Report I Hosting: Angebote
(f,b"",IJJ:,nhj"~J )e
!Ir"~ Zkpr:::"':!M!'''''''~'
~~'["50S r",;<ItJ~
:~ :::~:;:~~::';~;t!!:.- .••••~ . i ~,,~\,.rirf'fd(l()lIil,.IY'rb/!)'I'W~lb~~d..~•••• ~~:~f.!<?:.";;;,.~~,,,\'''~'",~,;cr.,
••••• ~,.!!t.•••••_ JIxtI!OIImCIIU'O>1l1jilsligtll\lUItitOUci.Di;PU)
)in~Jard:t;j ~'Jsi::;,.:f.j~;d:I'I:~r-..:J::Jkb'E~~t:~~rr.!&i: 5!:- '
"'""
;.m
~ 'j,::;;rSE:r:~•••
"'"" \I!R\D!IUicIIWnltIJ"stl'~d!rlizlll
~i=~)J:.rmX~r.trXh~~hn:&::i\·~~ "3;D{*"""">fu:;"""";'~.j.!>:e-sc,1-_
"' ••••••• rlllli!i<it u··Pri!l1tlt<un 1111!ltI;g,ft iklltlllA:~~~~~~::SCe~T"1h::~~!:z.~:xf.i.~~·~~f:~r~dIiY*'::
Holger Bleich
Vorhang auf!Zehn Hoster-Pakete mit PHP und Daten
bank für den dynamischen Webauftritt
Eine Website zu erstellen und zu pflegen ist heute soeinfach wie noch nie: Für wenig Geld erhält der KundeServerplatz, Domain und Mailservice. Kaum mehr muss
er berappen, wenn der Hoster ihm außerdem PHP und
eine Datenbank fürs Blog oder Forum zur Verfügungstellen soll. Doch Kostenfallen, lange Vertragslaufzeitenund verwirrende Funktionsbeschreibungen verleidenihm den Einstieg. Wir haben zehn Webhostern genauauf die Finger geschaut.
122
Das Internet bietet genugPlatz für alle. Hundertedeutsche Provider haben
schlüsselfertige Heimstätten fürWebsites und E-Mailsim Angebot.Entsprechend laut müssen dieseHoster die Werbetrommel rühren.Sie versuchen, potenzielle Kunden mit Sonderangeboten undimmer neuen Featuresin den Vertragsabschluss zu locken. Vielefrischgebackene Webmaster bemerken erst, wenn sie ihre Website online haben, dass sie einvöllig überdimensioniertes Paketgewählt haben, etwa, weil diesesja kaum teurer schien als das Einsteigerangebot. Dann freilich istes meist zu spät, den Fehler zukorrigieren, denn oftmals bindendie Hoster ihre Kunden für mindestens ein Jahr an den Vertrag.
11
l~_~LO..i'iiii;;; .. _
Wir haben den Markt gEtet und uns zehn Providerausgepickt, deren Angebotgenau unter die Lupe nah1& 1 und Strato waren als di,
den größten Webhoster geZusammen dominieren diEden Unternehmen das deuWebhosting mit mehr als 7(zent Marktanteil. domainFa,
Hetzner, Host Europe, Lywdie Telekom gelten als Promit viel Erfahrung und als sAdressen für stabiles Ho~Die Marke AII-Inkl.com vers(dem Provider Neue ME
Münnich bereits seit einigerren mit günstigen Konditiund nahezu konstant guterfügbarkeit außergewöhnlichen Kundenzulauf. 1bluGoneo schließlich sind relati
c't 2008, HE
Report I Hosting: Angebote
Strato scheintwie viele andereHoster aucheiniges zuverschenken,versteckt aberlediglich dietatsächlichenKosten im Klein
gedruckten.
'I!JITGJTr31--2ßJ~'
weise hervorzuholen. Es blieb
ihm nichts übrig, als die tatsächlichen Preisejedes Angebots mitdem Taschenrechner aufzuaddieren und handschriftlich zu erfassen. Dennoch hatte er stets
die Befürchtung, Kostenhinweise in dem Wust von Kleingedrucktem übersehen zu haben.
Besonders perfide ist, wasGoneo in dunkelblauer Minischrift auf hellblauem Hinter
grund mitten in einem riesigenTextblock versteckt: Der Hoster
definiert dort eine Kündigungsfrist von zwei Monaten anstattder im Markt üblichen vier Wochen zum Monatsende. Die we
nigsten Kunden dürften daraufachten. Möchten sie dann ihrPaket einen Monat vor Ablauf derLaufzeit kündigen, wird der Hoster dies verweigern, da sich jagemäß Sternchentext der Vertragbereits stillschweigend um weitere zwölf Monate verlängert hat.
In unserer Übersicht aufSeite 126 haben wir sämtlicheRabattaktionen außen vor gelassen und stattdessen die regulären Preiseaufgelistet. Zum einensind die Sonderangebote ohnehin zeitlich begrenzt, zum anderen erschweren sie den realistischen Vergleich von Preis undLeistung. Nichtsdestotrotz lässtsich der eine oder andere Eurosparen, wenn man vor dem Abschluss des Vertrags noch mal
Im Testzeitraum gelang es unsnur sporadisch, zur Administrationsoberfläche unseres
T-Home-Accounts zu gelangen.Man befinde sich in einerRelaunch-Phase, erklärte unsdie Telekom auf Nachfrage.
STRATO Rechenzentren co:. frei
WebhosIef des •••• es 2007
"0,'=
GED."rlT., -Q
lange Laufzeit von 24 Monatenhat und nur die ersten 12 davonzu Sonderkonditionen zu habensind.
Schlimmstenfalls findet man in
den Angebotsbeschreibungenkeinerlei Hinweise auf relevanteVertragsmodalitäten wie Zahlungsweise oder Laufzeit. Darüber geben dann erst die Allgemeinen Geschäftsbedingungen(AGB) Aufschluss. Ein Studiumdieser juristischen Klauseln istallerdings zeitraubend, weshalbviele Kunden darauf verzichten.Dassdies eine schlechte Entschei
dung ist, belegt unser Artikel aufSeite 128,in dem wir die AGBderhier erwähnten Webhoster einerPrüfung unterziehen.
Leider arbeiten inzwischensehr viele Webhoster zusätzlichmit der Sternchentext-Methode,um von tatsächlichen Kosten,Laufzeiten und Kündigungsfristen abzulenken. Unser Testkäu
fer war sichtlich genervt und gezwungen, seine Lesebrille für diebisweilen extrem kleinen Hin-
VIdeE1lb •• 1U1"
foo1geKhnttene
,~ ,~, .. -11
WebhostingDÜbenicht
_ HiO/'lh9hts
~~::::':b _.ITnI~[wI'1t :9/. '·:AI·~OT1IC~;.~I,'~:JlI'~DPremtumDPakett imOberblid<
DEmpfthltnDHäufioe Frallen
o STRATO Services
BelGoogII!besser
gefundeflwerclen!
STRATO C••!lCenter01805·05505SMoIFr 01:00'Z3:00 UhrS6ISo 10:00-20:00 Uhr(0,14 tlMil'l. aus dem dt.f"estnet:r,abwetd1enderMobilfunk~rif)
<
htlp:JJ-.straW.de(~webJ(JYeMeWrn:ie'x.htmI
2. Sie sind noch nicht für ein Homepage-Produkt angemeldet Bitte wählen Sie
zunächst ein Homepage-Produkt aus und melden Sie sich an. Produldübersicht &
Anmetduna
logtn nicht mogllch
3. Sie sind Mitarbeiter einer Homepage, und Ihr Zugang ist noch nicht vollständig
eingerichtet Bitte wenden Sie sich an den Administrator der Homepage.
/;\ Das Login ms Homepagecenter ist fehlgeschlagen.Lb Mögliche Ursachen:1. Sie haben sich vor kurzem für ein Homepage·Produl4 angemeldet, die Anmeldung
wurde jedoch noCh nicht vollständig von unseren Systemen verarbeitet On senenen
Ausnahmefallen kann dies mehrere Stunden dauern.) Bitte versuchen Sie es spaterwieder.
Q4te QoMrbet~ ~ Qnri:. l.esezeod>ef1 EWas t!fe
•. +- . e ~~I i1 http://-·str4to.<kjwebhostrq(ndex.htn
ist. Hätte unser Tester nicht gesagt bekommen, dass dort auchHosting feilgeboten wird - erhätte es glatt übersehen. Diequietschbunte Homepage von THome (ehemals T-Online) brachte ihn und uns gar zur Verzweiflung. Selbst mit dem Wissen umein Hosting-Angebot des Unternehmens benötigte er mehrereMinuten, um sich auf dem Portalleidlich zurechtzufinden.
Eine Unsitte, die beispielsweiseInteressenten an DSL-Anschlüs
sen den Vergleich der Angebotezur Qual macht, ist nun auch beiden Webhostern verbreitet: Ra
batte, die innerhalb der Vertragszeit auslaufen, sollen das Angebot besonders günstig erscheinen lassen. Den Vogel dabeischießt Strato ab. Beim Berliner
Hoster gibt es laut Prospekt undHomepage fast sämtliche Paketefür ,,0.- €*". Erst das zum Sternchen gehörende Kleingedruckteoffenbart, dassfür die Ersteinrichtung dennoch eine satte Gebührfällig ist, der Vertrag eine extrem
Preis-Wirrwarr
IWirschauten zunächst einem unerfahrenen Nutzer bei der Suche
nacheinem geeigneten Paket fürseine Zwecke über die Schulter.
Ersollte prüfen, ob die Angebotsseitender Hoster auch Neulingenausreichend Informationen bieten, ohne zu verwirren oder zumAbschlusseines falsch dimensio
nierten Vertrags verleiten.Schwierig, überhaupt die pas
senden Angebote zu finden, machen es Websites von Unterneh
men,die außer Webhosting nochandere Leistungen anbieten. Somussman sich bei Strato und 1&1erst einmal orientieren unddurchklicken, bis man aufs Hosting stößt. Lycos zeigt sich alsbunter Gemischtwarenladen, was:JemPortalcharakter geschuldet
sehen die Newcomer unter denKandidaten.
Einige Worte vorweg zum THome-Angebot der Telekom: Alswir uns Mitte Juni 2008 erstmals
in unseren Testaccount einloggen wollten, erhielten wir sporadisch Fehlermeldungen, denenzufolge das "Login ins Homepagecenter fehlgeschlagen" sei.Nachdem sich dieses Problemüber eine Woche hinzog, konsultierten wir die Pressestelle derTelekom. Tatsächlich komme es
gerade und in den nächstenzehn Tagen zu PerformanceAusfällen und fehlerhaften Logins, ließ man uns wissen. DerGrund sei ein just stattfindender,umfangreicher Relaunch des Angebots. Da sich die außergewöhnlich lange Relaunch-Zeitbis in den Redaktionsschluss die
serAusgabe hinzog, mussten wirdarauf verzichten, die Produktangaben der Telekom praktischzu überprüfen. Dies werden wirin einer der nächsten Ausgabennachholen.
Bei der Bestellung von Webspace-Paketen gingen wir zunächst von einem ambitionier
ten Webmaster-Neuling aus. DerBetrieb seiner Site soll kein großes Loch in die Geldbörse reißen.Andererseits möchte er natürlich nicht nur ein statisches"Hallo, hier bin ich" publizieren,sondern gerüstet sein für dasWeb 2.0 mit seinen dynamischenKomponenten. Pflicht ist folglich,dass der Hoster die Möglichkeit einräumt, PHP-Skripte aufdem Webserver auszuführenund mindestens eine Datenbank
anzulegen.
:'t 2008, Heft 15 123
Report I Hosting: Angebote
Platz satt
Entscheidung für oder gegen einWebspace-Paket sollte die Beipacksoftware tatsächlich höchstens dann eine Rolle spielen,wenn man die enthaltenen Pro
gramme explizit benötigt.
Alle Pakete sind mit mindestens
500 MByte Speicherplatz ausgestattet, was auch für aufwendigere Site-Projekte vollkommenausreicht. Zu beachten ist, dass,wie in der Tabelle jeweils vermerkt, bei einigen Hostern derPlatzverbrauch von Mail-Konten
vom Webspace abgezogen wird.Bedient man als Webmaster alsoviele Personen mit dem Mailservice und belassen diese ihreempfangenen Anhänge auf demIMAP-Server, kann es schnellsehr eng werden. Besser ist esalso, wenn die Mail-Accountseinen fest definierten Rahmenan zusätzlichem Platz spendiertbekommen.
IP-Datentransfer-Beschränkun
gen weichen bei den Webhostern angesichts extrem günstigerTraffic-Einkaufspreise mehr undmehr den Flat- beziehungsweiseUnlimited-Angeboten. Bei domainFactory, Goneo und Lycosgilt das bereits für die Angebotean der unteren Preisgrenze.50 bis100 GByte Traffic-Volumen proMonat erscheint uns für eineAmateur-Website ausreichend;falls das Freivolumen einmal gesprengt wird, zahlt man eben für
Bis auf die Pakete von domain
Factory und Host Europe enthalten alle ausgewählten Angebotemindestens eine freie Domain.
Als vollwertige Leistung kanndas Domain-Hosting erst gesehen werden, wenn es dem Kunden Flexibilität garantiert. Möchte dieser zum Beispiel die unterder Domain laufenden Mailservices nicht mehr vom Hoster, sondern einem Drittanbieter betrei
ben lassen, muss er Zugriff aufden MX-Record innerhalb der fürdie Domain eingetragenen DNSRecords haben, um dort den nunzuständigen Mailhost eintragenzu können. Erfreulicherweise gestatten neuerdings fast alle Webhoster diesen Zugriff. Volle Flexibilität erhält der Kunde allerdings erst, wenn er auch den zurDomain gehörigen Nameserver(NS)selbst bestimmen darf, etwaum die Domain vom vorhande
nen eigenen Nameserver auflösen lassen zu können.
