der BerlinerProvider 1blu offenbar eine

Zweiklassenverschl üsselungsgeseilschaft etabliert: Premium

Kunden bekommen alles, Billigkunden nichts. Käufer eines

"Homepage Professional"-Paketssuchen E-Mail-Verschlüsselungvergebens, ebenso eine gesicherte Dateiübertragung zumServer.

Bei der Aktualität sieht es

mau aus: Die PHP-Umgebungwurde zum letzten Mal im Januar 2006 angefasst. Seit PHP4.4.2,das auf dem getesteten Serverlief, wurden eine Vielzahl gravierender Sicherheitsmängel in derSkriptingsprache behoben. Werfür das Premium-Paket "PerformancePack XXL" draufzahlt,bekommt nicht nur Zugriff aufSSL-fähige Mailserver, sondernauch einen SSH-Zugang unddarüber eine sichere Dateiübertragung mit SFTP.

Per SSHkonnten wir uns auch

ein wenig genauer auf dem Debian-System des Servers umsehen: Das letzte Rundum-Updatedes Servers muss bereits einigeJahre zurückliegen. Ironischerweise war die vorgefundeneOpenSSL-Version von 2004 soalt, dass sie von dem jüngstenDebian-OpenSSL-Bug noch nichtbetroffen war. In der OnlineDokumentation ist wenigstensdie gesicherte Dateiübertragungzum Server gesondert beschrieben. Ansonsten findet Verschlüs

selung keine Erwähnung.

AII-Inkl

Über den FTP-Uploadauf die Server von AII-Inkl wacht ein Anti

virusprogramm. Wir hatten zu-

131


Wenn Sie vermuten, dass das angezeigte Zertifikat nicht"imap.hetzner .de" gehört, brechen Sie bitte dieVerbindung ab, und benachrichtigen Sie den Administrator derwebsite.

E-Mail-Programme warnen berechtigterweise bei jedem Verbindungsaufbau, wenn das Zertifikat nicht zum E-Mail-Server passt.Allzu schnell ist der nervige Dialog im Klicktrott versehentlichauch im Falle eines Angriffs weggeklickt.

Sie haben versucht, eine verbindung mit"imap.hetzner .de" aufzubauen. Allerdings gehört das"vorgezeigte" Sicherheitszertifikat ·www.hetzner.de".Esistmöglich, aber unwahrscheinlich, dass jemand versucht. IhreKommunikation mit dieser website abzufangen.

LycosBeim Webhoster aus Gütersloh ist

nicht einmal die Anmeldung zumKundenmenü verschlüsselt. Auch

ein vorangestelltes "https:/I" verhilft nicht zu mehr Sicherheit; derServer beherrscht keine Ver

schlüsselung. Für den Webspacestellt Lycos nicht einmal einenSSL-Proxy bereit, von vollwertigen SSL-Zertifikaten ganz zuschweigen. Ebenfalls keine Verschlüsselung gibt es für FTP.Dieselbstsignierten Wegwerfzertifikate für IMAPS und POP3Ssind

kaum eine Verbesserung, da EMail-Programme den Anwendermit Fehlermeldungen nerven,weil der Servername im Zertifikatfehlt.

Für den Webserver verwendetLycos eine spezielle PHP-Variante namens PHP4U, die auf PHP4.4.7 basiert. Die PHP-Umgebung ist äußerst eingeschränktund abgeschottet: Viele PHPFunktionen sind per disable_functionsdeaktiviert, doch ausgerechnet die für die Sicherheit wichtigste PHP-Option registeulobals

Die Konfigurationsanleitungenvon Host Europe sind ausgezeichnet und enthalten - wo an

gebracht - stets einen Hinweisauf die Verschlüsselungsmöglichkeiten. Sowohl FTP als auch

Mailzugänge sind optional SSLgesichert erreichbar - fehlt nurnoch, dass Host Europe den Kunden die Verschlüsselung ausdrücklich empfiehlt.

Das getestete Serversystemhinterließ einen aktuellen und sicheren Eindruck. Die PHP-5.2.4

Installation ist gerade mal einenMonat alt. Auch die php.ini istsinnvoll vorkonfiguriert: register_globals=offsowie wohldefiniertesopen_basedirund disable_functionssichern PHP-Anwendungen derKunden und Webserver gegenAngriffe ab. Die Sicherheitserweiterung Suhosin schützt zusätzlich.

