Category Archives: Braunschweig

Sparkassen-Shop mit Tracking und unsicheren Webseiten

Posted on by

Da wollte man so harmlos mal die Webseiten der Braunschweigischen Landessparkasse aka. Norddeutsche Landesbank oder kurz NORD/LB, benutzen, da zieht ein merkwürdiger Werbelink meine Aufmerksamkeit auf sich : http://www.sparkassen-shop.de

Hätte ich mal nicht hingeschaut :

SSL-Report des Sparkassen-shops mit Fehlermeldungen. Die Webseite ist als unsicher markiert und der Schlüssel entspricht nciht mehr so ganz den Ansprüchen an einen sicheren SSL Key

SSL-Report des Sparkassen-shops

Wie man schön sehen kann, stimmt was mit der HTTPS Seite nicht, weil der Browser schon von sich aus warnt, daß unsichere Links enthalten sind. Da sowas mein Job ist, kurz mal FireBug aktiviert und nachgesehen. Das hätte ich mal besser nicht machen sollen 😀

oh wie peinlich :  ERWISCHT beim Tracken

Da fand sich dann folgender Trackinglink der hauseigenen PIWIK Installation:

<img src=“http://piwik.sparkassenverlag.de/piwik/piwik.php?idsite=18″ style=“border:0;“ alt=““ />

sowas gehört auf einer HTTPS Seite natürlich auch mit HTTPS:// eingebunden !
Lustigerweise macht der Code-Schnippsel von PIWIK selbst, das richtig 🙂

Damit haben wir die Quelle der Browsermeldung, aber wenn wir schon dabei sind,  was zum Geier soll das sein ?!?

<a href=“http://www.blsk.de“ target=“_blank“>

Seit wann braucht man hardgecodete HTML Entitätsersatzanweisungen aus dem UTF-8 Zeichensatz für ein simples „://“ ?!?

Da kann man nur mit dem Kopfschütteln 🙂

Schlüssellängen

Aber warum habe ich jetzt eigentlich in dem SSL-Report die Schlüssellänge und den HASH-Algo markiert ?

Für die meisten (Männer) gilt die Formel :  Länge * Angelerfahrung => Menge(Selbstbewußtsein), lustigerweise gilt das auch für Webseitenverschlüsselungen. 2048bit Schlüssellänge waren vor Jahren mal empfohlen als ausreichend, ein paar konservative Fachmenschen würden das heute noch empfehlen, aber für eine Bank, da kann man nur zu einer vernünftigen Schlüssellänge von 4096+ Bits raten. Denn das sollte ja wohl sicher sein, oder war Fort Knox mit Wattebällchen abgesichert ?

Fazit

Diese Webseite gehört zu Kategorie: „Hätten Sie mal jemanden ohne Zertifikat gefragt“. Aber nicht alles ist schlecht, denn insgeheim hatte ich mit Google Analytics gerechnet zum Tracken der Benutzer und da ist mir PIWIK auf den eigenen Servern des Webseitenbetreibers natürlich lieber.

Da diese Grafik (oben) aber geladen wird, noch bevor man die Chance hatte, die Datenschutzerklärung zu lesen und die Seite ohne Tracking wieder zu verlassen, ist es wohl nur eine Frage der Zeit, bis der Datenschutz die Seite dicht macht. Wir sind ja hier in der EU, die auch eine Einwilligung zum Tracking per Einsatz von Cookies vorraussetzt.

Nur so ein Denkanstoß an die Verantwortlichen: Auf der Startseite brauch man noch kein Tracking, wie oft die aufgerufen wurde, sagt einem auch ohne weiteres das Apache Domlog.

Weiter als die Startseite durchzusehen, habe ich mich dann nicht getraut, ich hatte Angst, daß ich heute Nacht noch an dem Artikel sitzen würde 😉

Neue Webseiten bei der Braunschweiger Landesbank

Posted on by

Die neuen Onlinebankingwebseiten der BLSK, der Braunschweiger Landessparkasse, einer Unterabteilung der NordLB, sind wie erwartet noch schlechter geworden, als sie vorher waren. Unglaublich, daß es noch schlechter geht, aber die Sparkassenentwickler haben es geschafft.

Man weiß gar nicht wo man anfangen soll, deswegen eine unsortierte, unbewertete Aufzählung:

  • – Layout wie in Windows 95 : 2/3 des Monitors sind weiße Leerflächen, dafür endloses Scrollen
  • – kein Einsatz von HTML Entitäten für Umlaute in HTML-Emails! => Zeichenfehler in Emails
  • – Fehler beim Layout der Usernamen/PAsswort Eingabeboxen. Der Inhalt überlappt mit dem gemerkten Inhalt des Formulars vom Browser, weil mit CSS in den Hintergrund gezeichnet. Endresultat: Unleserlicher Zeichenmüll
  • – Unsinnige/unwichtige Teile wie Umfagen tauchen prominent doppelt im layout auf. Nicht wegklickbar.
  • – Layout springt, beim Versuch der Kontaktaufname, obwohl 2/3 des Bildschirms leer sind, also genug Platz zum Einblenden wäre.
  • – riesige Bilder sliden in nervtötendem Tempo auf der Startseite, da komischerweise in voller Breite, was der Nutzanwendung nicht gelingt.
  • – insgesamt ist das Layout mit einem Monitor von 1995 gemacht worden.
  • – der Zeichensatz im Default ist für BLINDE vergrößert worden. Webseiten für Senioren sind cool, aber nur solange junge Menschen auch etwas erkennen können.
  • – wenn man einen Brief an die Bank schreibt, wird man ausgeloggt beim Tippen. Soviel Information ist bei der BLSK wohl nicht erwünscht.
  • – Kontaktformular künstlich auf 600 Zeichen begrenzt.
  • – Kontaktformular Eingabefelder sind mit absoluten Pixelzahlen auf eine Mikrogröße geschrumpft. Eingabekomfort ist
  • nicht erwünscht, da lange Passagen eh nicht reinpassen. Das nennt man wohl einen „dezenten Hinweis an den Kunden“ 😉
  • – Ab und zu kann man das Navigationmenü nicht mehr benutzen., da muß man erst einen anderen „Großnavigationspunkt“ ansteuern, bei dem das Menü wieder initialisiert wird.

und so geht das weiter und weiter und weiter..

Fazit: Wegschmeissen und von jemand anderem neu machen lassen !

Das Layout und die Navigation in der Seite sind unrettbar verwoben, weil es sich um einen monolithischen Block handelt, der naturgemäß unflexibel ist. Hier hilft nur Wegschmeissen und neu bauen. Dazu muß man natürlich jemand anderen daran lassen. Jemand der schon mal das Buzzword „Objekt-Orientiertes-Layout“ gehört hat.

Natürlich kann man mich in die Pflicht nehmen, bei dem Prozess zu helfen. Ich fürchte aber, daß falls überhaupt darüber nachgedacht wird, es nochmal neu zu machen, jemand ohne Visionen und ohne Software Architekturkenntnisse das Rennen machen wird. Was dann in einer neuen Email an die Bank enden wird 😉