Einen Shell-Zugang via SSHbietet in den preisgünstigen Angeboten keiner der Provider. DerZugriff auf den Webspace erfolgtalso grundsätzlich via FTP.Sinnvoll ist es, wenn jeder FTP-Zugang vom Webmaster auf einbestimmtes Verzeichniss plusUnterverzeichnisse beschränkt
werden kann. Zugänge mitunterschiedlichen Log-ln-Datenkönnen den Webmaster von ad
ministrativen Aufgaben befreien,sofern mehrere Personen unter
schiedliche Projekte auf der Sitehosten, die beispielsweise mitverschiedenen Subdomains erreichbar sind. Aber auch, um jemandem temporär Zugriff aufeinen beschränkten Verzeichnis
bereich zu geben, bietet sich einseparater FTP-Account an.
Um vor Lauschangriffen geschützt zu sein, sollten FTP,WebFrontend und E-Mail grundsätz-
Mehr Flexibilität
gedruckten. Der Betrieb der Listekann schnell zur Kostenfalle wer
den, denn ist das geringe Freivolumen im laufenden Monat ver
braucht, langt domainFactoryrichtig hin und berechnet 3 Europro 100 MByte nach.
1&1 lässt seinen Kunden dieWahl zwischen Virenschutzund Virenschutz. Warum jenerfür zusätzliche 1,99 Euro diebessere Wahl sein soll, bleibtim Dunkeln.
~2
]@-
diesen Monat etwas mehr für denBetrieb der Webseiten. Zu beach
ten ist allerdings, dass in allerRegel auch der anfallende MailTraffic in die Kalkulation einbezo
gen werden muss.Bekommt man wie bei 1blu,
AII-Inkl, oder Hetzner weniger als50 GByte Freivolumen, muss mandarauf achten, nicht allzu vieleBesucher auf die Site zu locken.
Hetzner und 1blu bieten gerademal 20 GByte Traffic inklusive an.Geht man in einer Beispielrechnung niedrig kalkuliert davonaus, dass jeder Site-Visit durchschnittlich 500 KByte Transferverursacht, käme man folglichauf kostenfreie 40 000 Visits proMonat. Heruntergebrochen bedeutet das gerade mal einenWebsite-Besuch pro Minute. Undbei mehr Besuchen kann es
schnell teuer werden, jedes weitere GByte kostet bei Hetznerimmerhin einen Euro. Dies ist bereits der kurz nach unserer Anfra
ge gesenkte Preis,zuvor verlangte Hetzner fast das Dreifache.
Der Neukunde sollte sichaußerdem darüber informieren,ob neben dem Website-Datenverkehr auch sämtlicher andererTraffic, etwa der MailpostfachAbruf, im Freivolumen enthaltenist. domainFactory etwa bietetzwar eine Traffic-Flatrate, schließthier aber Datenaufkommen, dasdurch eine eingerichtete MailingListe verursacht wird, aus. Hiersind gerade mal 25 MByte proMonat frei, erfährt man im Klein-
~
aeslellenOZ\lSaIZIiCheIVtrt'nschut:
Premlum-VIIenSChut:, :w Tage kostenlos·, danach 1,99 eUR pro
"onatundproE-~II-Pos1fach
·Ef1JO.'8ge.T~k.!irnl'Uen!\IIIIproTo.roe~"'ArI$pfVCh~_tIen Atldefzwett.ne.mtl.rlgWrd~Alf!kelmlll~ff~TagGelßere-t~"'RKtnng~~
•••. 1""' •.•• "!I!i
E·W~I~Adlesse· Irl'llCMe~
OAnb-SP.AUaMMeren
[)::anoel\f'n(jt' E·Mal!svor$ol'be1en (nur ftJf II1iAP-POStfacher)
VelW(>tldungsatt 'E-Moll-Posttoch ~
Passwort· I (mlnd 1ZeKh""')
Puswort .•••·u!Qert'lolen· I (miM ll.etthenJ
VlrE'nSchuttOVil'enstl'lu::aktMl'len
1 &1 AAII-SPAM ElngeheMe Spam-E.M.iIl!S wtlcen e,reld In der'! Qrdner'Spamover'$.chobt'n auf cen Sie mit Ihrem Webm:;I1'~Oder e1nf'm
LItIAP.fahlg~ E·Mall Programm :Uore~n !<onnen rn
Werterlelklnganlegen? ~
Z~ZIIdW ..-an:&dU:z
legen Sie ft>sl. Wie Sie Ihre e-1II •. d-Adre$se Vl!'rWef'lCen mochten, PQP)..II!AAP·Pos.ltach,
e·Ma,I-WI!IIerle'tuno. F b- OCl~ SMg.w'!IIer!e,tu"O"'.
....
Neue E..Mall-Adresse erstellen
i ••••-I
'WIernod'llenSMckE-MIoI-Adresse~?ec.flIM'JenSoebslU)V~~saten""'heE~·MoMS~ t!I:tL-
~-~~~~_.._.__ .__._ ..
Setwr_VenAllWIg-,.•.•K~ion-'-""1&1VftrIle-Cef1lM
Rund um dieMnV81r •••
Sott •••. ~P.aI.welem
oe.f~~eNIHerI
'elVO/M"""",.tIb_nlOn
Ffftil;!
~HalJhi».F.-.J.j(<<tMt
Preisspanne
Die Preisspanne für WebauftrittAngebote mit ähnlicher Leistungist groß. Goneo hatte mit demStart-Paket für außergewöhnlichgünstige 1,25 Euro pro Monat einAngebot im Programm, was bereits unseren Anforderungen entsprach. Bei keinem der Webhoster mussten wir mehr als 10 Euromonatlich einkalkulieren, umWebspace mit Domain, PHP undMail-Service zu erhalten. T-Homeist bei Weitem am teuersten, dassich im gebotenen nominellenFunktionsumfang allerdings inkeiner Weise widerspiegelt.
Wer auf bestimmte Features
wert legt, sollte vor Vertragsabschluss klären, ob diese enthaltensind oder Zusatzkosten verursachen. Zum Beispiel AII-Inkl: Das"Privat"-Paket ist zwar mit 4,95Euro recht günstig, enthält aberteilweise nicht einmal Basisfunktionen. So verlangt der Providerfür die Spammail-Filterung 1,95Euro extra pro Monat, für die Nutzung des SSL-Proxysknapp einenEuro.Alles inklusive ist bei AII-Inklalso beileibe nicht. Der Nutzerfährt hier wohl auf Dauer meist
günstiger, wenn er gleich zum"Privat-plus"-Paket greift, das monatlich drei Euro mehr kostet.
Einen vergleichsweise gehobenen Preis veranschlagen dieMarktführer 1&1 und Strato. Klar,es gibt dafür das eine oder andere Gimmick mehr, aber ob es fürden Kunden nützlich ist, scheintmitunter fraglich. So bekommtman etwa bei beiden Hostern füreine Versand kosten pauschalevon rund sieben Euro ein großesSoftwarepaket nach Hause geschickt.
Tatsächlich enthalten die Pa
kete Programme, für die man imLaden viel Geld bezahlen würde.
Doch benötigt ein Neu-Webmaster tatsächlich sofort einen Profi
Webeditor vom Schlage einesAdobe GoLive 9, wie ihn Stratozum Paket zwangsbundelt? ImZweifelsfall sollte er da das von1&1 gelieferte Macromedia (ontribute 3 vorziehen, weil es fürHomepage-Novizen die bedienerfreundlichere Variante darstellt. Und ob er eine veraltete
Version des Bildbearbeitungsprogramms Photoshop Elementsbenötigt, darf ebenso bezweifeltwerden. Als Argument bei der
schaut, ob es bei den Hostern inder engeren Auswahl geradeSchnäppchen im Angebot gibt.
124 c't 2008, Heft 15
-------------~--..::!!=--~_1Report I Hosting: Angebote
Bedienung bitteJeder Hoster stellt den Kunden
im Web ein Menü zur Verfügung,mit dem sie Einstellungen anihrem Paket vornehmen können.
Vorbildlich: Gibt es
Probleme mit PHP-Skripten,darf der Kunde bei HostEurope im Menü wichtigePHP-Umgebungsparameterindividuell anpassen.
nahme war 1blu: Unserem Skriptwurde reproduzierbar nach 20bis 25 Sekunden das Lebenslicht
ausgeblasen. Dies ist für komplexere Anwendungen eindeutig zu wenig. Man denke an eineaus vielen Einzelelementen dynamisch gebaute Website.Hängt dahinter noch eine lahmeDatenbank, kann der Aufbauschon einmal länger als einehalbe Minute dauern. Bei unserem 1blu-Paket hätte der Besucher statt der Seite eine kryptische Fehlermeldung zu sehenbekommen.
Erst in Verbindung mit einerDatenbank wird PHPzur vollwertigen Umgebung für dynamischeInhalte. Bis auf domainFactoryzeigen sich alle Hoster in der Auswahl auf aktuellem Stand und
bieten mindestens eine MySQLDatanbank in Version 5 an. Der
Provider aus Ismaning lässt lediglich die Wahl zwischen den beiden veralteten Versionen 3 und 4.
Die Entwickler von MySQL selbstempfehlen aber seit geraumerZeit, auf Version 5.0 oder 5.1 umzusteigen, sie haben die Weiterentwicklung der alten Versionenlängst eingestellt. Fans der Alternative PostgreSQLdürfte es freuen, dass wenigstens Hetzner alseinziger Provider in der Auswahldie Wahl zwischen MySQL undPostgreSQLlässt.
Ungern informieren die Hosteroffenbar darüber, dass der Platzin der Datenbank keineswegsunbeschränkt ist. In aller Regelwird die Datenbank zum ver
brauchten Webspace gerechnet.Je stärker sie folglich anwächst,desto weniger Platz bleibt in imWebspace-Verzeichnis für dieWebsite. Lediglich 1&1 verfährtanders und gewährt genau 100MByte zusätzlich zum Webspacefür die MySQL-Datenbank. Das istnicht gerade üppig bemessen.Von dem Vorhaben, ein Bilderoder Video-Blog einzurichten,sollte man hier eher absehen.
.-~.-
PHPhilft wenig, wenn die Serverumgebung dermaßen beschnitten ist, dass komplexe Anwendungen regelmäßig an dieGrenzen stoßen und abbrechen
(genauer siehe Seite 130). Idealerweise wählt der Webhoster einedefensive Voreinstellung, mit derer andere Kunden und den Webserver schützt, gestattet aberNachjustierungen an der Umgebung durch den Kunden. Vorbildlich haben dies Hetzner und
Host Europe gelöst: In einemUntermenü darf der Kunde - mit
Hilfetexten geleitet - seine PHPKonfiguration in wichtigen Punkten selbst ändern.
Wichtig für den Kunden ist eszu wissen, wieviel Laufzeit seineSkripte mindestens eingeräumtbekommen, bevor der Server sieabbricht, um des System zuschützen. Außerdem benötigenbestimmte Skripte, beispielsweise beim (ontent Management System Typ03, zugesicherten Hauptspeicher für die Ausführung. Genau diese wichtigenAngaben lassen aber viele Provider vermissen. Nur vier Hoster
gaben uns verbindliche Angaben zu beiden Parametern,Goneo wenigstens zur Laufzeit.
Um dennoch einen Anhaltswert zu bekommen, luden wirein Testskript auf die Server, dasdie Zeit bis zum Abbruch misst.Und siehe da: Meist liefen die
Skripte sogar länger als vomHoster zugesichert, auf jedenFall aber mindestens akzeptable60 Sekunden. Die einzige Aus-
I.-AWm..1!W.t!>..-JIldtm..•.•....JIldtm
S"rv,,,t.nd.rd ~ !IlIt1mc:oMmlphp$ p~ php' php • t!tSI..tm
C9iplp,lhrto ~~
::::=~'.:~~d'x.lhtmlll'\d•.l:.Dnp ~ ~
.~..-~ V."""."'~.n~.nlnt>."
",.
.• W.b6"WlI!fldtUlll&n
.• ~An,j.•rd.'.M.il.Allr••"u'''rlfIot.Plft",t ••lluluu,n
• AIIo&mai!w1lIWIWl~.dtUfl6I'1ttH1 fI•W!i.u
o PHPSuhOlln APG M." V.,.
OPHP$·ht.nfionf.in.tell.n
°CGI·l!mntionf'lnftelle"
o DirtctOl'1tnd''''ln.ttll.''
Eln.tellung Ist.tul.PHP·!fTOrf Im~"r.usQ'tb.n.PHP·RtOi,tel"Globll, S'l"Ym~ndard
• PHP·M.qtC-QloIOtu·GPC hrv ••••u.nderd
• PMP·Z.nd·ZU·Komp~bit.ut hrvmt.rId.,d0, PMP'A'oil~'LOno·Arn,. S••••••• rfUlr'ld.rd
o PH'.S,Ulon'Un·Tr,ns.SIO hrv.rtt.nd.rd• PI1P·AIIoooI·C••••T_·Jlu.·A.t.,..nu Se"",,"u,nd..-d
• P"P·M,$QL·$.~·I00~ s.rv •••.•t.tl'ld.rd
• 'HP Suho$lt'I S •• SOOft !l\C'r'fobon S.rY •••.•~ndard
• PHP Suho'ln ~. Prote~on
Admlnl\lratJon> webhostlng > 1109535> Skripte > Skript-Einstellungen
logout
-ProGl,lkt.