Auch die ordentlichen SSL-fä

higen E-Mail-Serverund der SSLProxy stehen allen WebPack-Kunden zur Verfügung. Die vorbildliche Grundsicherheit ist bei Host

Europe offenbar inklusive. Lediglich das optionale SSL-Zertifikatistmit 150 Euro im Jahr recht teuer.Linux-Nutzer könnten außerdemeinen SSH-Zugang vermissen,doch der fehlt auch bei den ande

ren günstigen Angeboten.

Host Europe

I Abbrechen 11 OK j

verschlüsselte FTP-Zugang, sodass die Zugangsdaten zumWebspace bei jedem Upload unverschlüsselt durchs Netz wandern müssen.

Als Server-Betriebssystem setztGoneo als einziger Hoster im TestFreeBSD ein. Im Premium-Paket

gibt es auch die fehlendenSicherheits-Features: SSL-Proxyund SFTP über einen SSH-Zu

gang.

Hetzner

Das Verschlüsselungsangebotdes Gunzenhausener WebhostersHetzner lässtsich treffend als "gutgemeint, aber falsch gemacht"beschreiben. Da sämtliche für EMail-Verschlüsselung relevantenZertifikate auf www.hetzner.de

ausgestellt sind, beginnen dieMailer zu motzen, sobald man dieSSL-Verschlüsselung anknipst.Trägt man www.hetzner.de alsServer ein, schlägt jedoch derLog-in im E-Mail-Programm fehl.E-Mail-Verschlüsselung gibt esbei Hetzner je nach Mail-Programm also nur mit permanenten Fehlermeldungen oder garnicht. Dasselbe Zertifikatsproblem tritt bei FTPSauf. Glücklicherweise funktioniert SFTP

selbst bei den kleinen Angebotenproblemlos.

Den Webmailer sollte mannicht über das Kundenmenü aufrufen, dann ist er nämlich unverschlüsselt. Und wie steht es umdas Thema "Verschlüsselung" inder Doku? Fehlanzeige - der Anwender bleibt sich selbst überlassen. Der Linux-Kernel des Servers ist mehr als ein halbes Jahralt. Dafür lassen sich diversePHP-Optionen direkt im Kundenmenü einstellen. Premium-Kunden erhalten mit dem Angebot"SH 4000" einen vollwertigenSSH-Zugang als einzige sicherheitsrelevante Erweiterung.

IZertifikat überprüfen 1

Goneo

Eine Dokumentation der Sicherheitsfunktionen sucht man bei

Goneo vergebens, und das obwohl die E-Mail-Verschlüsselungauch im Basis-Paket ordentlichist. Was ihm fehlt, ist aber der

immerhin das Thema SSL-Zertifikate vorbildlich, verschlüsselteFTP-Übertragung übergeht siejedoch und E-Mail-SSL erwähntsie nur in Minimalform. IMAPund POP-Serversind als virtuelle

Hosts der eigenen Domain erreichbar und liefern selbstsignierte Wegwerfzertifikate mit unpassendem Servernamen aus.Um die Fehlermeldungen der EMail-Programme loszuwerden,muss man umständlich denHostnamen aus dem Zertifikat

eintragen. Lediglich der SMTPServer ist ordentlich eingerichtet.

Auch beim Webmailer geht esetwas wirr zu. Per Kundenmenü

aufgerufen ist er verschlüsselt,nutzt man den Link auf der

Homepage des Anbieters, bekommt man einen unverschlüsselten Zugang präsentiert. EinenKnopf zum Umstellen auf SSLsucht man vergebens. Man mussdem "http" in der URL schonselbst ein "s" spendieren.

