Nachlese eZ Conference 2017

16 Jun

Tower Bridge, LondonDer Konferenzort konnte prominenter nicht sein: direkt an der Tower Bridge in London fand die eZ Conference 2017 statt. Vor dem Hintergrund dieses beeindruckenden Londoner Wahrzeichens haben Partner und Kunden aus aller Welt die neuen CMS-Trends und die kommenden Features von eZ Platform als headless CMS diskutiert. 

Neue Features in eZ Platform 1.9

Die Version 1.9 kann mit einigen interessanten Features aufwarten. Taxonomien helfen Inhalte zu klassifizieren und den Kunden zielgerichtete Inhalte anzubieten. eZ Tags bietet genau dies. Angemeldete Kunden können im Profil ihre Interessen auswählen und so von zielgerichteten Inhalten profitieren.

Ein neue Funktion in eZ Studio erlaubt es nun, Formulare für Anmeldungen oder Feedback komfortabel über Drag & Drop zu erstellen.

Siteimprove unterstützt Redakteure und prüft, ob die neue News möglichst vollständig ist, keine Rechtschreibfehler enthält und auch für Suchmaschinen die wichtigsten Anforderungen erfüllt. Daneben bietet dieses Werkzeug die Anzeige von Daten aus Google Analytics zur aktuellen News an.

Die Version 1.9 setzt nun auf Solr 6. 

eZ Platform reloaded

Ein Haupthema der Konferenz war unbestreitbar die kommende Version 2.0. Die Erwartungen sind hoch und die vielen Vorträge mussten beweisen, ob eZ diese Erwartungen erfüllen wird.

eZ Platform und insbesondere die Enterprise Funktionen wie eZ Studio können schon heute mit der Version 1.9 genutzt werden. eZ Platform ist eines der ersten CMS Systeme, die den zukünftig wichtigen Headless Mode konsequent unterstützen. Allerdings hat die Version 1 auch einen großen Nachteil: es ist für Partner nur schwer möglich, das Backend um eigene Funktionen zu erweitern. Für viele Projekte ist dies aber dringend notwendig.

Der Hersteller eZ reagiert mit Version 2.0 auf das umfangreiche Feedback von Partnern und Kunden.

eZ Platform 2.0 wird zwei wichtige Features anbieten:

  • bessere Erweiterbarkeit für Entwickler
  • Hybrid Mode für viele Funktionen

Der Hybrid Mode kombiniert die Vorteile eines Headless CMS mit den Vorteilen einer klassischen servergesteuerten Anwendung. Konkret bedeutet dies, dass die Erweiterungen des CMS auf Basis der bewährten Features (Twig, Controller, Services) erfolgen können.

Werden diese Features eher Entwickler und Partner erfreuen, so wird es doch auch sehr sichtbare Vorteile für den Redakteur geben: 

  • Das neue Backend erhält ein frisches und nutzerfreundliches Design.
  • Das neue Backend wird wesentlicher schneller und flüssiger arbeiten.

Ist PaaS die neue Cloud?

PaaS oder „Platform as a Service“ ist ein neuer Trend. Hinter PaaS steckt die Idee, dass der Plattformanbieter alle Services zur Verfügung stellt, die ein CMS oder ein e-Commerce Projekt benötigt. Dazu gehören Dienste wie Datenbank, PHP, Varnish, Webserver aber auch das Betriebssystem.

Die hohe Standardisierung soll die Installation von an sich komplexen Systemen erheblich vereinfachen. Da tausende Kunden die gleiche Umgebung nutzen ist auch eine hohe Qualität und Stabilität zu erwarten. 

eZ hat als Partner Platform.sh ausgewählt, einen kompetenten Partner, der über viel Erfahrung verfügt. Daher ist es nur konsequent dass eZ für die Zukunft ein Produkt eZ Platform Cloud angekündigt hat.

eZ Launchpad

eZ und Novoactive haben in London mit eZ Launchpad eine Lösung vorgestellt, die Entwicklern zukünftig einige Alltagsarbeiten abnehmen kann und die Installation von eZ Platform per Knopfdruck ermöglicht. eZ Launchpad nutzt die moderne Container Architektur von docker, um die notwendigen Komponenten zu installieren. 