-I(ynd,nko/'lto
....•forum
....•"1~eme"'.1
Skriptsprachen
Bei unserer Auswahl gingen wirdavon aus, dass der Neukundenicht nur statisches HTML in sei
nen Webspace packt, sondernauch zeitgemäße Anwendungenwie (ontent Management Systeme, Blogs, Foren oder Wikis präsentieren will. Egal, ob er nuneine 1-Klick-lnstallation des Hosters wählt (siehe Seite 134) oderselbst Hand anlegt: Um dieSkriptsprache PHP wird er kaumherumkommen. Perl hat in diesem Bereich stark an Bedeutungverloren, dennoch ist es wünschenswert, dass (GI auf demServer zur Verfügung steht.Immerhin verzichten mit 1&1,Goneo, Hetzner und Lycos fastdie Hälfte der Hoster darauf.Denkbar ist, dass sie darin eineMöglichkeit sehen, ihre Servervor wild laufenden Perl-Skriptenzu schützen.
Innovative Webentwickler werden bedauern, dass die stark aufkommenden Alternativen Pythonund Ruby bisher wenig Unterstützung von den Hostern erfahren. Besonders in den unterenPreisklassen sind diese Skriptsprachen kaum anzutreffen. Vonden zehn Webhostern in unsererAuswahl bietet lediglich HostEurope in seinem WebPack M dieMöglichkeit, Python- und RubySkripte vom Webserver ausführen zu lassen.
liert der Hoster im Kundenmenükein Wort.
Zu einem Webspace-Paket gehört grundsätzlich auch ein andie Domain gekoppelter Mailservice. Mindestens SO, besser 100eigene Postfächer sollte der Hoster schon gewähren, damit mandie Familie, den kleinen Betrieboder den Sportverein mit Adressen und eigenen Accounts versorgen kann. Damit das Postfachnicht bereits nach dem Empfangvon ein paar Bildern und MP3süberläuft, benötigt es genügendKapazität. Ein hartes Limit von lediglich 25 MByte, wie es Host Europe vorgibt, erscheint da eherals schlechter Witz. Sogar die 1beziehungsweise 2 GByte großenPostfächer von Strato und 1&1können schnell voll sein, dannnämlich, wenn der Nutzer seineMails nicht herunterlädt, sondernmittels IMAP auf dem Server ver
waltet. Apropos: Erfreulicherweise lassen sich die Mails bei
allen geprüften Hostern sowohlvia Web-Frontend als auch perPOP3und IMAPabrufen.
Dass AII-Inkl, wie bereits kurzerwähnt, als einziger für dieSpam-Filterung dem Kunden zusätzlich in die Geldbörse greift,scheint kaum akzeptabel. Angesichts der täglich einprasselndenSpam-Massen gehört ein vernünftiger Müllfilter zum Basisdienst für den Nutzer. Ein zusätzlicher Virenschutz bietet ein Plusan Sicherheit, erscheint uns aberverzichtbar, sofern die Mail-Nutzer umsichtig agieren. 1&1 lässtbei der Einrichtung eines MailPostfachs die Wahl, ob der Account mit einem "Virenschutz"oder einem "zusätzlichen Virenschutz" versehen werden soll.Letzterer muss wohl viel besser
sein, schlägt er doch mit 1,99Euro monatlich zu Buche. Wirkönnen da aber nur spekulieren,denn zu den Unterschieden zwischen den beiden Varianten ver-
Nachrichtenwert
lich sicher verschlüsselt nutzbar
sein. Bei einigen Anbietern ist esnicht einmal drin, den Zugriff aufdie Webpräsenz für die Besucherzu verschlüsseln. Wenigstensein Proxy, der SSL über eineZwischenstation ermöglicht, sollte Pflicht sein. Die Provider behandeln das Thema Verschlüsse
lung und Datensicherheit fastdurch die Bank aber recht stiefmütterlich. Diesem Thema widmen wir uns daher ausführlich in
eigenem eigenen Artikel abSeite 130.
c't 2008, Heft 15 125
Report I Hosting: Angebote
Webhosting-:-Rakete.<,
v' v'-v'v'v'
v' (11 Euro)- (100 €/Technikerstunde)
k. A.
99%99%99,90 %99,80%
k.A.
k.A.k.A.90 sec.60 sec.
k.A.
k. A.k. A.13 MBytek. A.
14 Ctlmin
OrtstarifOrtstarifkostenfrei14 Ctlmin~ o.i- -- -1 Monat keine1 Monat2 Monate
12 Monate
1 Monat6 Monate12 Monate
2,90€
4,95€6,95€1,25€
16,90€
,-,14,95€>4,95€4,95€
!Iaut Herstellerangabe
100 500unbegrenzt100
v'/v'/v'
v'/v'/v'v'/v'/v'v'/v'/v'
5 GByte gesamt
Teil des Webspace5 GByte gesamt2 GByte gesamt
v'
Iv' v'v'v'
v'v'v'v'
- (1,95 €/Monat)v'v'v'
v' (separate Traffic-Berechnung)-
v'
v'v'4,5
4,54,54,5---
---
2 My5QL 4, 55 MySQL 4, 51 My5Ql3.41 My5Ql5
Teil des Webspace
Teil des WebspaceTeil des WebspaceTeil des Webspace
v'v'v'v'
v'- (0,95 €/Monat)
Goneo
Homepage Start
www.goneo.de
01805/911522
domainFactory
MyHome Dynamic
www.domainfactory.de
08 00/3 23 98 00
AIHnkl
AII-Inel Privat
www.all-inkLde
035872/3 53 10
1blu
Homepage Power
www.lblu.de
030/20181000
4,5
v'
Photoshop Elements 5.0,
Ulead GIF-Animator 5,
Macromedia Contribute 3,
Hello Engines! Standard 6
1 GByte
2
100
100 GByte
- (aber Auto-Paket-Upgrade)
2
v'v'
- (4,99 €/Monat)
v'
1&1
Homepage Perfect
www.lund1.de
0180/5001535
1 MySQl4, 5
100 MByte
v'
200
v'/v'/v'
2 GByte/Account,
25 GByte gesamt
v'v'v'v'
Kommunikation
Anzahl E-Mail-Konten
POP/IMAP/Webmail
Mailspace
Anbieter
Produkt
Webadresse
Telefon
Grundausstattung
Webspace
Enthaltene Domains
Subdomains
maximaler Transfer pro Monat
Kosten fiir Überschreitung des
Transferlimits
Anzahl FTP-Zugänge
FTP-Nutzer-Verzeichnisse
SSL -Proxy
SSl-Zertifikat inkL
DNS-Record-Zugriff
Nameserver änderbar
Verzeichnisschutz (htaccess)
Software inklusive u. a.
Mail-Weiterleitung
Catchall-Funktion
Provider- Spam-Filterung
Mailinglistenverwaltung
Entwickerfunktionen
Perl
PHP (Version)
Python (Version)
Ruby (Version)
Datenbanken (Versionen)
max. Größe pro Datenbank
Server Side Ineludes
Frontpage Extensions
Cronjobs
SSH-Shell
Videostreaming
Service
Tägliches Backup!
Kundenzugriff auf Backup!
garantierte Verfiigbarkeit1
zugesicherte Skript-Laufzeit'
zugesicherter RAM-Speicher pro Skript'
Kosten Telefonsupport
Vertrag
Kündigungsfrist
Mindestvertragslaufzeit
monatliche Gebühren
Setup-Gebühr (einmalig)
v' vorhanden - nicht vorhanden
I!I
Meist ist es unterteilt in Domain-,E-Mail und Entwicklerfunktionen. Hier findet sich, wenn vorhanden, auch ein Web-FTPClient, mit dem sich mal ebenschnell eine Datei hochladenlässt.
Als Faustregel unter UsabilityExperten gilt: Je umfangreicherdie Funktionspalette, destomehr leidet die Übersicht. Dassdies nicht zwangsweise so seinmuss, beweisen Host Europe,
Goneo und Strato: Die Webmaster-Kommandozentralen dieserProvider sind logisch strukturiertund wirken aufgeräumt. Bei 1&1stört lediglich, dass hin und wieder Funktionen angeboten werden, die sich nach dem Klick darauf lediglich als Upgrade-Angebote entpuppen. Das Frontendvon domainFactory bietet jedeMenge Informationen und Einstell möglichkeiten, darunter leidet aber stark die Orientierung.
Bisweilen fanden wir Untermenüs nicht mehr wieder oder
landeten plötzlich an ganz unpassender Stelle.
Einfach gestrickt, aber übersichtlich präsentieren sich dieKundenmenüs von AII-Inkl, Hetzner, Lycos und 1blu. Beim WebFrontend von 1blu vermisstenwir allerdings erklärende Hilfestellungen. Wenn etwa einKunde, der sich erst einmal umsieht, zur Einstellung des Name-
servers gelangt, wird ihn sicherlich interessieren, welche Vorteileihm daraus erwachsen. Er solltesich tunlichst an die Warnunghalten, die 1blu wenigstens angebracht hat: "Bitte behalten Siein Zweifelsfällen die GrundeinsteIlungen beL"
Service
Um den Kunden Datensicherheit zu gewähren, sollten die
126 c't 2008, Heft 15
Report I Hosting: Angebote
2 GByte 500 MByte1,5 GByte500 MByte1 GByte
1
- (ab 0,50 €/Monat)133
300
100unbegrenzt4020
20 GByte
50 GByte100 GByte50 GByte100 GByte
0,99 €/GByte
0,19 €/GByte3,99 €/GByte- (Upgrade-Vorschlag0,51 Ct.!GByte
von Support)6
10101
vv'v'v'
v' - (ab 99 €/Jahr)
- (150 €/Jahr)
vv'v'v'
V
-v'
V
-v'v'v'
Adobe GoUve 9, Adobe Photoshop Elements 6,Steganoslntemet Security 2008,0&0 Disklmage
v'
v
v'v'v'
vv'v'v'
99,90 %
99,90%96%99%
k.A.
30 sec.30 sec.120 sec.
k.A.
32 MByte16 MByte32 MByte
Ortstarif
kostenfrei14Ct.!min14Ct.!min
1 Monat
1 Monat1 Monat1 Monat
1 Monat
12 Monate12 Monate24 Monate
4,99€
2,99€6,95€3,99€
9,90€
14,99€,9,90€14,90€
Webhoster am besten täglichein Backup von Webspace, Datenbanken und E-Mail-Accountsfertigen. Tatsächlich behauptetjeder Hoster, dies auch zutun. Dass im Ernstfall ein Restore nicht immer funktioniert,belegte vor einiger Zeit 1blu [1]:Durch einen Hardwareausfallwaren die Daten von rund1000 Kunden verschwunden.Ein Wiederherstellungsvorgangmisslang, sodass die Kunden auf
aktualisierte Backup-Historie vonWebspace und Datenbanken.Der Kunde kann sich jederzeitbeim Backup-Server einloggenund aus den Snapshots das Passende heraussuchen. Sogar dieWiederherstellung einzelner Dateien, egal ob sie nun vor einerStunde oder vor 30 Tagen gesichert wurden, gelingt so problemlos.
Literatur
[1] Holger Bleich, Julian Höppner,
Eingelagert im Web, Was Providerund ihre Kunden gegen Datenverlust tun, c't 10/08, S. '68 cTI:
Fazit
Der Webhosting-Neukunde erhält bei den deutschen Anbietern eine Menge Leistung fürvergleichsweise kleines Geld.Schon für 1,25 Euro pro Monatlassen sich bei Goneo dynamische Inhalte unterbringen, dieper PHP und angeschlossenerDatenbank von Skripten zusammengebaut werden können.Entwickler, die Wert auf eine flexible Umgebung legen, sind beiHost Europe bestens bedient:Für 2,99 Euro erhalten sie Webspace, der sogar mit den alternativen Skriptsprachen Python undRuby umgehen kann.
Sieht man von der Telekom ab,die es nicht schaffte, uns im Testzeitraum einen funktionierenden
Hosting-Account zur Verfügungzu stellen, verrichteten alle Pakete die zugesicherten Leistungen.Wie der Test auf Seite 130 ergab,schränkt allerdings Lycos dieFähigkeiten der PHP-Schnittstelleso gehörig ein, dass sie in vielenFällen kaum noch zu gebrauchenist. Vorbildlich ganz im Unterschied dazu Hetzner und HostEurope: Hier lassensich möglichePHP-Einschränkungen sogar überdas Kundenmenü individuellaufheben.
Geärgert haben uns die meisten Hoster mit der Unsitte, realePreisangaben und sonstige fürden Kunden unangenehme Vertragsbestandteile im klein undkontrastarm dargestellten Sternchentext zu verstecken. Bisweilen gewannen wir den Eindruck,dass hier der Neukunde sogarbewusst in die Irre geführt werden soll. Nur Hetzner, AII-Inkl undT-Home zeigten sich als zuvorkommende Vertragspartner undwiesen Preise prominent platziert und sternchenlos aus. (hob)
1 Monat
12 Monate
9,99€
14,99€
k.A.
k.A.
k.A.
14Ct.!min
1 MySQl4, 5
Teil des Webspace
v'
4,5
103
v'/v'/v'
5 x 1 GByte,
die anderen 50 MByte
v'v'v'
Service akzeptable 11 Euro,Goneo dagegen stolze 100 Europro Technikerstunde, wobei völlig unklar ist, wie lange ein Techniker von Goneo mit einem Restore-Vorgang beschäftigt seinkönnte.
Eine bessere Backup-Lösungals die von Strato ist am Marktnicht vorhanden: Basierend aufeiner Technik des Storage-Herstellers NetApps fertigt der Hoster vollautomatisch eine ständig
1 MySQL5
Teil des Webspace
v'
v'
4,5
100
v'/v'/v'
1 GByte/Account
4,5
2 MySQL5
Teil des Webspace
v'v'v'
2S0
v'/v'/v'
Teil des Webspace
ihre eigene Datensicherung angewiesen waren.