Die Option eines ordentlichenSSL-Zertifikats für den Webserver gibt es erst bei den Angeboten der gehobenen Klasse. Mit150 Euro pro Jahr ist es aber happig teuer. Selbst im teuerstenPaket "ManagedHosting XXL" istes nicht inklusive. Die Möglichkeit der teureren Pakete, diephp.ini-Datei global im Kundenmenü zu editieren, fehlt beim"MyHome" leider. Die Aktualitätdes Servers lässt ebenfalls zu

wünschen übrig. Der Kernel hatbereits eineinhalb, die PHP-Umgebung mehr als ein halbes Jahrauf dem Buckel.

nächst Schwierigkeiten, unsereTestprogramme hochzuladen, dasie der Scanner als potenzielleSchadprogramme ablehnte. Überden WebFTP-Client klappte esdennoch. Der Nutzen des Filters

bleibt somit fraglich, zumal dieGefahr gegeben ist, dass ermit Fehlalarmen den Anwendernervt. Als einer von zwei Providern im Test setzt AII-Inkl die

PHP-Sicherheitserweiterung Suhosin ein, die nicht nur den Server, sondern auch die Webanwendungen der Kunden schützt.Zu einem register_globals=offkonnte sich der Anbieter aber offen

bar noch nicht durchringen.Die Online-Dokumentation ist

äußerst spartanisch gehalten.Einrichtungshilfen für FTP-Programm und Mailer gibt es bestenfalls stichwortartig, Hinweiseauf Verschlüsselungsoptionensucht man vergebens. Wer eineSSL-Verbindung zum E-Mail-Server vorzieht, kann auch nichteinfach den vorgeschlagenenvirtuellen Hostnamen wie imap.ihredomain.de verwenden, weiler nicht zum Namen im Zertifikatpasst. Mail-Programme bestrafen das mit permanenten Warnmeldungen. Stattdessen mussman sich den korrekten Servernamen umständlich über einen

Reverse-Lookup der zum virtuellen Hostnamen gehörigen IP besorgen. Für Laien ist die E-MailVerschlüsselung deshalb vollkommen unbenutzbar.

Einezusätzliche Überraschungerwartet Thunderbird-Anwender,wenn sie die empfehlenswerteZertifikatsprüfung per OCSPaktiviert haben. Der Mailer verwei

gert den Verbindungssaufbau,weil der Herausgeber der Serverzertifikate Usertrust seine OCSPAntworten mit einem unbekann

ten Zertifikat signiert. Nichts vonalledem ist in der Doku beschrieben. Der Anwender bleibt sichselbst überlassen, wenn es umVerschlüsselung und die zu umschiffenden Klippen geht. SSLgibt es nur gegen Aufpreis, selbstder SSL-Proxy kostet monatlichrund einen Euro. Im teuersten Bu

siness-Paket sind Proxy-Nutzungund vollwertiges SSL-Zertifikat inklusive.

domainFactory

Verschlüsselung ist auch beim Ismaninger Hoster domainFactoryein Randthema, und ein gar verwirrendes dazu. Die übersichtliche Dokumentation behandelt

132 c't 2008, Heft 15

~_ --a.-- lIiI - l1liF-----:.:. ._

Report \ Hosting: Sicherheit

Sicherheit der Webhosting-Pakete

Dokumentation

SFTP/FTPS

.,/1.,/----.,/-.,/,IMAPS/POP3S/SMTPS

.,/,--.,/,--.,/-.,/,.,/'SSL-Zertifikate

.,/.,/ (nurSSL-Proxy) -.,/--.,/-.,/Server

-k.A.1System / LinuxZ.6.16.33/Linux 2.6.8-13/Linux 2.6.24.4/Linux 2.4.34.1-FreeBSD 6.3/Linux 2.4.35.3/Linux 2.6.Z2.19/LinuxSunOS 5.8

Datum

Z007-01-31Z008-02-202008-04-15grs«I2007-02-27 2008-01-162007-10-262008-05-07

Webserver

Apache 1.3.34Apache 2.0Apache 2.xApache 1.3Apache 2.0.63Apache 1.3.39Apache 2.2ApacheApache 1.3.37k.A.1

PHP Default-Version /

4.4.8/4.4.2/5.2.5/5.2.4/4.4.8/5.2.6/5.2.6/PHP4U 3.0/5.2.5/k.A.1

Datum

2008-05-062006-01-232008-01-252007-12-052008-03-122008-05- Z32008-05-162008-01-152007-12-06

Server-Einbindung

(GI(GImod-php(GIsuphp(GImod-php(GI(GIk.A.1

register_globals=off

-----_9.,/9-.,/k.A.1

Sonstiges

--open_basedir,---open_basedirsafe_mode,-k.A.1

Suhosin

disable_functions disable_functionsSuhosin

Verschlüsselung Kundenmenü

.,/.,/.,/.,/.,/.,/.,/-.,/'.,/Webmail

.,/.,/.,/.,/3.,/.,/3.,/-.,/'.,/FTPS/ SFTP

-/.,/-/-.,/ /-.,/ /--/-_ 5/.,/.,/ /--/--/-k.A.1/k.A.1

SSH

---------k.A.1

IMAPS/POP3S/SMTPS .,/ /.,/ /.,/6-/-/-.,/ 7/.,/ 7/.,/ 7.,/ 6/.,/ 6/.,/.,//.,//.,/_ 5/_ s/_ s.,//.,//.,/_ 5.6/_ 5.6/_.,//.,//.,/.,//.,//.,/