Wir haben die Gelegenheit genutzt und eZ Platform 2 Alpha installiert.

Legacy Anwendungen auch auf eZ Platform migrieren

Beim Umstieg auf eZ Platform müssen viele Anwendungen auf die neue moderne Plattform migriert werden. Dies kostet Zeit und Geld. Mit Hilfe der Legacy-Bridge können einige Anwendungen auch ohne große Anpassungen auf die neue moderne Plattform portiert werden.

Die Legacy-Bridge war bisher nicht als Enterprise Feature verfügbar. In Zukunft können Enterprise-Kunden auch Support für die Legacy-Bridge bekommen.

Neuerungen beim Pricing

Ab sofort gibt es keine Begrenzung mehr für die Anzahl der verwendeten Content Datenbanken.

Cool Stuff

Bård Farstad – einer der Gründer von eZ – hat mit einer Slack-Integration beispielhaft gezeigt, wie einfach eZ Platform mit modernen Diensten verbunden werden kann.

Der Use Case: Das Freischalten von Kommentaren, Rezensionen oder anderen Nutzerbeiträgen ist oft mühsam und kostet Zeit. Genau dieses Problem löst eine geschickte Integration in Slack. Der Redakteur wird über einen speziellen Slack-Kanal sofort darüber informiert, dass neue Inhalte vorliegen. Er kann diese über seinen Desktop oder sein Smartphone direkt prüfen und auf Knopfdruck freischalten. Dieses Beispiel zeigt die Vorteile eines Headless CMS.

Was steht noch auf der Roadmap?

silver.solutions war auch dieses Jahr im eZ Innovation Board vertreten. Auch wenn wir offiziell keine Details veröffentlichen dürfen, so können wir doch zumindest verraten, welche Erweiterungen anstehen.

  • Eine erweiterte Workflow Engine mit vielen neuen Features
  • Advanced Dashboard für Redakteure
  • Neue und optimierte Storage Engine 

Wer nicht so lange auf die neue Workflow Engine warten möchte, der kann bereits heute auf eine Workflow Erweiterung setzen, die Gaetano Giunta als frei verfügbares Plugin vorgestellt hat.

Alle Highlights der Konferenz im Überblick gibt es auch im eZ Blog.

B2B e-Commerce Knowhow (Teil 1): Sicherheit

7 Mrz

Abbildung digitale Sicherheit, Quelle: pixabay.com

Das Thema Sicherheit ist für Onlineanbieter ein Dauerbrenner. Hacker und Softwarehersteller befinden sich in einem ewigen Wettrennen. Fast im Wochentakt werden Berichte zu kritischen Sicherheitslücken in CMS- und Shop-Lösungen publik. Gerade erst wies sogar die Stiftung Warentest erneut auf ein bereits seit Monaten bekanntes Sicherheitsproblem bei einem großen Open-Source-Shopsystem hin, welches in den einzelnen Shops bis heute nicht vollständig ausgeräumt ist. Betroffen von Sicherheitslücken sind kleine Shopbetreiber ebenso wie große Player, wie der Fall Yahoo zeigt.

Sicherheit in B2B Onlineshops

Alles nicht relevant für B2B e-Commerce? Selbstverständlich sind kompromittierte Kundendaten auch im B2B e-Commerce ein Problem und müssen so gut es geht verhindert werden. Darüber hinaus hat das Thema jedoch noch eine viel größere Dimension: im Zeitalter der integrierten Systeme, in denen der Onlineshop Daten direkt in interne Firmensysteme wie ERP, CRM oder PIM einbindet, sind die Risiken von Sicherheitslücken unternehmenskritisch. Einen B2B Onlineshop als Standalone-Lösung zu betreiben ist jedoch auch keine Option. Die Frage ist also, wie schützen Sie Ihr ERP und die wichtigen Daten?

Das richtige Konzept bei der direkten Anbindung an firmeninterne Systeme

Viele Systeme bieten heute von Haus aus die Anbindung über offene Standardschnittstellen wie z.B. Web Service oder die REST API. Dies ist praktisch und erleichtert die Integration verschiedener Systeme. Der Nachteil ist jedoch, dass diese Schnittstellen auch Einfallstore für einen Angriff darstellen, wie erst kürzlich im Fall der WordPress REST API gesehen.