Ideal ist es, wenn der Hosterseinen Kunden die Möglichkeitgibt, bei individuellem Datenverlust ein Restore selbst anzustoßen. Mit AII-Inkl, Hetzner undLycos versicherten uns immerhindrei Hoster, dass eine Nachfragebeim Support genüge, um kostenlos an die vom Provider gesicherten Archive zu kommen. do
mainFactory verlangt für diesen
v'5
2.5
1.9.0
2 MySQL5
Teil des Webspace
v'
100
v'/v'/v'
3 GByte gesamt,
25 MByte pro Account
v'v'v'
4,5
1 MySQL4, 5 oder Postgre5QL
Teil des Webspace
v'
vvv'
SO
v/v'/v'
2 GByte (Teil des Webspaces)
c't 2008, Heft 15 127
Report I Hosting: Geschäftsbedingungen
RonnyJahn
Unzulässige Klauseln in Geschäftsbedingungenvon Webhostern
Vertrag ist Vertrag
Allgemeine Geschäftsbedingungen von Webhosternsind meist ellenlang, kompliziert formuliert undstrotzen noch dazu vor juristischen Fachbegriffen.Kein Wunder, dass viele Neukunden nie einen Blickhineinwerfen. Sie nicken Texte ungesehen ab, dieoft gespickt sind mit unzulässigen Klauseln undschwammigen Formulierungen, wie unsereStichprobe zeigt.
Ihr besonderes Augenmerk sollten Kunden darauf lenken, ob indem Hosting-Vertrag eine Traffic-Begrenzung vereinbart wird.Die Tarife einiger Anbieter enthalten eine Regelung, wonachder Monatspreis ein bestimmtesDatentransfervolumen ohne Zusatzkosten enthält (siehe TabelleS. 126). Was geschieht nun,wenn die Website einen größeren Zulauf hat als vom Betreibererwartet? Dies wird von den Anbietern unterschiedlich geregelt.
1blu behält sich beispielsweise das Recht vor, den Vertragohne Weiteres zu kündigen,wenn der Inklusiv-Traffic einenMonat lang um zehn Prozentüberschritten wird. In den Ge
schäftsbedingungen räumt sich1&1 hingegen das Recht ein, denKunden auf einen Tarif umzustellen, bei dem ein entsprechendes Datenvolumen enthalten ist. Der Kunde wird über die
sen Vorgang lediglich informiertund soll ab dem Zeitpunkt derUmstellung den Preis für diesenTarif zahlen. Beide Variantensind unzulässig: Die einmaligeÜberschreitung des vertraglichvereinbarten Traffics kann wedereine außerordentliche Kündi-
Vertragspartner die Fortsetzungnicht zugemutet werden kann(siehe Paragraf 314 BürgerlichesGesetzbuch, BGB). Die Anbieterregeln oftmals in den Geschäftsbedingungen, was in ihrenAugen ein "wichtiger Grund" indiesem Sinne ist. Ein solcher - soheißt es bei einigen' Providern soll beispielsweise vorliegen,wenn der Kunde "für zwei aufeinanderfolgende Monate mitder Bezahlung eines nicht unerheblichen Teils des Rechnungsbetrags in Verzug" ist.
Allgemeine Geschäftsbedingungen müssen aber transparentgestaltet sein. Das bedeutet, dassdie Voraussetzungen und Rechtsfolgen einer Klausel so klar undpräzise wie möglich beschriebenwerden müssen und dem Unternehmer kein ungerechtfertigterBeurteilungsspielraum eingeräumt werden darf. Wann ein"nicht unerheblicher Teil desRechnungsbetrags" vorliegt, wäreim Streitfall jedoch von der Einschätzung des Providers abhängig, sodassvon einer transparenten Regelung nicht gesprochenwerden kann. Derlei Klauseln sind
deshalb höchst fragwürdig.
Traffic-Fallen
laufzeit-Fesseln
Die Geschäftsbedingungen fastaller Provider enthalten auch das
Recht zur kurzfristigen, einseitigen Kündigung. Ohne Weiteresist dies nur bei Verträgen möglich, die auf unbestimmte Zeitohne besondere Laufzeit geschlossen wurden. Die meisten
Verträge enthalten aber eineLaufzeitregel, sodass eine ordentliche Kündigung erst nachAblauf dieser Laufzeit erfolgendarf. Hieran muss sich nicht nurder Kunde halten, auch der Anbieter ist an diese Laufzeit gebunden. Dies scheint einigenAnbietern nicht zu gefallen.
So regelt der Webhoster 1&1in den AGB, dass er den Vertragjederzeit mit einer Frist von vierWochen beenden darf. Auch
Lycos behält sich das Recht zurjederzeitigen Kündigung vor, sofern dies "geboten erscheint".Während der Kunde also bei die
sen Angeboten für zwölf Monatean den Vertrag gebunden seinsoll, wird ihm selbst jegliche Planungssicherheit verwehrt. DiesesUngleichgewicht zu Lasten desKunden stellt eine unangemessene Benachteiligung dar undwürde daher mit hoher Wahrscheinlichkeit von Gerichten alsunzulässig bewertet werden.
Das Recht zur außerordentlichen Kündigung vor Ablauf derMindestvertragslaufzeit bestehttatsächlich nur dann, wenn einsogenannter "wichtiger Grund"vorliegt und dem kündigenden
Begrenzung einzufügen. DerBundesgerichtshof hat daher imletzten Jahr entschieden, dassderartige Klauseln unzulässigsind (Az. 111 ZR 63/07). Eine Vertragsänderungsklausel darf demzufolge dem Verwender nichtdie Handhabe geben, das "Vertragsgefüge insgesamt umzugestalten und insbesondere dasÄquivalenzverhältnis von Leistungen und Gegenleistung erheblich zu seinen Gunsten zuverschieben".
Zeitraum an den Vertrag gebunden ist. Vielmehr können auchVertragsänderungen innerhalbdieser Zeit grundsätzlich nur einvernehmlich herbeigeführt werden. Der Anbieter darf also neuePreise oder eine Änderung derLeistung nicht einfach diktieren.Vielmehr müsste er mit den Kun
den eine Änderungsvereinbarungtreffen, ansonsten gilt das bei Beginn des Vertrags Abgemachte.
Die Provider stecken hier ausihrer Sicht in einem Dilemma: Siemöchten die Kunden einerseitslangfristig an sich binden, aufder anderen Seite wollen sie dieVerträge auch flexibel verändernund die Preise erhöhen können.Dieser Problematik entspringenPreisanpassungs- und Leistungsänderungsklauseln, die über dasrechtlich zulässige Maß hinausschießen. Alle derartigen Regelungen, die wir gefunden haben,waren unzulässig.
Häufig lasen wir etwa Klauseln, nach denen eine Vertragsänderung dadurch herbeigeführt werden soll, dass der Provider den Kunden über sein Änderungsvorhaben informiert undihm eine Frist für den Wider
spruch setzt. Versäumt derKunde diese Einspruchsfrist, sollder Vertrag nach den geänderten Bedingungen weiterlaufen.Grundsätzlich ist das zwar eingangbarer Weg, die Klauselnwaren hier jedoch so weit gefasst, dass sie dem Anbieter dasRecht einräumen, sowohl Leistung als auch Gegenleistung inerheblichem Umfang zu ändern.
So wäre es nach diesen Regelungen für den Anbieter möglich, den Preis kurzerhand zuverdoppeln oder eine Traffic-
Preis-leistungs-Bindung
Für die meisten der geprüftenVerträge gilt eine Mindestlaufzeit.Dies hat jedoch nicht nur zurFolge, dass der Kunde für diesen
Bequem und ganz ohne Medien bruch lassen sich mitfast allen Webhostern Ver
träge in Sekunden schnelle online schließen. Der Kunde muss
sich nur mit den AllgemeinenGeschäftsbedingungen (AGB)einverstanden erklären, indem erein kleines Häkchen setzt. Kaumeiner macht sich die Mühe, dieses bindende Vertragsbeiwerkvollständig durchzulesen.
Kein Wunder, sind doch dieGeschäftsbedingungen oft ellenlange Aneinanderreihungen vonKlauseln, die für den juristischenLaien unverständlich bleiben.
Zum Beispiel 1&1:DerWebhosteraus Montabaur quält seine Neukunden mit sage und schreibe 40KByte AGB-Text.Dasentspricht inetwa sechs c't-Seiten ohne Abbildungen. Wie noch zu erörternsein wird, verbirgt sich mancheüberraschende Passagedarin.
Wir haben die AGBjener zehnWebhoster durchgesehen, die wirin die Marktübersicht auf Seite
122 aufgenommen haben. DasErgebnis ist mehr als ernüchternd: Die Geschäftsbedingungen aller zehn Provider enthaltenunzulässige Klauseln. Dabei handelt es sich keineswegs nur umkleine Fehler. Es betrifft auch Re
gelungen von erheblicher Bedeutung, in denen sich die Anbietersehr weitgehende Befugnisseeinräumen und umgekehrt dieInteressen der Kunden unangemessen benachteiligen.
128 c't 2008, Heft 15
Report I Hosting: Geschäftsbedingungen
102
10.:1
10.5
10.4
Fazit
Beim Abschluss von Webhosting-Verträgen gilt für den Neukunden: Drum prüfe, wer sichlange bindet. Das verbraucherfreundliche BGBsieht zum Glückvor, dass Klauseln auch nach Annahme des Angebots unwirksamsein können. Es_gilt: Der Kundehat eine Erwartungshaltung, dieim AGB-Beiwerk nicht unterminiert werden darf. Geschieht diesdennoch, ist die entsprechendeRegelung überraschend unddamit nichtig.
Sieht sich der Kunde in seinenRechten beschnitten, sollte erzuerst eine Einigung im Gutenmit dem Provider anstreben.Zeigt der sich bockig, hilft oft nurnoch der Gang zur Beratungsstelle der örtlichen Verbraucherzentrale oder gar das Konsultieren eines auf Vertragsrecht spezialisierten Rechtsanwalts. (hob)
das Recht, den Vertrag zu stornieren, ohne sich an die Widerrufsfrist halten zu müssen.
Anders sieht es aus, wenn erdie Dienstleistung zwischenzeitlich bereits genutzt hat. Bekommt er im Anschluss an dieBestellung den Serverplatz zurVerfügung gestellt und überträgt erste Website-Daten, istsein Widerrufsrecht erloschen.
Allein die Einrichtung eines Kundenkontos und das Einloggen inden Kundenbereich genügt hierfür jedoch nicht, denn dies sindbloße Vorbereitungshandlungen, bei denen vom Erbringender eigentlichen Dienstleistungnoch nicht die Rede sein kann.
Vielfach wird von den Providern dennoch behauptet, dasWiderrufsrecht sei unabhängigvon der Nutzung durch den Kunden schon deswegen erloschen,weil der Speicherplatz einfachnur zur Verfügung gestellt unddie Wunsch-Domain registriertwurde. Das ist mit den gesetzlichen Regelungen zum Widerrufsrecht kaum zu vereinbaren,wenn die beschriebenen Maßnahmen nicht auf ausdrücklichenWunsch des Kunden erfolgt sind.Nur in diesem Fallführt die Erbringung der Dienstleistung zum vorzeitigen Erlöschen des Widerrufsrechts. Im Rahmen der Bestellungfragt unserer Beobachtung nachkein Provider seine Neukundenüberhaupt nach diesem Wunsch.
Ronny Jahn ist Jurist bei der Verbraucherzentrale Berlin. cl:
-~~e·
kann der Provider grundsätzlichauch die durch die Sperre entstandenen Kosten zurückverlangen. Erdarf hier jedoch keine willkürlich festgesetzte Gebühr fordern, sondern muss sich an denbezifferbaren Kosten orientieren.
Widerrufsrecht
Nicht nur die AGB der überprüften Hosting-Provider enthaltenzahlreiche Fehler, auch mit demWiderrufsrecht nehmen es diemeisten Anbieter nicht allzu
genau. Webhosting-Verträgesind Fernabsatzverträge, sodassder Kunde seine Bestellunggrundsätzlich innerhalb vonzwei Wochen widerrufen kann,sofern er privat agiert und nichtGeschäftskunde ist.