SSl-Proxy

.,/.,/- (0,95 €/Monat) .,/--.,/SSL-Zertifikat

- (4,99 €/Monat) -- (99 €/Jahr)--- (ab 99 €/Jahr)- (1 SO€/Jahr)-Bewertung Sicherheitldokumentation Ei'>

ees0esesEi'>esEi'>esSystemaktualität

0se0e00EOO)0ek. A.1

PHP-Voreinstellung

ee0ee0EOO)eEi'>k. A.1

VeM1Iüs\eIung

Ei'>e0e0esEOO)ee0k. A.1

1 beiläufig oder versteckt

I Test nicht möglich (siehe Text) J manueller Eingriff nötig 'optional 5 Zertifikat fehlerhaft6 Zertifikat selbstsigniert70(SP-Fehler8 nur STARTTLS 9 div. PHp-optionen einstellbar

EF>EF> sehrg~gut

o zufriedenstellende schlechtse sehr schlecht.,/ vorhanden- nicht vorhandenk. A. keine Angabe-- -- - -

Anbieter

Produkt

1&1

HomepagePerfect

1blu

HomepageProfessional

All-lnkl

Privat

domainFactory~ Goneo

MyHome Start

Dynamic

Hetzner

SH 500

Host Europe lycos Strato T-Home

WebPack M 2.0 Powerweb Basic Powerweb Basic Homepage Basic

steht auf dem unsicheren on.Die

verrammelte Umgebung schütztsomit in erster Linie die LycosServer, weniger aber die Webanwendungen der Kunden. Esmacht auch keinen Unterschied,ob man sich für das günstigsteoder das teuerste Hosting-Paketentscheidet. Sicherheits-Featu

res spielen wenig verwunderlichauch in der Dokumentationnicht einmal eine Nebenrolle.

Strato

Standardmäßig arbeiten dieLog-ins für Kundenmenü undWebmail unverschlüsselt undwarnen, dass der Browser dieAnmeldedaten im Klartext ver

schickt. SSL-Verschlüsselunggibtes wenigstens optional über separate Links. Aber wieso nichtgleich per SSL?Die Online-Dokumentation macht einen leichtzerstreuten Eindruck. Prinzipiellist alles da, doch weiß man nieso genau, ob man in den Anleitungen oder in der FAQ nachsehen muss. Zum Glück gibt eseine Suchfunktion.

Stratos Mailserver sind grundsätzlich ordentlich SSL-geschützt,sicherheitsbewusste Powerweb

Kunden werden jedoch eine ver-

c't 2008, Heft 15

schlüsselte FTP-Verbindung vermissen. Die gibt es erst bei denteureren Premium-Paketen zu

sammen mit dem SSH-Zugang.Die PHP-Umgebung des Serversist von Ende 2007 und machteinen leicht veralteten Eindruck.Als einziger Anbieter im Testfeldhosten die Berliner auf SunOS.

T-Horne

Serverseitig ist in puncto Verschlüsselung eigentlich alles daund ordentlich: Anmeldung fürdas Kundenmenü, Webmailer, EMail-Übertragung - selbst wennes im Browser durch das FrameGewurschtel des T-Home-Portalsnicht immer so aussieht. Man soll

te sich aber gut überlegen, ob dieSuche nach der passenden Dokumentation im lausigen, hoffnungslos textüberfrachteten Portal die Mühe wert ist. Hinweise

zur Verschlüsselung finden sichohnehin bestenfalls als Randnotiz. Wenigstens sind die SSL-fähigen E-Mail-Server säuberlichneben den unverschlüsselten gelistet, sofern man sie denn findenkann. Sonstige Hinweise auf andere Verschlüsselungsoptionen etwa verschlüsseltes FTP- sucht

man vergebens.

