Monat: Juni 2018

Updates

Diese Woche haben wir weniger „sichtbare“, aber dafür genauso wichtige Änderungen vorgenommen. Mit unserer wachsenden Zahl von Kunden und Bestellungen steigt leider auch die Anzahl der betrügerischen Bestellungen und Buchungen, sei es mit gestohlenen PayPal-Accounts, Kreditkarten oder Bankverbindungen. Wir haben alleine in den letzten 4 Wochen einen Anstieg von betrügerischen Kreditkartentransaktionen um 600% (nein, da ist keine Null zu viel) verzeichnet. Tatsächlich ist das Volumen an betrügerischen und geblockten Kreditkarten-Transaktionen um ein vielfaches größer als der reguläre Umsatz (was natürlich auch daran liegt, dass die Betrüger es mehrfach versuchen). Dementsprechend haben wir momentan eine Menge mit Risk Management zu tun, was naturgemäß eine Sache ist, bei der man schlecht detailliert über Maßnahmen sprechen kann. Aber kommen wir zu dem, über das wir sprechen können:

Als große, aber schon behandelte Änderung haben wir HTTP/2 eingeführt. Zudem gab es diverse kleine und große Änderungen:

Verwaltung:

  • Bugfix beim Hinzufügen von IDN-Domains in den Warenkorb, wenn die Unicode-Version verwendet wird
  • Bugfix/Change: nach dem Einrichten eines PayPal-Abos für Webhosting-Pakete hat PayPal die Weiterleitung zu uns geändert. Wir bekommen die Abo-ID nicht mehr übergeben und können daher auch keine sinnvollen Informationen mehr anzeigen. Thanks, PayPal!
  • Verbesserung bei der Zahlungsverarbeitung: in bestimmten Fällen wurden Rechnungen, für die SEPA-Lastschrift als Zahlungsmethode gewählt wurde, mit Guthaben verrechnet, obwohl das nicht gewünscht wurde
  • Verbesserung WordPress-Toolkit: Plugins, die aktiv sind, werden nun beim Löschen automatisch deaktiviert. Vorher war ein separates Deaktivieren vor dem Löschen notwendig
  • Verbesserung WordPress-Toolkit: die Konsolen-Ausgabe von Tasks (core update, theme/plugin update, activate, deactivate, uninstall, …) werden nun aufgezeichnet

Infrastruktur:

  • durch die höhere Request-Parallelisierung von HTTP/2 war es für Webseiten, die viele Ressourcen einbinden (z.B. >500 Bilder) einfach möglich, Besucher durch die Firewall komplett auszusperren (inkl. IP-Bann auf dem gesamten Web-Frontend). Entsprechende Limits wurden vorsorglich erhöht
  • Rate-Limiting von Web-Requests angepasst, so dass Anfragen, die wegen Überschreitungen mehrerer Limits abgelehnt werden, nicht mehr verzögert werden (die „Verzögerungstaktik“ einiger Limits erzeugt eine gleichmäßigere Auslastung in Burst-Situationen)
  • Bugfix für ein Problem, bei dem Clients beim Brute-Forcing von FTP-Logins nicht gesperrt wurden

Zudem wurde in der letzten Woche einiges an Grafik, Layout und Animationen (yeah, wir bekommen Animationen auf der Webseite!) vorangebracht. Außerdem gab es noch einiges an internen Änderungen an der Build-Pipeline für unseren Frontend-Code. Unsere aktuelle Frontend-Generation (die noch nicht überall im Einsatz ist, aber immer häufiger verwendet wird) basiert auf ES6 und React.js, das von Brunch und Babel gebaut wird. Cooles Zeug! Und nun: schönes Wochenende! 🙂

Neu: HTTP/2

HTTP/2 ist die Weiterentwicklung von HTTP, dem Web-Standard, der für die Kommunikation zwischen Browser und Server zuständig ist. Das HTTP-Protokoll wurde 1991 eingeführt und ist inzwischen etwas in die Jahre gekommen, denn das Web hat sich wesentlich verändert. Eine Webseite besteht nicht mehr aus einem, sondern aus sehr vielen Anfragen nach Bildern, CSS, Javascript, Videos uvm. Zudem wird Verschlüsselung als immer wichtiger erachtet, wobei HTTP gar keine Verschlüsselung spezifiziert, sondern dafür auf HTTPS verweist.