Eine bewährte Lösung stellt hier das Zwischenschalten einer Sicherheitsinstanz dar. So fungiert im Fall unserer Shoplösung silver.eShop der eingesetzte web.connector als Sicherheitsinstanz. Es erfolgt kein direkter Zugriff vom Onlineshop (DMZ) auf das ERP. Es werden nur  definierte Nachrichten zum ERP oder CRM übergeben. Darüber hinaus beinhaltet der Shop ein Monitoring, welches bei Unregelmäßigkeiten den Administrator informiert.

Neben fehlenden technischen Massnahmen führen oftmals konzeptionelle Fehler zu hohen Sicherheitsrisiken: bei vielen Online Shops werden Daten aus ERP oder CRM Systemen importiert. Dies kann im Falle eines Angriffs zu einem massiven Sicherheitsproblem führen. Wenn 10.000 vollständige Kundendatensätze in den Shop importiert werden, dann stellt dies bereits ein hohes Risiko dar. Allerdings unterstützen viele Standard Shops nur diese unsichere Import Variante.

Moderne und sichere Software-Plattformen

Entscheidenen Einfluss auf die Sicherheit hat die verwendete Software oder Platform. Je älter die Platform, umso kritischer ist in der Regel die Sicherheitsfrage. Es gibt zudem unterschiedliche Modelle, wie Zugriffsrechte und Sicherheit  geregelt werden.

Das in silver.eShop integrierte CMS eZ Platform setzt so z.B. auf ein rollenbasiertes Zugriffsmodell, welches den ohne Zuweisung einer entsprechenden Rolle zunächst einmal keinerlei Zugriff auf Inhalte order Funktion irgendwelcher Art gestattet. Dieses Sicherheitskonzept wird per Definition für alle Funktionen und Inhalte der Plattform genutzt.  eZ Plattform wird in sicherheitsrelevanten Bereichen wie bei Banken eingesetzt und regelmäßig überprüft.

Auch das eingesetzte Framework Symfony gilt gemeinhin als eines der modernsten und sichersten, jedoch können Entwickler auch hier schwerwiegende Fehler machen, die Hackern Tür und Tor öffnen.

Viele Anpassungen machen Systeme unsicher

Bei vielen Integrierten B2B  e-Commerce Projekten wird keine Standardlösung für B2B eingesetzt und die Entwickler passen das Produkt so stark an, dass Sicherheitslücken entstehen. Technische Restriktionen zwingen oftmals zu ungewöhnlichen Lösungen: viele an sich sichere Module werden komplett neu entwickelt, zu viele Daten aus dem ERP müssen importiert werden. Dies kann zu erheblichen Sicherheitsrisiken führen.

Häufig wird auf Basis eines VW Golf (=B2C Shop) ein LKW gebaut (=komplexer und integrierter B2B Shop). Für den Strassenverkehr unterbindet zumindest in Deutschland der TÜV oder die Dekra dies. Für Online-Shops gibt es entsprechende Prüfungen leider nicht.

Achten Sie also darauf, dass Sie eine B2B-Lösung einsetzten, die auch dafür entwickelt wurde.

Updates, Updates, Updates

Im Wettlauf von Sicherheitsexperten, Entwicklern, Hackern und Datendieben wird es zwangsläufig immer wieder Situationen geben, in denen Sicherheitslücken aufgedeckt werden. Wenn das der Fall sein sollte, dann hat ein Sicherheitsupdate oberste Priorität. Regelmäßige Sicherheitsupdates müssen zeitnah eingespielt werden. Wenn möglich, greifen Sie auf automatisierte Updates zurück.

Im Rahmen eines eZ Enterprise Vertrags erhalten Sie Sicherheits-Updates automatisch, im Gegensatz zur Open Source Version.

Zum Weiterlesen: Das Blog onlineshop-basics.de hat vor einiger Zeit in einem Artikel die verschieden Risiken für Onlineshops und mögliche Lösungsansätze informativ und übersichtlich zusammengestellt.