Die Provider sind nicht nurverpflichtet, ihren Neukundendieses Widerrufsrecht zu gewähren, sie müssen vor dem Abschluss des Bestellvorgangs auchdarauf hinweisen. Von den zehnüberprüften Anbietern habendies lediglich drei berücksichtigt.Bei den übrigen Providern erfährt der Kunde im Bestellprozesszum Widerrufsrecht nichts. Wirder auch im Weiteren dazu nichtordnungsgemäß belehrt, hat er
10. Pflichten des Kunden
D!'r Kunde Ist vE!rpfll(hjE'l sem€' InternE't-8erte und· sofem d€'r 1&1 E-ShOP Oegensl3nd des Ver1laIJes Ist - semE'nInternet·Shop SOzu gestalten, d"SS eine Uberma~loe Bel1ls.\ung des Semfs, z B durCh CGI-Skllpte, d,€, ein€'
noheR ••thenlE'lstungerfoldemotleIUberdulch$ChmttllchVleIArbertsspelthelbeanspruchen,velmlt'denWlld 1&1 .,
1SI..b.P,",Pdl!II'II..SPJfPLl...tlli>Ji"OJ'Itu.opnAa!nrtl".tUDS!pn.DII".btoPlP.(.ht_tdPfL)l(Icn.ZI"Ulltduu:b..(jP~J1,.Qdo:>~
10.1
10.6
'"'"
~ __~.~m ~ !:.tvorW< ~~~
•• .,) . ~ ;;.j Q :Erhttp://_.h.r.::l\.rVoI><fIifortXor/Gt~;~soord-07!fllOC(03El868CB8fL·i ~1~:;':;>(4~
DeI Kunde vE!rpfilchlet SICh, \/On 1 &.1zum Z_c~e des lug ••ngs zu deren Dienste elha~ene Passworter $olleng
geh€'lmzu halten und den PfOVlder Ur1Vef21JgIIChZU u'Jlormleren, sob"Jd E'r davon Kenntl'us ellilngl,dilSsunbefugten DnU",n das Passwol'l b~kann1 ISI $ot1l",n rnfOlge VerSChllldE'nS d!'s Kunden Olltte durch MIssbl"lIcheiN Pa'>$WCII'I€'rleistungen von 1& 1 nu\Z€'n, na"et der KUnde gegenub€'1 1&1 1IufNut-ungsentgell undSch ••densersatz Der Kunde WIld daf ••uf hmgewt!'sen, dass es .hm oblii!9I. nacn jE'dem Arbe<!stag-, an dem d€"
Oa1€rnbestilnd durch Ihn t)ZN ,>eme Ertullunos- odel VernChtyngsgehilfenvt'filMertWIJlde, eme Dil1enslchefungdUIChzu1"yh,en,WObeiDalen.dleayfdenServernvon1&I,jIbgeleglsind.nICht"ufdlesensichelungsgt'spelchertwerden durfen. Der Kund€' hai eine vollstilndlge D••tenslchelung InsbE/sondere vor le(j",m BE/grnn von Arb"'llE.>n von
1&1 odervol (jt'r InSlÖllI••l,on von gell@lE.'rteIHard- oder Soltw ••le (jurcl\2ufuhlen Der Kunde teslet.m ubllg ••ngrundhch Jedes Programm 3ur Mangelfreiheit und Yerw ••ndtlarkert In seiner ~onkl ••len Sdua~on, bevor er m<! dE'ropE'ratrven Nutzung des progl ••mms beglnn1 DIes gilt auch rur Prog'amm€', d,€' er Im Rahmen d@IGewahllelslung
ynd der PIle!)€' von 1&1 elhalt Der KuMe Wild ausdruclchch darauf hmgl'Wles!'n, dass ber€'rts g€'rlngl\J!llgeVerand.:>rungen ••n der SOttw31E' dIe LautfahigkE'ct des gesamtt'n Sy$lems Meml1ussen kann
Der Kunde SICMn zu. cass ClI!! 1&1 von Ihm mngNelllen Dalen nthtJg und votlstandlg $Ino. EI vt'rpfllchlet sIch, 1&1
1ewE!lls unverzughch Ober Anderungen der mrtgeleillen Dal'!n zu untemthten und auf entspreChende Anfrage von1&1 binnen 15 Tilgen ab Zugang die a~1Uelle RI(htJQkeit erneut zu beslallgen. Dieses betrl1TlmstHlsonlJerE'• Name und p()$lahsche Anschrrn CIes Kund'!n• N ••me, post ••hsche Anschr.ft, E·M ••r~AdreS$e SOWl€'Tel€'fon- und T€'lef"~'Numm€'r des !€'chrJ'set1er\
AnspreChp ••rtn€,rSfur d,e Doma,n,• Nam€', postaliSChe AnSchnft, E·Miul·Adresse sOWIe Telefon- und Telef.;u-Nummer des admmISIUI,Y1>n
AnsprechpartnersfurdleDomatn$OWle• falls der KuMe eigene Name.Se~r $lellt lU$at!JICh die IP·Mress€'n des pnmaren und s€'kund8ren
Names€'rfflrs emschlleßllCh der Namen d,€'ser Server
('er Kundt' wrpflith\t>t Sith. ohhe ausdl\icl<llcht'S E'rriNstilndnis des jllWelllljen EmpfilOgefs ~erne E·hlails, die
WE'rbung entnallen,:U vE!lsenden Oder ve'sehdE.>n zu lassen DIes gilt msbesondE.>re d3nn, wenn dIe belte1fendenE-h1i1IIS mltjewe,ls olelchem Inh1l11miissenhilftvertHtrtetwerdr/'n (sog 'Spammln91 Verletz! der kunde dievorgenanntePlllth1,sOlsll&1 berethtJg1,denTalJlunver:ugllchzuspenen
Der Kunde hat m seine E-Milil F'ostracher eingehend •• N.achnchlen m r••gelrnaßlgen AbstiInden \/On hochsl ••.ns .•.,elWOChen abzurufen 1$.1 behal! SICh das Rechtvor, Nr den Kunden emoehende 1)l1Isonliche Nachrichten an deon
Absender ZUIUCkzu senc€'n, wenn die m den JeweIligen Tan1en vorgesehenen l<apaZl1atsgrenu-n ubel$chfltten$Ind some der Kunde ubel emen Zenraum von 2 Monaten ijber em E·Mall,Postfach w€'der E·Nall$ wrienden
nOCh E-Nalls von dl€'s€'m h€'runwllad€'n, $0 1$11&1 b€',echITg1, d'€'$€'s E-Mall·PosIf1lChZUel€.al<ll.l1€.r€.n D€'r Kund€'kanndasbelJofl'eneE·hlarl-Kontoellleu1aklMel€'n
tO 1&1 WebtMhrtg Urnere AGa Allgemen~ AGa 1.1.07111<1Firefox ~f8J
E·/IoI"'1 Pos1!'aCh€'r dUr1en ausschlleßbch fur dIe .l'.bwKldung von E-Mail·YelkehrvelW.e.ndetwerden.Eslst
msbesond€'re strikt untelSagl E·Mail Postf"cMI als Spelcherplat: fur "ndeIe Dateien und O"len;:u nutzen
den auf seiner Website gegengeltendes Recht verstoßen wird.Die Provider wollen damit verhin
dern, wegen möglicher Rechtsverletzungen der Kunden selbstin Anspruch genommen zu werden. Tatsächlich ist ein HostingProvider verpflichtet, rechtswidrige Inhalte zu sperren, sobald erKenntnis davon erlangt. Dahersind entsprechende Klauselnnicht zu beanstanden.
Problematisch wird es jedoch,wenn der Anbieter als Grund zurSperrung lediglich einen "Verstoßgegen die guten Sitten" nennt.AII-Incl will für solch einen "Verstoß" sogar eine Vertragsstrafevon 5000 Euro fordern. Nach denGeschäftsbedingungen von Lycosgenügt als Sperrgrund bereits,dass Inhalte "unangebracht" sind.Was ein "unangebrachter" Inhaltsein soll, bleibt im Dunkeln. Derartige Klauseln sind natürlich unzulässig. Die Anbieter dürfen dieSperrung nicht an irgendwelcheschwammigen Voraussetzungenknüpfen, bei denen es letztlichvon ihrem Gutdünken abhängt,ob eine Seite gesperrt werdenkann oder nicht.
Sofern eine Sperrung jedochberechtigt ist und der Kunde denSperrgrund zu verantworten hat,
Die AGB von 1&1 sind 40 KByte lang.-Nur ein Bruchteil derNeukunden dürfte die Geduld haben, sie zu studieren, dabeiverbirgt sich so manche Überraschung im Klausel-Kauderwelsch.
gung noch eine dauerhafte Vertragsänderung rechtfertigen.
Unzulässige DruckmittelEinweiterer Bereich,den Providerin den AGBoftmals unzulässig regeln, ist die Service-Verfügbarkeit.In den entsprechenden Klauselnheißt es meist, dass die Verfügbarkeit der Dienste nur insoweitgarantiert sei, als dies nach dentechnischen Voraussetzungenmöglich ist und kein Fall der "höheren Gewalt" vorliegt. Die Leistungserbringung soll auch dannnoch vertragsgemäß sein, wennes aufgrund von Umständenaußerhalb des Einflussbereichsdes Anbieters zu Beeinträchti
gungen der Dienste kommt.Im Zweifel würde dies also be
deuten, dass der Kunde seinenMonatsbeitrag auch dann zahlenmuss,wenn seine Seite nicht erreichbar ist und er keine E-Mailsempfangen kann. Eine solcheRegelung ist unzulässig. Zwarkann der Provider Schadensersatzansprüche des Kunden mitdem Hinweis auf ein fehlendesVerschulden zurückweisen. Erhat aber keinen Anspruch aufBezahlung, wenn die Vertragsleistungen nicht erbracht werden. Der Kunde kann die Gebühren vielmehr anteilig mindernoder sogar komplett verweigern,wenn der Ausfall länger, etwamehrere Tage, anhält.
Kommt der Kunde seinen
Pflichten in unberechtigter Weisenicht nach, hat der Provider einprobates Druckmittel: Er kannseineLeistung verweigern, indemer beispielsweise die Websitesperrt. Davon machen die Anbieter insbesondere dann regen Gebrauch, wenn der Kunde seineGebühren nicht zahlt. Die Geschäftsbedingungen der Anbieter enthalten oftmals Klauseln,die eine Sperre unabhängigdavon erlauben, wie viel derKunde dem Anbieter schuldet. Es
heißt dann sinngemäß schlicht:"Gerät der Kunde in Zahlungsverzug, kann der Anbieter sperren." Ein ausreichender Sperrgrund liegt aber nicht vor, wennder Kunde lediglich mit einemgeringfügigen Betrag, also etwaeiner Monatsmiete, im Verzug ist.In einem solchen Fall wäre dieSperrung unverhältnismäßig unddamit unzulässig.
Die Anbieter behalten sich
nicht nur bei Zahlungsverzug dasRecht zur Sperre vor, sondernauch für den Fall, dass vom Kun-
c't 2008, Heft 15 129
Report I Hosting: Sicherheit
I".,. ~ ...••• k,.._I~/. 't~ t
IO
Christiane Rütten
Webhosting-Pakete im Sicherheits-Check
Wir haben uns die günstigen Hosting-Angebote des ersten Artikels auch ausder Security-Perspektive näher angeschaut. Wie viel Sicherheit kann man erwarten?Ist sie für die Hoster selbstverständlich oder muss man sie sich erkaufen?
Schlüsselkompetenzeinem kurzen Blick in die Dokudes Providers mit der am prominentesten beschriebenen Upload-Methode auf den Server,und los geht es. Kaum jemanddürfte Zeit und Lust haben, sichlange mit den Eigenheiten desgemieteten Webspace auseinanderzusetzen. Wenn die Applikation läuft, ist das Ziel in derRegel erreicht.
Ein weiterer untersuchter Aspekt ist die Aktualität undGrundsicherung der Server-Systeme. Wichtige Indikatoren sinddas Alter von Kernel und PHPInstallation sowie die Voreinstellung der sicherheitsrelevantenPHP-Optionen. Tragen Kerneloder PHP-Umgebung ein Kompilierungsdatum, das ein halbesJahr oder länger zurückliegt,lässt dies auf Nachlässigkeit beiUpdates schließen. Die Wahrscheinlichkeit ist bei solchen Servern hoch, dass unerkannte Sicherheitslücken sowohl die Systeme als auch die darauf laufenden Anwendungen gefährden.
Ein großer Teil der Schwachstellen in PHP-Anwendungenlässt sich nur ausnutzen, wennder Server mit der PHP-Einstellung register_globals=onläuft. ImTestfeld stellten sie nur Host Europe und Strato auf das sicherereoff, was auf den Servern beischlecht programmierten Webanwendungen zu Problemenführen kann. Auf Nachfrage bestätigten uns beide Anbieter,
lässlich, wenn man nicht ausschließlich Sicherheitsexpertenzum Kundenkreis zählen darf.
Das Thema Verschlüsselungführt aber in fast jeder gesichteten Online-Dokumentation einNischendasein: Bestenfalls wirdes als separater Punkt abgehandelt, meist aber nur als eher belanglose Randnotiz, die manschon gezielt suchen muss. Beider Hälfte der untersuchten Hoster findet sie sogar überhauptkeine nennenswerte Erwähnung, und nirgends wird sie ausdrücklich empfohlen.
Von Anfang an gutNeben der Dokumentation der
Sicherheits-Features gilt besonderes Augenmerk den DefaultEinstellungen. Die meisten Kunden wollen einfach nur ihre Webanwendung laufen lassen, sei esein Blog, Forum oder Webshop.Die schubsen sie bestenfalls nach
schlüsselten Form, die gegensolche Angriffe gefeit ist: HTTPSfür den Webserver, IMAPS,POP3S und SMTPS für E-Mailsowie FTPS (FTP mit SSL) undSFTP(FTP über SSH)für die Dateiübertragung.
Allerdings verursacht Verschlüsselung durch die erhöhteProzessorlast einem Webhosterzusätzliche Kosten - Geld, dasdie Anbieter lieber einsparen,wenn die Kunden keine Verschlüsselung fordern. Das Testfeld ist daher alles andere als homogen. Dabei ist es keinesfallsso, dass bei den Premiumangeboten alles und bei den Billigangeboten nichts verschlüsselt ist.Allein der Vergleich der LowEnd-Angebote unter den Hostern förderte höchst unter
schiedliche Ergebnisse zutage.Eine gute, klare Dokumenta
tion, die die Kunden notfalls andie Hand nimmt und die Sicherheitskonzepte erläutert, ist uner-
Wer Anmeldedaten fürKundenmenü, Webanwendung oder seine E
Mails unverschlüsselt durchs Netzschickt, handelt sich leicht Unannehmlichkeiten oder gar Ärgerein. Und längst nicht immer gehtman über das vertrauenswürdigeNetzwerk daheim ins Internet:Blogging und Web-Shopping ausdem Frühstückscafe oder derE-Mail-Check am Bahnhof gehören für viele bereits zum Alltag.