HTTP/2 hingegen beseitigt viele dieser Schwierigkeiten und bringt einige Features mit sich:

  • HTTP/2 hat eine Möglichkeit, den Verbindungstyp (HTTP 1.0, 1.1 oder 2.0) auszuhandeln
  • HTTP/2 baut nur eine einzelne Verbindung auf, auf der alle Kommunikation abgewickelt wird (Multiplexing)
  • es werden dank Multiplexing weniger Verbindungen benötigt
  • HTTP-Header werden komprimiert
  • der Server kann per „Push“ weitere Anfragen direkt an den Browser liefern, selbst wenn der Browser sie noch nicht angefragt hat (z.B. für Vorab-Laden)

Insgesamt hat HTTP/2 eine deutlich modernere Ausrichtung als das in die Jahre gekommene HTTP 1.0/1.1. Diese Vorteile wollen wir natürlich auch unseren Kunden verschaffen.

Deshalb haben wir in den letzten 48 Stunden für alle Webseiten auf lima-city HTTP/2 ausgerollt!

Die Webseiten für Besucher per HTTPS bereitzustellen ist letztendlich die Leistung, die wir für unsere Kunden erbringen. Die Änderung ist also ganz enorm in den Auswirkungen und dem Risiko, für unsere Kunden und für uns (wir garantieren unseren Kunden Verfügbarkeit – ein Problem beim Rollout hätte uns auch wirtschaftlich enorm schaden können). Ein weiterer Blog-Post darüber, wie und unter welchen Kriterien solche Entscheidungen getroffen werden und wie unser technischer Aufbau zusammen mit der Nutzung unserer eigenen Cloud uns ermöglicht, solche Änderungen gefahrlos zu testen folgt bald! 🙂

Update-Freitag

Es tut sich einiges bei lima-city, und damit das nicht alles hinter verschlossenen Türen passiert, gibt es mal wieder ein paar Update-Infos von uns. Vor einiger Zeit hatte ich schon damit begonnen, Freitags Update-Infos zu lima-city bereitzustellen und hatte das nach einiger Zeit erst einmal wieder gestoppt. Ich greife das nun wieder auf, vielleicht etwas unregelmäßiger, aber wir werden sehen. Hier die wichtigsten Änderungen aus dieser Woche nach Themen:

Verwaltung:

  • im Domain-Check ist die Registrierung und der Umzug von Premium-Domains hinzugefügt worden
  • es werden die Reports des CERT-Bund nun automatisch an unsere Kunden weitergeleitet
  • Bugfix SSL-Zertifikat-Verlängerung: ignoriert nun bekannt problematische Hostnamen
  • Bugfix SSL-Zertifikat-Verlängerung: das bestehende Zertifikat wurde gleichzeitig zur Ausstellung des neuen Zertifikats gelöscht, dadurch war in einigen Fällen für einige Sekunden (~30s) kein SSL-Zertifikat vorhanden. Die Schritte laufen nun nacheinander ab.
  • Bugfix WordPress-Toolkit: kann nun WordPress-Installationen verwalten, die „localhost“ als Datenbank-Hostnamen eingestellt haben
  • Bugfix Restore-System: die Restore-Liste zeigt keinen Fehler mehr an, wenn das Backup zu einem Restore gelöscht wurde
  • Bugfix/Verbesserung Restore-System: entferne Datenbank-Backups aus der Liste, die Verwirrung stiften können
  • Verbesserung ADV-Vertrag: nach Vertragsschluss wird das PDF per E-Mail verschickt

Webhosting:

  • Update auf Apache 2.4.29 (Premium-Webspace)
  • Monitoring verbessert für Fälle, in denen Apache-Prozesse nicht korrekt beendet werden können und „hängen“ (z.B. unendliches warten auf einen Socket nach einem Segfault von PHP-FPM)
  • Filter für ausgehenden Traffic an Command & Control-Server der Malware „Citadel“
  • Updates an der Build-Infrastuktur zum automatischen Bauen von PHP-Paketen nach einem Release auf php.net

Wir arbeiten noch immer an dem neuen WordPress-Toolkit, das sich in großen Schritten der Fertigstellung nähert. Es sind noch zwei Punkte offen, die wir vor einem Release an alle Kunden beheben müssen und zwei weitere Verbesserungsmöglichkeiten würden wir auch noch gerne umsetzen.

Bis dahin wünschen wir ein schönes Wochenende bei dem schönen Wetter!