Wegen andauernder Umbauarbeiten am Webangebot war esuns über Tage hinweg nichtmöglich, Zugriff auf Kundenmenü oder Webspace zu erlangen.Stattdessen bekam wir nur Feh

lermeldungen zu sehen. Testszur Begutachtung der Serversicherheit mussten daher leiderentfallen. Mehr zu den Ausfällenlesen Sie im Artikel auf Seite 122.

Fazit

Die Sicherheits-Features der

Webangebote spielen für diemeisten Provider nur eine unter

geordnete Rolle. Gelegentlichsind sie wie offenbar bei 1blu ein

Marketing-Argument, das zumKauf der teureren Pakete be

wegen soll. KrasseZertifikatsfehler wie bei Hetzner könnten noch

als Versehen durchgehen, dürfenaber nicht vorkommen.

Dass nun wenigstens Stratound Host Europe die wichtigePHP-Option register_globals=offgesetzt haben, ist eine sehr erfreuliche Entwicklung. Ansonsten sinddie PHP-Umgebungen eher unsicher vorkonfiguriert und leiderhalten immer noch nicht alleProvider ihre Server auf demneuesten Stand. Im letzten Test

von Managed-Servern stelltenwir ebenfalls in den Bereicheneklatante Mängel fest [1].

Doch insbesondere bei derOnline-Dokumentation, die unerfahrenen Anwendern eine verständliche Hilfe sein sollte, habendie meisten Hoster noch Nachholbedarf. Nicht ein einziger erläutert seinen Kunden die Wich

tigkeit der Sicherheitsfunktionenoder legt sie ihnen sogar nahe.Schließlich ist es im Sinne sowohlder Kunden als auch der Anbieter, dass weder die Anmeldedaten zum Kundenmenü noch zumE-Mail-Serveroder FTP-Bereichinfalsche Hände geraten. WennProvider ausgerechnet an derVerschlüsselung sparen, kannniemand gewinnen. Schließlichwürde auch niemand heutzutagemehr ein Auto ohne ABSund Airbag kaufen, nur weil es einenBruchteil des Kaufpreises spart.Host Europe hat dies offenbarverstanden und es ordentlich in

die Tat umgesetzt. (cr)

Literatur

[1] Holger Bleich, Christiane Rütten,Fremdwartung, Fünf Provider-administrierte Webserver im Ver

gleichstest, c't 23/07, S. 168 d

133

, 1

Report I Hosting: Content Management Systeme

Ja Bager

Integrierte Content-Management-Systeme undl-Klick-Installationen der Provider

Die eingebetteten Inhalteverwalter bei 1&1 und Strato lassensich fast so einfach bedienenwie Desktop-Programme.

Der Webmaster wählt beimersten Aufruf des HomepageBaukastens eine für seine Web

site passende Branche undUnterbranche aus. Auf deren

Basis präsentiert das Programmihm eine Auswahl an Layouts. Erkann sich aber auch aus der gesamten Liste bedienen, die insgesamt 145 Designvorlagen enthält. Darunter sollte für jedenGeschmack etwas dabei sein,zumal sich die Layouts noch inBezug auf das Farbschema undLogos individualisieren lassen.

Auch für die Website-Strukturmacht der Baukasten einen Vor

schlag, den der Benutzer übernehmen oder an die eigenen Anforderungen anpassen kann. Hierliegt eine wesentliche Fußangelder eingebauten Inhalteverwalter versteckt, denn die Hoster beschränken die Anzahl der mit

den eingebauten Seitenmanagern verwaltbaren Seiten.

Im Paket Homepage Perfectund im DynamicSiteCreator sindjeweils zwanzig Seiten enthalten,beim Strato-Paket PowerWeb

Basicund bei T-Home HomepageBasicsogar nur zehn - genug zumBeispiel für den Selbstständigen,der mit einer mehr oder wenigerstatischen Site sein Angebot präsentiert. Wenn aber, wie etwa beieinem Sportverein, die Websitezum Beispiel laufend mit Ergebnissen und anderen Nachrichten

wächst, dürfte dies schnell zuwenig werden. Mehr Seiten lassensich die Provider bezahlen: 1&1berechnet für das Paket "Homepage-Baukasten Plus" mit unbegrenzt vielen Seiten 9,99 Euro proMonat, bei Strato kostet der un-