Doch öffentliche WLAN-Hotspots arbeiten unverschlüsselt jeder in der näheren Umgebungkann die Funkdaten mitschneiden. Ähnlich problematisch istdie Situation in kabelgebundenen Universitäts- oder Firmennetzen, in denen es oft nicht absehbar ist, wer alles in demselben Netzwerksegment mitlauscht oder per ARP- oderDNS-Poisoning Unfug treibt.
Alle wichtigen Netzwerkprotokolle gibt es auch in einer ver-
130 c't 2008, Heft 15
dass es zu Beginn der Umstellung zu einem leicht erhöhtenSupport-Aufkommen gekommen sei. Andererseits berichteten aber auch beide übereinstimmend, dass die sicherereEinstellung inzwischen keinennennenswerten Zusatzaufwandmehr verursache.
BriefgeheimnisZu den Diensten der Hoster zähltaber nicht nur das Bereitstellenvon Servern für PHP-Anwendun
gen. Insbesondere gehören zujedem Angebot auch E-MailKonten, und in dem Bereichzählt Verschlüsselung per IMAPS,POP3S und SMTPS heutzutagezu den wichtigsten SicherheitsFeatures. Da die zuständigenServer zur Infrastruktur der Hoster zählen, sollten sie mit ordentlichen SSL-Zertifikaten eines ver
trauenswürdigen Herausgebersausgestattet sein. Nur mit denenist sichergestellt, dass man sichmit dem richtigen Server verbindet und Passwörter und Daten
nicht in falsche Hände gelangen.Wir sind jedoch bei einigen
Anbietern über selbstsignierteWegwerfzertifikate und sogarzum Servernamen unpassendeZertifikate gestolpert. Selbstsignierte Zertifikate sind wenigstensfür den Privatgebrauch noch hinnehmbar. Die meisten Mailer bieten die Wahl, das Zertifikat dauerhaft zu speichern, und sindfortan still, solange sich das Server-Zertifikat nicht ändert. Doch
unpassende Zertifikate sorgendurch wiederholte Fehlermel
dungen nur für Verwirrung undunnötige Unsicherheit. Solcheunprofessionellen Administrationsfehler haben in diesem Be
reich eigentlich nichts verloren.Auch bei der HTTPS-Verschlüs
selung der Webserver gilt es,zwei Einsatzfälle zu unterschei
den. Für private Anwendungenund kleine Anwendergruppengenügt eine Billigverschlüsselung mit einem selbstsigniertenZertifikat oder auch ein SSL
Proxy, der verschlüsselte HTTPSVerbindungen annimmt und perHTTP an den zuständigen Webserver weiterleitet. Beides würdeden Hostern kaum Aufwand undKosten verursachen, ist aberselbst bei den Premiumangeboten keinesfalls Standard. Wer hin
gegen kommerziell arbeitet,_benötigt für eine vertrauenswürdige Verschlüsselung in der Regelein ordentliches Zertifikat eines
c't 2008, Heft 15
anerkannten Herausgebers. Dochdas kostet Geld, und zwar je nachAnbieter bis zu mehrere HundertEuro im Jahr.
1&1
Aus Sicherheitssicht stellt 1&1 ein
ausgewogenes Angebot bereit.Insgesamt zählt die Online-Dokumentation des Anbieters zu denbesten im Test; auch in den meisten Sicherheitspunkten ist sie vorbildlich. SSL-Zertifikaten und der
Konfiguration verschlüsselter
SSL und TLS?
Secure Socket Layer (SSL)undTransport Layer Security (TLS)sind Protokolle, die der Authentifizierung und Verschlüsselung von Internetverbindungen dienen. Treten etwa ein EMail-Programm und ein Mailserver ordentlich per SSLoderTLS in Kontakt, ist es nichtmehr möglich, die Verbindungpassiv zu belauschen oderaktiv durch Einklinken in den
Datenstrom zu manipulieren.Außerdem können sich die
Verbindungspartner mit denverwendeten Zertifikaten authentifizieren, also einen Identitätsbeweis liefern. In der
Regel überprüft nur das ClientProgramm anhand des Server-Zertifikates, dass es wirklichmit dem angeforderten Serverspricht. Der Server hingegenverlangt zur Nutzerauthentifizierung in der Regel Name undPasswort.
Eigentlich ist TLS der neueName für SSL seit Version 3.1.
Häufig werden die beidenAkronyme daher synonym verwendet. Je nach Anwendungsprogramm bezeichnet TLSaber auch ein besonderes Verfahren zum Verbindungsaufbau, was für allerlei Verwirrungsorgt. Ein Client kann miteinem Server auf zwei verschiedene Weisen in Kontakttreten: ausschließlich ver
schlüsselt über einen gesonderten SSL-Port (etwa 443statt 80 für verschlüsseltes
HTTP)oder gewissermaßen alsSSL-Upgrade einer unverschlüsselten Verbindung aufdem Standard-Port mittels desBefehls "STARTTLS", sofernClient und Server dies unterstützen.
FTP-Verbindungen wurden separate Abschnitte gewidmet. DerHinweis auf E-Mail-Verschlüsse
lung findet sich aber leider nur alsRandnotiz in der Kurzübersicht.
Einen offenen SSL-Portgibt esfür IMAPSund POP3S,verschlüsseltes SMTP gibt es jedoch nurper STARTTLS,das nicht alle Mailer unterstützen. Wem der SSL
Proxy nicht reicht, der kann für5 Euro im Monat ein vollwertigesSSL-Zertifikat hinzubuchen. Verglichen mit anderen Anbieternist das recht günstig.
Leider ist der unverschlüsselt
übertragene STARTTLS-Befehlein wunder Punkt. Berichtenzufolge arbeiten E-Mail-Abhörsysteme wie das Echelon derUS-Geheimdienste unter anderem mit der Methode, alle aufPort 25 übertragenen STARTTLS-Kommandos herauszufil
tern beziehungsweise zu manipulieren. In der Regel dürftedies auf einem großen Internet-Backbone oder providerseitig geschehen. Weil E-MailServer untereinander keineverschlüsselten Verbindungenerzwingen, interpretieren siedies als "die Gegenseite beherrscht kein STARTTLS" undschicken die elektronischePost unverschlüsselt durchsNetz, sodass sie sich mitschneiden lässt. Dasselbe gilt für andere Man-in-the-Middle-An
griffe etwa in unverschlüsselten Funknetzen oder anderen nicht vertrauenswürdigenNetzwerken.
Die sicherste Verbindungseinstellung ist daher direktes SSLüber den dedizierten Port,etwa 995 für IMAPS(lMAP überSSL)oder 465 für SMTPS.UnterThunderbird und OutlookExpress nennt sich diese Verbindungseinstellung schlicht"SSL". Doch auch STARTTLSvon Thunderbird unglücklichverkürzend "TLS" genannt - istsicher, sofern es sich erzwingenlässt. Vor der Option "TLS,wenn verfügbar" sollte mansich daher unbedingt hüten:Im Fehlerfall bekäme man
nicht einmal eine Warnung zusehen, also auch nicht beieinem Angriff. Outlook Expresshingegen unterstützt STARTTLSgar nicht.
Report I Hosting: Sicherheit
Selbst das Basispaket ist inpuncto Verschlüsselung gut ausgestattet. Lediglich SSL-Zertifikatund vollwertigen SSH-Zugangzur Remote-Administration auf
der Kommandozeile gibt esbeim Premium-Paket "Homepage Professional" noch dazu.
Beim Server-System gibt sichder Provider aus Montabaur gewohnt konservativ. Der LinuxKernel von Januar 2007 macht
einen sehr angestaubten Eindruck und wirkt daher unsicher.
Die PHP-Umgebung hingegenwurde offenbar erst kürzlich erneuert.
1blu
Kundenmenü und Webmailersind ordentlich verschlüsselt,doch ansonsten hat der BerlinerProvider 1blu offenbar eine
Zweiklassenverschl üsselungsgeseilschaft etabliert: Premium
Kunden bekommen alles, Billigkunden nichts. Käufer eines
"Homepage Professional"-Paketssuchen E-Mail-Verschlüsselungvergebens, ebenso eine gesicherte Dateiübertragung zumServer.
Bei der Aktualität sieht es
mau aus: Die PHP-Umgebungwurde zum letzten Mal im Januar 2006 angefasst. Seit PHP4.4.2,das auf dem getesteten Serverlief, wurden eine Vielzahl gravierender Sicherheitsmängel in derSkriptingsprache behoben. Werfür das Premium-Paket "PerformancePack XXL" draufzahlt,bekommt nicht nur Zugriff aufSSL-fähige Mailserver, sondernauch einen SSH-Zugang unddarüber eine sichere Dateiübertragung mit SFTP.
Per SSHkonnten wir uns auch
ein wenig genauer auf dem Debian-System des Servers umsehen: Das letzte Rundum-Updatedes Servers muss bereits einigeJahre zurückliegen. Ironischerweise war die vorgefundeneOpenSSL-Version von 2004 soalt, dass sie von dem jüngstenDebian-OpenSSL-Bug noch nichtbetroffen war. In der OnlineDokumentation ist wenigstensdie gesicherte Dateiübertragungzum Server gesondert beschrieben. Ansonsten findet Verschlüs
selung keine Erwähnung.
AII-Inkl
Über den FTP-Uploadauf die Server von AII-Inkl wacht ein Anti
virusprogramm. Wir hatten zu-
131
Report I Hosting: Sicherheit
Wenn Sie vermuten, dass das angezeigte Zertifikat nicht"imap.hetzner .de" gehört, brechen Sie bitte dieVerbindung ab, und benachrichtigen Sie den Administrator derwebsite.
E-Mail-Programme warnen berechtigterweise bei jedem Verbindungsaufbau, wenn das Zertifikat nicht zum E-Mail-Server passt.Allzu schnell ist der nervige Dialog im Klicktrott versehentlichauch im Falle eines Angriffs weggeklickt.
Sie haben versucht, eine verbindung mit"imap.hetzner .de" aufzubauen. Allerdings gehört das"vorgezeigte" Sicherheitszertifikat ·www.hetzner.de".Esistmöglich, aber unwahrscheinlich, dass jemand versucht. IhreKommunikation mit dieser website abzufangen.
LycosBeim Webhoster aus Gütersloh ist
nicht einmal die Anmeldung zumKundenmenü verschlüsselt. Auch
ein vorangestelltes "https:/I" verhilft nicht zu mehr Sicherheit; derServer beherrscht keine Ver
schlüsselung. Für den Webspacestellt Lycos nicht einmal einenSSL-Proxy bereit, von vollwertigen SSL-Zertifikaten ganz zuschweigen. Ebenfalls keine Verschlüsselung gibt es für FTP.Dieselbstsignierten Wegwerfzertifikate für IMAPS und POP3Ssind
kaum eine Verbesserung, da EMail-Programme den Anwendermit Fehlermeldungen nerven,weil der Servername im Zertifikatfehlt.
Für den Webserver verwendetLycos eine spezielle PHP-Variante namens PHP4U, die auf PHP4.4.7 basiert. Die PHP-Umgebung ist äußerst eingeschränktund abgeschottet: Viele PHPFunktionen sind per disable_functionsdeaktiviert, doch ausgerechnet die für die Sicherheit wichtigste PHP-Option registeulobals
Die Konfigurationsanleitungenvon Host Europe sind ausgezeichnet und enthalten - wo an
gebracht - stets einen Hinweisauf die Verschlüsselungsmöglichkeiten. Sowohl FTP als auch
Mailzugänge sind optional SSLgesichert erreichbar - fehlt nurnoch, dass Host Europe den Kunden die Verschlüsselung ausdrücklich empfiehlt.
Das getestete Serversystemhinterließ einen aktuellen und sicheren Eindruck. Die PHP-5.2.4
Installation ist gerade mal einenMonat alt. Auch die php.ini istsinnvoll vorkonfiguriert: register_globals=offsowie wohldefiniertesopen_basedirund disable_functionssichern PHP-Anwendungen derKunden und Webserver gegenAngriffe ab. Die Sicherheitserweiterung Suhosin schützt zusätzlich.
Auch die ordentlichen SSL-fä
higen E-Mail-Serverund der SSLProxy stehen allen WebPack-Kunden zur Verfügung. Die vorbildliche Grundsicherheit ist bei Host
Europe offenbar inklusive. Lediglich das optionale SSL-Zertifikatistmit 150 Euro im Jahr recht teuer.Linux-Nutzer könnten außerdemeinen SSH-Zugang vermissen,doch der fehlt auch bei den ande
ren günstigen Angeboten.
Host Europe
I Abbrechen 11 OK j
verschlüsselte FTP-Zugang, sodass die Zugangsdaten zumWebspace bei jedem Upload unverschlüsselt durchs Netz wandern müssen.
Als Server-Betriebssystem setztGoneo als einziger Hoster im TestFreeBSD ein. Im Premium-Paket
gibt es auch die fehlendenSicherheits-Features: SSL-Proxyund SFTP über einen SSH-Zu
gang.
Hetzner
Das Verschlüsselungsangebotdes Gunzenhausener WebhostersHetzner lässtsich treffend als "gutgemeint, aber falsch gemacht"beschreiben. Da sämtliche für EMail-Verschlüsselung relevantenZertifikate auf www.hetzner.de
ausgestellt sind, beginnen dieMailer zu motzen, sobald man dieSSL-Verschlüsselung anknipst.Trägt man www.hetzner.de alsServer ein, schlägt jedoch derLog-in im E-Mail-Programm fehl.E-Mail-Verschlüsselung gibt esbei Hetzner je nach Mail-Programm also nur mit permanenten Fehlermeldungen oder garnicht. Dasselbe Zertifikatsproblem tritt bei FTPSauf. Glücklicherweise funktioniert SFTP
selbst bei den kleinen Angebotenproblemlos.