@g

Kunde Flash-animierte Webseiten zusammenstellen kann. AlsBeispiel sei hier die Bedienungdes 1&1-Baukastens beschrieben; die anderen Lösungen funktionieren ähnlich. Das Programmläuft zwar auf dem Server; derWebmaster bedient es mit demBrowser. Dank Ajax fühlt es sichaber nicht an wie eine klassische

Webanwendung, sondern lässtsich so flüssig bedienen wie einWindows-Programm.

that SeCeo Laycu ENt~ "11 l-i1e

31" .::JI•••••••

~f?_"

L.~

~

c't·Testseite

~""""'~_~1IU~~.~

~ ~n <J)

~ sctveibt hst wie in ~ WYSIWYG-Editor_ ..•

SMALL OFFICEHOME OFFICE

OIIIIei e..rtJden w.b SeHn ~ HtI.J§] Homepage-Baukasten ~

Stratos LivePages, der DesignAssistent bei T-Home und der 1&1

Homepage-Baukasten dagegeneignen sich, um eine Websitedauerhaft zu pflegen. Außerdem HMTL-Baukasten bietet 1&1

auch einen sogenannten DynamicSiteCreator an, mit dem der

Wie mit Ward

ten können aber auch dort nicht

überzeugen.

Man muss schon einige Semester HTML, CSS,PHPund Co. verinnerlicht und viel Zeithaben, um Websites von Hand zu entwerfen und deren Seiten selbst zu verwalten.Wesentlich schneller und bequemer kommt man mit einem Content-ManagementSystem zum Ziel - insbesondere wenn der Provider es bereits vorhält oder es sich mitminimalem Aufwand installieren lässt.

Die komfortabelste Möglichkeit, eine Homepagezu pflegen, bieten in

das Verwaltungs-Backend beimProvider integrierte Conte ntManagement-Systeme (CMSe).Sie werden vom Hoster gewartet; der Nutzer muss sich überhaupt nicht um die Softwarekümmern, sondern kann sichganz der Pflege seiner Homepage-Inhalte widmen. Von denzehn exemplarisch ausgewählten Providern bieten 1&1, Goneo, Host Europe, Lycos undStrato solche eingebetteten Lösungen an.

Allerdings ist die Qualitätsspanne sehr groß. Bei Host Europe kann der Kunde nur eineSeite editieren, und auch easypage bei Goneo ist mit nur 18eher einfach gehaltenen Layouts und sehr eingeschränktenEditiermöglichkeiten eher simpler Natur. Diese Lösungen eignen sich allenfalls, um schnellein paar erste Informationen aufder Homepage zu präsentieren,aber kaum für den dauerhaften

Betrieb. Lycos gibt seinen Nutzern zwar immerhin 120 Layoutszur Wahl, die Editiermöglichkei-

Homepage-Manager

Anzahl der Seiten

Anzahl der layouts

1-Klick·lnstallationen

Content Management Systeme

!&1Ho~~agePenert

1&1 Homepage-Baukasten,

DynamicSiteCreator

20

14S

Joomla, PostNuke Joomla 1.0 und 1.5, openEngine, Typ03

unbegrenzt

18

Joomla 1.0 und 1.5, Mambo, Redaxo Drupal, Joomla, Mambo, Typ03

MediaWiki

Mantis, Moodle, phpMyVisites,

PHProjekt, WebCalendar

- n-ic-ht-v-or-ha-n~de-n-

Blog-CMS

Foren-Software

Fotogalerie

Wiki-Engines

Sonstige 1-Klick-lnstallationen

,/ vomanden

1&1 Blog (WordPress), Serendipity

phpBB, SMF

Serendipity, WordPress

Copennine, Gallery, Minishowcase

Advanced Guestbook, Advanced Poil,

phpMyFAQ, WebCalendar

domainfaaory-Weblog (Nucleus),

Serendipity, WordPress

phpBB, Vanilla, XMB

Coppermine, Gallery, Gallery2

DokuWiki, WackoWiki

Calendarix, more.groupware,

OsCommerce, PHProjekt

b2evolution, WordPress

phpBB, Phorum

Coppermine, Singapore

phpWiki, TipiWiki

lIohaMail, osCommerce, phpBook,

SquirrelMail, ete. (insg. 9)

134 c't 2008, Heft 15

Report I Hosting: Content Management Systeme

Content-Management-Systeme ausder Open-SourceSzene, etwa WordPress, haben eineriesige Nutzerschaft - der Webmaster profitiertvon unzähligenErweiterungenund dem Wissensfundus der Com

munity, wenn esmal Probleme gibt .

lig, sie halten sie aber nicht aktuell - dafür ist der Kunde zuständig. Daher muss er regelmäßig auf den Herstellersites nachneuen Versionen Ausschau halten und sie zügig installieren. DaUpdates mitunter Sicherheitslücken schließen, riskiert er sonst,dass seine Site gehackt werdenkönnte.

Im Grunde kann sich derKunde nicht einmal darauf verlassen, dass die 1-Klick-lnstallationen up to date sind. Wirhaben zwar bei unseren stich

probenartigen Tests viele Anwendungen vorgefunden, diedem aktuellen Stand entsprachen. Lycos aber installierte unsdie vier Monate alte Version 2.3.2von WordPress. Das war insbesondere deshalb ärgerlich, weildie Administrationsoberflächedes Providers suggeriert, manwürde die neueste Version installieren. 1blu richtete eine Betaversion von Joomla 1.5 ein aus dem September 2007.

Direkt nach der Installationsollte also der erste Blick derVersionsnummer des installierten CMSgelten. WordPress zeigtseine zum Beispiel gleich nachdem Aufruf des Backends an,unter "Aktuell". Bei Joomlaschaut man im AdministratorModus unter "Hilfe\System-lnfo"nach. 00)

Literatur

[1] Herbert Braun,Website-Baukästen, FreieContent-ManagementSystemeund andereWerkzeugefür dynamischeInternet-Auftritte,c't 11/07, S. 88 ~I:

• PDOForW~AddedJ,,,, ••"••• ~TP."AJ'oIAdd~dJu""Z3

. "'_abi. AddedJu" •• Z3

• Medi ••T••'d Ad W ••••p Add ••d Jv".".~_Add.dJu" •• 23

• Copy ~ Add ••d Ju ••.•••22

.c.oo.ot-XMl!W~Do ••nload.d3';'!O,3.:2t.m ••s

• Won:l_~.com ~u"" Do••"lo ••ded230.899t.mu

• ..-forrn$JI"conUctfonr.Do••nlo.ded131,812t;m".

.NotJ<tG(N~ •• ...,Cownlo .•ded

207,:531tll""es

• AU in ao-..: '>f.D PxJ" Co ••"IQ.a ••d

414.10~t.me<• Ak •••...-t Oo .••nlo • ., ••,; 290,705

Recently updated ))

Most Popular ,)

drücklich hin, wie etwa domainfactory: "Da es sich hierbei umSoftware von Fremdanbieternhandelt (sogenannte '3rd PartyApplications'), bitten wir um IhrVerständnis, dass wir für die weiter unten installierbaren Applikationen weder eine Gewährleis

tung der Funktionalität übernehmen, noch Support zu den einzelnen Funktionen bereitstellenkönnen."

Wer eine 1-Klick-lnstallationnutzen will, sollte daher gewisseGrundkenntnisse über den Betrieb eines Webservers mitbringen, also etwa wissen, wie er dieVerzeichnisse des Dateisystemsauf die der Webpräsenz abbildet.Das Fehlen des Provider-Supports ist aber nicht wirklich einNachteil. Die Hersteller-Communties unterhalten in der Regelstark frequentierte Supportforen, in denen bei Problemenaller Art schnell geholfen wird.

Die Provider installieren dieServer-Anwendung zwar erstma-

Get Recent Comments

Displa'f the most recent comments or trackbads Wlth your own

tormattlno In the sidebar.

podPressA dream pluoin for Podcasters using WordPress.

Featured Pluglns

WP super Cache

A .•er'f fast cachinQ engine tor WordPress that produces statie html files. 10_ ....10.0 :

WordPress.com StatsYou can have- simple, ooncise stats with no additional load on 'four

server b'f pluQQing into WordPress.com·s stat system.

2,426 PLUGINS, 4.082,686 DOWN LOADS, AND COUNT!NG

,------------.--~ --=-~~,-[s.._Pk<~'!

Plugins ean eztend WordPress to do almost anything you can imagine. In the

diNCtory you can find, downlwd, rate, and comment on all th"" best plugins the

WordPr~ oommunity has to offer.