Den Webmailer sollte mannicht über das Kundenmenü aufrufen, dann ist er nämlich unverschlüsselt. Und wie steht es umdas Thema "Verschlüsselung" inder Doku? Fehlanzeige - der Anwender bleibt sich selbst überlassen. Der Linux-Kernel des Servers ist mehr als ein halbes Jahralt. Dafür lassen sich diversePHP-Optionen direkt im Kundenmenü einstellen. Premium-Kunden erhalten mit dem Angebot"SH 4000" einen vollwertigenSSH-Zugang als einzige sicherheitsrelevante Erweiterung.
IZertifikat überprüfen 1
Goneo
Eine Dokumentation der Sicherheitsfunktionen sucht man bei
Goneo vergebens, und das obwohl die E-Mail-Verschlüsselungauch im Basis-Paket ordentlichist. Was ihm fehlt, ist aber der
immerhin das Thema SSL-Zertifikate vorbildlich, verschlüsselteFTP-Übertragung übergeht siejedoch und E-Mail-SSL erwähntsie nur in Minimalform. IMAPund POP-Serversind als virtuelle
Hosts der eigenen Domain erreichbar und liefern selbstsignierte Wegwerfzertifikate mit unpassendem Servernamen aus.Um die Fehlermeldungen der EMail-Programme loszuwerden,muss man umständlich denHostnamen aus dem Zertifikat
eintragen. Lediglich der SMTPServer ist ordentlich eingerichtet.
Auch beim Webmailer geht esetwas wirr zu. Per Kundenmenü
aufgerufen ist er verschlüsselt,nutzt man den Link auf der
Homepage des Anbieters, bekommt man einen unverschlüsselten Zugang präsentiert. EinenKnopf zum Umstellen auf SSLsucht man vergebens. Man mussdem "http" in der URL schonselbst ein "s" spendieren.
Die Option eines ordentlichenSSL-Zertifikats für den Webserver gibt es erst bei den Angeboten der gehobenen Klasse. Mit150 Euro pro Jahr ist es aber happig teuer. Selbst im teuerstenPaket "ManagedHosting XXL" istes nicht inklusive. Die Möglichkeit der teureren Pakete, diephp.ini-Datei global im Kundenmenü zu editieren, fehlt beim"MyHome" leider. Die Aktualitätdes Servers lässt ebenfalls zu
wünschen übrig. Der Kernel hatbereits eineinhalb, die PHP-Umgebung mehr als ein halbes Jahrauf dem Buckel.
nächst Schwierigkeiten, unsereTestprogramme hochzuladen, dasie der Scanner als potenzielleSchadprogramme ablehnte. Überden WebFTP-Client klappte esdennoch. Der Nutzen des Filters
bleibt somit fraglich, zumal dieGefahr gegeben ist, dass ermit Fehlalarmen den Anwendernervt. Als einer von zwei Providern im Test setzt AII-Inkl die
PHP-Sicherheitserweiterung Suhosin ein, die nicht nur den Server, sondern auch die Webanwendungen der Kunden schützt.Zu einem register_globals=offkonnte sich der Anbieter aber offen
bar noch nicht durchringen.Die Online-Dokumentation ist
äußerst spartanisch gehalten.Einrichtungshilfen für FTP-Programm und Mailer gibt es bestenfalls stichwortartig, Hinweiseauf Verschlüsselungsoptionensucht man vergebens. Wer eineSSL-Verbindung zum E-Mail-Server vorzieht, kann auch nichteinfach den vorgeschlagenenvirtuellen Hostnamen wie imap.ihredomain.de verwenden, weiler nicht zum Namen im Zertifikatpasst. Mail-Programme bestrafen das mit permanenten Warnmeldungen. Stattdessen mussman sich den korrekten Servernamen umständlich über einen
Reverse-Lookup der zum virtuellen Hostnamen gehörigen IP besorgen. Für Laien ist die E-MailVerschlüsselung deshalb vollkommen unbenutzbar.
Einezusätzliche Überraschungerwartet Thunderbird-Anwender,wenn sie die empfehlenswerteZertifikatsprüfung per OCSPaktiviert haben. Der Mailer verwei
gert den Verbindungssaufbau,weil der Herausgeber der Serverzertifikate Usertrust seine OCSPAntworten mit einem unbekann
ten Zertifikat signiert. Nichts vonalledem ist in der Doku beschrieben. Der Anwender bleibt sichselbst überlassen, wenn es umVerschlüsselung und die zu umschiffenden Klippen geht. SSLgibt es nur gegen Aufpreis, selbstder SSL-Proxy kostet monatlichrund einen Euro. Im teuersten Bu
siness-Paket sind Proxy-Nutzungund vollwertiges SSL-Zertifikat inklusive.
domainFactory
Verschlüsselung ist auch beim Ismaninger Hoster domainFactoryein Randthema, und ein gar verwirrendes dazu. Die übersichtliche Dokumentation behandelt
132 c't 2008, Heft 15
~_ --a.-- lIiI - l1liF-----:.:. ._
Report \ Hosting: Sicherheit
Sicherheit der Webhosting-Pakete
Dokumentation
SFTP/FTPS
.,/1.,/----.,/-.,/,IMAPS/POP3S/SMTPS
.,/,--.,/,--.,/-.,/,.,/'SSL-Zertifikate
.,/.,/ (nurSSL-Proxy) -.,/--.,/-.,/Server
-k.A.1System / LinuxZ.6.16.33/Linux 2.6.8-13/Linux 2.6.24.4/Linux 2.4.34.1-FreeBSD 6.3/Linux 2.4.35.3/Linux 2.6.Z2.19/LinuxSunOS 5.8
Datum
Z007-01-31Z008-02-202008-04-15grs«I2007-02-27 2008-01-162007-10-262008-05-07
Webserver
Apache 1.3.34Apache 2.0Apache 2.xApache 1.3Apache 2.0.63Apache 1.3.39Apache 2.2ApacheApache 1.3.37k.A.1
PHP Default-Version /
4.4.8/4.4.2/5.2.5/5.2.4/4.4.8/5.2.6/5.2.6/PHP4U 3.0/5.2.5/k.A.1
Datum
2008-05-062006-01-232008-01-252007-12-052008-03-122008-05- Z32008-05-162008-01-152007-12-06
Server-Einbindung
(GI(GImod-php(GIsuphp(GImod-php(GI(GIk.A.1
register_globals=off
-----_9.,/9-.,/k.A.1
Sonstiges
--open_basedir,---open_basedirsafe_mode,-k.A.1
Suhosin
disable_functions disable_functionsSuhosin
Verschlüsselung Kundenmenü
.,/.,/.,/.,/.,/.,/.,/-.,/'.,/Webmail
.,/.,/.,/.,/3.,/.,/3.,/-.,/'.,/FTPS/ SFTP
-/.,/-/-.,/ /-.,/ /--/-_ 5/.,/.,/ /--/--/-k.A.1/k.A.1
SSH
---------k.A.1
IMAPS/POP3S/SMTPS .,/ /.,/ /.,/6-/-/-.,/ 7/.,/ 7/.,/ 7.,/ 6/.,/ 6/.,/.,//.,//.,/_ 5/_ s/_ s.,//.,//.,/_ 5.6/_ 5.6/_.,//.,//.,/.,//.,//.,/
SSl-Proxy
.,/.,/- (0,95 €/Monat) .,/--.,/SSL-Zertifikat
- (4,99 €/Monat) -- (99 €/Jahr)--- (ab 99 €/Jahr)- (1 SO€/Jahr)-Bewertung Sicherheitldokumentation Ei'>
ees0esesEi'>esEi'>esSystemaktualität
0se0e00EOO)0ek. A.1
PHP-Voreinstellung
ee0ee0EOO)eEi'>k. A.1
VeM1Iüs\eIung
Ei'>e0e0esEOO)ee0k. A.1
1 beiläufig oder versteckt
I Test nicht möglich (siehe Text) J manueller Eingriff nötig 'optional 5 Zertifikat fehlerhaft6 Zertifikat selbstsigniert70(SP-Fehler8 nur STARTTLS 9 div. PHp-optionen einstellbar
EF>EF> sehrg~gut
o zufriedenstellende schlechtse sehr schlecht.,/ vorhanden- nicht vorhandenk. A. keine Angabe-- -- - -
Anbieter
Produkt
1&1
HomepagePerfect
1blu
HomepageProfessional
All-lnkl
Privat
domainFactory~ Goneo
MyHome Start
Dynamic
Hetzner
SH 500
Host Europe lycos Strato T-Home
WebPack M 2.0 Powerweb Basic Powerweb Basic Homepage Basic
steht auf dem unsicheren on.Die
verrammelte Umgebung schütztsomit in erster Linie die LycosServer, weniger aber die Webanwendungen der Kunden. Esmacht auch keinen Unterschied,ob man sich für das günstigsteoder das teuerste Hosting-Paketentscheidet. Sicherheits-Featu
res spielen wenig verwunderlichauch in der Dokumentationnicht einmal eine Nebenrolle.
Strato
Standardmäßig arbeiten dieLog-ins für Kundenmenü undWebmail unverschlüsselt undwarnen, dass der Browser dieAnmeldedaten im Klartext ver
schickt. SSL-Verschlüsselunggibtes wenigstens optional über separate Links. Aber wieso nichtgleich per SSL?Die Online-Dokumentation macht einen leichtzerstreuten Eindruck. Prinzipiellist alles da, doch weiß man nieso genau, ob man in den Anleitungen oder in der FAQ nachsehen muss. Zum Glück gibt eseine Suchfunktion.
Stratos Mailserver sind grundsätzlich ordentlich SSL-geschützt,sicherheitsbewusste Powerweb
Kunden werden jedoch eine ver-
c't 2008, Heft 15
schlüsselte FTP-Verbindung vermissen. Die gibt es erst bei denteureren Premium-Paketen zu
sammen mit dem SSH-Zugang.Die PHP-Umgebung des Serversist von Ende 2007 und machteinen leicht veralteten Eindruck.Als einziger Anbieter im Testfeldhosten die Berliner auf SunOS.
T-Horne
Serverseitig ist in puncto Verschlüsselung eigentlich alles daund ordentlich: Anmeldung fürdas Kundenmenü, Webmailer, EMail-Übertragung - selbst wennes im Browser durch das FrameGewurschtel des T-Home-Portalsnicht immer so aussieht. Man soll
te sich aber gut überlegen, ob dieSuche nach der passenden Dokumentation im lausigen, hoffnungslos textüberfrachteten Portal die Mühe wert ist. Hinweise
zur Verschlüsselung finden sichohnehin bestenfalls als Randnotiz. Wenigstens sind die SSL-fähigen E-Mail-Server säuberlichneben den unverschlüsselten gelistet, sofern man sie denn findenkann. Sonstige Hinweise auf andere Verschlüsselungsoptionen etwa verschlüsseltes FTP- sucht
man vergebens.
Wegen andauernder Umbauarbeiten am Webangebot war esuns über Tage hinweg nichtmöglich, Zugriff auf Kundenmenü oder Webspace zu erlangen.Stattdessen bekam wir nur Feh
lermeldungen zu sehen. Testszur Begutachtung der Serversicherheit mussten daher leiderentfallen. Mehr zu den Ausfällenlesen Sie im Artikel auf Seite 122.
Fazit
Die Sicherheits-Features der
Webangebote spielen für diemeisten Provider nur eine unter
geordnete Rolle. Gelegentlichsind sie wie offenbar bei 1blu ein
Marketing-Argument, das zumKauf der teureren Pakete be
wegen soll. KrasseZertifikatsfehler wie bei Hetzner könnten noch
als Versehen durchgehen, dürfenaber nicht vorkommen.
Dass nun wenigstens Stratound Host Europe die wichtigePHP-Option register_globals=offgesetzt haben, ist eine sehr erfreuliche Entwicklung. Ansonsten sinddie PHP-Umgebungen eher unsicher vorkonfiguriert und leiderhalten immer noch nicht alleProvider ihre Server auf demneuesten Stand. Im letzten Test
von Managed-Servern stelltenwir ebenfalls in den Bereicheneklatante Mängel fest [1].
Doch insbesondere bei derOnline-Dokumentation, die unerfahrenen Anwendern eine verständliche Hilfe sein sollte, habendie meisten Hoster noch Nachholbedarf. Nicht ein einziger erläutert seinen Kunden die Wich
tigkeit der Sicherheitsfunktionenoder legt sie ihnen sogar nahe.Schließlich ist es im Sinne sowohlder Kunden als auch der Anbieter, dass weder die Anmeldedaten zum Kundenmenü noch zumE-Mail-Serveroder FTP-Bereichinfalsche Hände geraten. WennProvider ausgerechnet an derVerschlüsselung sparen, kannniemand gewinnen. Schließlichwürde auch niemand heutzutagemehr ein Auto ohne ABSund Airbag kaufen, nur weil es einenBruchteil des Kaufpreises spart.Host Europe hat dies offenbarverstanden und es ordentlich in
die Tat umgesetzt. (cr)
Literatur
[1] Holger Bleich, Christiane Rütten,Fremdwartung, Fünf Provider-administrierte Webserver im Ver
gleichstest, c't 23/07, S. 168 d
133
, 1
Report I Hosting: Content Management Systeme
Ja Bager
Integrierte Content-Management-Systeme undl-Klick-Installationen der Provider
Die eingebetteten Inhalteverwalter bei 1&1 und Strato lassensich fast so einfach bedienenwie Desktop-Programme.
Der Webmaster wählt beimersten Aufruf des HomepageBaukastens eine für seine Web
site passende Branche undUnterbranche aus. Auf deren
Basis präsentiert das Programmihm eine Auswahl an Layouts. Erkann sich aber auch aus der gesamten Liste bedienen, die insgesamt 145 Designvorlagen enthält. Darunter sollte für jedenGeschmack etwas dabei sein,zumal sich die Layouts noch inBezug auf das Farbschema undLogos individualisieren lassen.