Popul<'lrT<'Igs:'tore »

Post (326)

Plugins

• De ••cloper Center

lde.!ls

Kvetchl

..,id'll~t(295)

iIIdmin(238)

comme-nt!i(196)

posts (1'J5)

sidebc!lr (17's)

plugin(15t)

images (1 ••1)

google (109)

links (108)

AJAX (97)

rn (68)

PIugin Directory

EKtend Ho~

~.~ WORDPRESS .ORG Forcm' HC'Oo9<r==l

la & Drupal" - was aber keineswegs bedeutet, dass das Unternehmen die beiden Anwendun

gen als 1-Klick-Paket bereitstellt.Vielmehr besagt es nur, dass dietechnischen Voraussetzungenfür den Betrieb der Programmegegeben sind - eine Selbstverständlichkeit. Statt auf OpenSource-Pakete setzt Strato bei1-Klick-Anwendungen auf eigeneCGls. Eine Ausnahme bildet das"Strato Weblog", das sich unterdem Punkt "Homepagegestaltung\Weblog" findet und hinterdem sich WordPressverbirgt.

Aus der CommunitySo einfach sich Joomla und Co.auch installieren lassen: Der Benutzer sollte sich darüber im Klaren sein, dass er damit im Unterschied zu den eingebettetenSystemen für den reibungslosenAblauf seiner Anwendungenselbst verantwortlich ist. Die Provider weisen darauf auch aus-

unbegrenzt1010

120

224279--Typo3

Drupal, Xoops Joomla 1.0 und 1.5, Mambo.

Moodle, PostNuke, SPIP, XoopsSerendipity. WordPress

b2evolution, easyMyBlog,Strato Weblog (WordPress)T-Home Weblog

Nucleus, WordPressphpBB, SMf

Phorum, phpBB, SMf

My Image Gallery

JBC Explorer, Singapore, 1fT GalleryStrato fotoalbumT-Home fotoalbum

DokuWiki, MediaWiki

TipiWiki

AdvancedPolI, anylnventory, Brim,

phpMyVisites, Aerial, E-GroupWare,Event-Kalender, diverse CGls-

eGroupware, osCommerce etc. (insg. 26)

WebCalendar (insg. 23)

beschränkte Content Managermonatlich 6,99 Euro.

Die Homepage-Baukästenvon 1&1 und Strato sind exklusive, proprietäre Angebote. Es istdaher mit wesentlich mehr Aufwand verbunden, zu einem anderen Web-Hoster zu wechseln,als etwa mit einem CMS aus derOpen-Source-Szene. Die frei verfügbaren Pakete lassen sich sichbei vielen Providern installieren.

Daher kann es, trotz aller erwähnten Vorteile der eingebetteten Content-Manager, sinnvollsein, auf ein Open-Source-Paketzu setzen. Joomla ist zum Bei

spiel eine weit verbreitete Lösung für Websites und Portale,WordPress sehr beliebt als Blogsystem. Die Provider stellen abernicht nur Content-ManagementSysteme als 1-Klick-lnstallatonenbereit; die Bandbreite reicht vonFotogalerien wie Coppermineüber Wiki-Engines bis hin zu Kalendern und vielem mehr [1].

Benötigt man mal eine Funktion, die die Standardinstallationeines solchen Pakets nicht enthält, lohnt ein Blick auf seineHomepage. Viele der Paketewerden von regen Communitiesunterhalten, die bei technischenProblemen helfen und unzähligeAdd-ons bereitstellen.

Die Tabelle präsentiert eineAuswahl der 1-Klick-lnstallationen. Host Europe und Lycos etwastellen mehr als 30 Anwendun

gen aller Art bereit. Hetzner hältgenau eine Applikation vor - dasCMS-Schwergewicht Typ03. Undbei AII-Inkl geht der Webmasterim "privat"-Paket ganz leer aus.1-Klick-Programme sind dort denteureren Bundles ab dem Tarifprivat plus vorbehalten.

Auf den Websites der Providermuss man mitunter ganz genauhinschauen. So bewirbt etwaStrato "Unterstützung von Joom-

c't 2008, Heft 15 135

Date post:	07-Jun-2015
Category:	Documents
Upload:	alaqsa
View:	525 times
Download:	1 times

ct 1 Juli 08

Documents