Auch für die Website-Strukturmacht der Baukasten einen Vor
schlag, den der Benutzer übernehmen oder an die eigenen Anforderungen anpassen kann. Hierliegt eine wesentliche Fußangelder eingebauten Inhalteverwalter versteckt, denn die Hoster beschränken die Anzahl der mit
den eingebauten Seitenmanagern verwaltbaren Seiten.
Im Paket Homepage Perfectund im DynamicSiteCreator sindjeweils zwanzig Seiten enthalten,beim Strato-Paket PowerWeb
Basicund bei T-Home HomepageBasicsogar nur zehn - genug zumBeispiel für den Selbstständigen,der mit einer mehr oder wenigerstatischen Site sein Angebot präsentiert. Wenn aber, wie etwa beieinem Sportverein, die Websitezum Beispiel laufend mit Ergebnissen und anderen Nachrichten
wächst, dürfte dies schnell zuwenig werden. Mehr Seiten lassensich die Provider bezahlen: 1&1berechnet für das Paket "Homepage-Baukasten Plus" mit unbegrenzt vielen Seiten 9,99 Euro proMonat, bei Strato kostet der un-
@g
Kunde Flash-animierte Webseiten zusammenstellen kann. AlsBeispiel sei hier die Bedienungdes 1&1-Baukastens beschrieben; die anderen Lösungen funktionieren ähnlich. Das Programmläuft zwar auf dem Server; derWebmaster bedient es mit demBrowser. Dank Ajax fühlt es sichaber nicht an wie eine klassische
Webanwendung, sondern lässtsich so flüssig bedienen wie einWindows-Programm.
that SeCeo Laycu ENt~ "11 l-i1e
31" .::JI•••••••
~f?_"
L.~
~
c't·Testseite
~""""'~_~1IU~~.~
~ ~n <J)
~ sctveibt hst wie in ~ WYSIWYG-Editor_ ..•
SMALL OFFICEHOME OFFICE
OIIIIei e..rtJden w.b SeHn ~ HtI.J§] Homepage-Baukasten ~
Stratos LivePages, der DesignAssistent bei T-Home und der 1&1
Homepage-Baukasten dagegeneignen sich, um eine Websitedauerhaft zu pflegen. Außerdem HMTL-Baukasten bietet 1&1
auch einen sogenannten DynamicSiteCreator an, mit dem der
Wie mit Ward
ten können aber auch dort nicht
überzeugen.
Man muss schon einige Semester HTML, CSS,PHPund Co. verinnerlicht und viel Zeithaben, um Websites von Hand zu entwerfen und deren Seiten selbst zu verwalten.Wesentlich schneller und bequemer kommt man mit einem Content-ManagementSystem zum Ziel - insbesondere wenn der Provider es bereits vorhält oder es sich mitminimalem Aufwand installieren lässt.
Die komfortabelste Möglichkeit, eine Homepagezu pflegen, bieten in
das Verwaltungs-Backend beimProvider integrierte Conte ntManagement-Systeme (CMSe).Sie werden vom Hoster gewartet; der Nutzer muss sich überhaupt nicht um die Softwarekümmern, sondern kann sichganz der Pflege seiner Homepage-Inhalte widmen. Von denzehn exemplarisch ausgewählten Providern bieten 1&1, Goneo, Host Europe, Lycos undStrato solche eingebetteten Lösungen an.
Allerdings ist die Qualitätsspanne sehr groß. Bei Host Europe kann der Kunde nur eineSeite editieren, und auch easypage bei Goneo ist mit nur 18eher einfach gehaltenen Layouts und sehr eingeschränktenEditiermöglichkeiten eher simpler Natur. Diese Lösungen eignen sich allenfalls, um schnellein paar erste Informationen aufder Homepage zu präsentieren,aber kaum für den dauerhaften
Betrieb. Lycos gibt seinen Nutzern zwar immerhin 120 Layoutszur Wahl, die Editiermöglichkei-
Homepage-Manager
Anzahl der Seiten
Anzahl der layouts
1-Klick·lnstallationen
Content Management Systeme
!&1Ho~~agePenert
1&1 Homepage-Baukasten,
DynamicSiteCreator
20
14S
Joomla, PostNuke Joomla 1.0 und 1.5, openEngine, Typ03
unbegrenzt
18
Joomla 1.0 und 1.5, Mambo, Redaxo Drupal, Joomla, Mambo, Typ03
MediaWiki
Mantis, Moodle, phpMyVisites,
PHProjekt, WebCalendar
- n-ic-ht-v-or-ha-n~de-n-
Blog-CMS
Foren-Software
Fotogalerie
Wiki-Engines
Sonstige 1-Klick-lnstallationen
,/ vomanden
1&1 Blog (WordPress), Serendipity
phpBB, SMF
Serendipity, WordPress
Copennine, Gallery, Minishowcase
Advanced Guestbook, Advanced Poil,
phpMyFAQ, WebCalendar
domainfaaory-Weblog (Nucleus),
Serendipity, WordPress
phpBB, Vanilla, XMB
Coppermine, Gallery, Gallery2
DokuWiki, WackoWiki
Calendarix, more.groupware,
OsCommerce, PHProjekt
b2evolution, WordPress
phpBB, Phorum
Coppermine, Singapore
phpWiki, TipiWiki
lIohaMail, osCommerce, phpBook,
SquirrelMail, ete. (insg. 9)
134 c't 2008, Heft 15
Report I Hosting: Content Management Systeme
Content-Management-Systeme ausder Open-SourceSzene, etwa WordPress, haben eineriesige Nutzerschaft - der Webmaster profitiertvon unzähligenErweiterungenund dem Wissensfundus der Com
munity, wenn esmal Probleme gibt .
lig, sie halten sie aber nicht aktuell - dafür ist der Kunde zuständig. Daher muss er regelmäßig auf den Herstellersites nachneuen Versionen Ausschau halten und sie zügig installieren. DaUpdates mitunter Sicherheitslücken schließen, riskiert er sonst,dass seine Site gehackt werdenkönnte.
Im Grunde kann sich derKunde nicht einmal darauf verlassen, dass die 1-Klick-lnstallationen up to date sind. Wirhaben zwar bei unseren stich
probenartigen Tests viele Anwendungen vorgefunden, diedem aktuellen Stand entsprachen. Lycos aber installierte unsdie vier Monate alte Version 2.3.2von WordPress. Das war insbesondere deshalb ärgerlich, weildie Administrationsoberflächedes Providers suggeriert, manwürde die neueste Version installieren. 1blu richtete eine Betaversion von Joomla 1.5 ein aus dem September 2007.
Direkt nach der Installationsollte also der erste Blick derVersionsnummer des installierten CMSgelten. WordPress zeigtseine zum Beispiel gleich nachdem Aufruf des Backends an,unter "Aktuell". Bei Joomlaschaut man im AdministratorModus unter "Hilfe\System-lnfo"nach. 00)
Literatur
[1] Herbert Braun,Website-Baukästen, FreieContent-ManagementSystemeund andereWerkzeugefür dynamischeInternet-Auftritte,c't 11/07, S. 88 ~I:
• PDOForW~AddedJ,,,, ••"••• ~TP."AJ'oIAdd~dJu""Z3
. "'_abi. AddedJu" •• Z3
• Medi ••T••'d Ad W ••••p Add ••d Jv".".~_Add.dJu" •• 23
• Copy ~ Add ••d Ju ••.•••22
.c.oo.ot-XMl!W~Do ••nload.d3';'!O,3.:2t.m ••s
• Won:l_~.com ~u"" Do••"lo ••ded230.899t.mu
• ..-forrn$JI"conUctfonr.Do••nlo.ded131,812t;m".
.NotJ<tG(N~ •• ...,Cownlo .•ded
207,:531tll""es
• AU in ao-..: '>f.D PxJ" Co ••"IQ.a ••d
414.10~t.me<• Ak •••...-t Oo .••nlo • ., ••,; 290,705
Recently updated ))
Most Popular ,)
drücklich hin, wie etwa domainfactory: "Da es sich hierbei umSoftware von Fremdanbieternhandelt (sogenannte '3rd PartyApplications'), bitten wir um IhrVerständnis, dass wir für die weiter unten installierbaren Applikationen weder eine Gewährleis
tung der Funktionalität übernehmen, noch Support zu den einzelnen Funktionen bereitstellenkönnen."
Wer eine 1-Klick-lnstallationnutzen will, sollte daher gewisseGrundkenntnisse über den Betrieb eines Webservers mitbringen, also etwa wissen, wie er dieVerzeichnisse des Dateisystemsauf die der Webpräsenz abbildet.Das Fehlen des Provider-Supports ist aber nicht wirklich einNachteil. Die Hersteller-Communties unterhalten in der Regelstark frequentierte Supportforen, in denen bei Problemenaller Art schnell geholfen wird.
Die Provider installieren dieServer-Anwendung zwar erstma-
Get Recent Comments
Displa'f the most recent comments or trackbads Wlth your own
tormattlno In the sidebar.
podPressA dream pluoin for Podcasters using WordPress.
Featured Pluglns
WP super Cache
A .•er'f fast cachinQ engine tor WordPress that produces statie html files. 10_ ....10.0 :
WordPress.com StatsYou can have- simple, ooncise stats with no additional load on 'four
server b'f pluQQing into WordPress.com·s stat system.
2,426 PLUGINS, 4.082,686 DOWN LOADS, AND COUNT!NG
,------------.--~ --=-~~,-[s.._Pk<~'!
Plugins ean eztend WordPress to do almost anything you can imagine. In the
diNCtory you can find, downlwd, rate, and comment on all th"" best plugins the
WordPr~ oommunity has to offer.
Popul<'lrT<'Igs:'tore »
Post (326)
Plugins
• De ••cloper Center
lde.!ls
Kvetchl
..,id'll~t(295)
iIIdmin(238)
comme-nt!i(196)
posts (1'J5)
sidebc!lr (17's)
plugin(15t)
images (1 ••1)
google (109)
links (108)
AJAX (97)
rn (68)
PIugin Directory
EKtend Ho~
~.~ WORDPRESS .ORG Forcm' HC'Oo9<r==l
la & Drupal" - was aber keineswegs bedeutet, dass das Unternehmen die beiden Anwendun
gen als 1-Klick-Paket bereitstellt.Vielmehr besagt es nur, dass dietechnischen Voraussetzungenfür den Betrieb der Programmegegeben sind - eine Selbstverständlichkeit. Statt auf OpenSource-Pakete setzt Strato bei1-Klick-Anwendungen auf eigeneCGls. Eine Ausnahme bildet das"Strato Weblog", das sich unterdem Punkt "Homepagegestaltung\Weblog" findet und hinterdem sich WordPressverbirgt.
Aus der CommunitySo einfach sich Joomla und Co.auch installieren lassen: Der Benutzer sollte sich darüber im Klaren sein, dass er damit im Unterschied zu den eingebettetenSystemen für den reibungslosenAblauf seiner Anwendungenselbst verantwortlich ist. Die Provider weisen darauf auch aus-
unbegrenzt1010
120
224279--Typo3
Drupal, Xoops Joomla 1.0 und 1.5, Mambo.
Moodle, PostNuke, SPIP, XoopsSerendipity. WordPress
b2evolution, easyMyBlog,Strato Weblog (WordPress)T-Home Weblog
Nucleus, WordPressphpBB, SMf
Phorum, phpBB, SMf
My Image Gallery
JBC Explorer, Singapore, 1fT GalleryStrato fotoalbumT-Home fotoalbum
DokuWiki, MediaWiki
TipiWiki
AdvancedPolI, anylnventory, Brim,
phpMyVisites, Aerial, E-GroupWare,Event-Kalender, diverse CGls-
eGroupware, osCommerce etc. (insg. 26)
WebCalendar (insg. 23)
beschränkte Content Managermonatlich 6,99 Euro.
Die Homepage-Baukästenvon 1&1 und Strato sind exklusive, proprietäre Angebote. Es istdaher mit wesentlich mehr Aufwand verbunden, zu einem anderen Web-Hoster zu wechseln,als etwa mit einem CMS aus derOpen-Source-Szene. Die frei verfügbaren Pakete lassen sich sichbei vielen Providern installieren.
Daher kann es, trotz aller erwähnten Vorteile der eingebetteten Content-Manager, sinnvollsein, auf ein Open-Source-Paketzu setzen. Joomla ist zum Bei
spiel eine weit verbreitete Lösung für Websites und Portale,WordPress sehr beliebt als Blogsystem. Die Provider stellen abernicht nur Content-ManagementSysteme als 1-Klick-lnstallatonenbereit; die Bandbreite reicht vonFotogalerien wie Coppermineüber Wiki-Engines bis hin zu Kalendern und vielem mehr [1].
Benötigt man mal eine Funktion, die die Standardinstallationeines solchen Pakets nicht enthält, lohnt ein Blick auf seineHomepage. Viele der Paketewerden von regen Communitiesunterhalten, die bei technischenProblemen helfen und unzähligeAdd-ons bereitstellen.
Die Tabelle präsentiert eineAuswahl der 1-Klick-lnstallationen. Host Europe und Lycos etwastellen mehr als 30 Anwendun
gen aller Art bereit. Hetzner hältgenau eine Applikation vor - dasCMS-Schwergewicht Typ03. Undbei AII-Inkl geht der Webmasterim "privat"-Paket ganz leer aus.1-Klick-Programme sind dort denteureren Bundles ab dem Tarifprivat plus vorbehalten.
Auf den Websites der Providermuss man mitunter ganz genauhinschauen. So bewirbt etwaStrato "Unterstützung von Joom-
c't 2008, Heft 15 135