Since this information will hopefully and ultimately prove to be useful to a lot of Android developers around the Planet I have decided to break with tradition again and write in English (or at least my humble attempt at it) again. In this small post I’d like to discuss several ways that aim at stopping or finishing a class of the Android operating systems that proves particularly difficult to kill: The WebView.

Said class is intended to render HTML-based content and can, if equipped with a proper WebViewClient, automatically follow referenced or render JavaScript based content. And exactly this feature or the lack thereof makes it a very interesting challenge.

Application

Currently I heavily work on x-platform applications that just need to visualize some given data and accept rudimentariy user input; the applications aren’t very time critical or require real-time responses, but must rather provide a similar Graphical User Interface (GUI) on each and every supported platform (like Phones, PC, Tablet, and so on).

Writing a native application in the each platforms respective programming language (Objective-C, Java, Dot-Net) is obviously not feasible, rather an approach to write code just once and having to do only minor adaptions from platform to platform seems more appropriate. And furthermore what better way is there than to write our application in HTML and enliven it with JavaScript.

So, to get the App to the phone there are two ways: either create an HTML5 web package or code a tiny native application that merely offers a full screen sized web view and loads the application into this web view. I decided to use the latter, and since my App uses XHR/AJAX to communicate with my server every second, I didn’t see a need to use native socket connections or similar. In fact, I think WebSockets are quite unnecessary, but that is a different story.

The Problem

Said way works like a charm. However, everytime I used my Application battery life was down to an hour or so, previously fully charged of course. Digging for reasons I quickly came to realise that even though I put the App in background, the XHR-JavaScript-Requests continued unhindered. Apparently the WebView does not stop any running JavaScript when put to sleep which offers new possibilities on one hand (consider using node.js on your phone…) but is highly undesired for my use case.

When I press the home button on an Android device for instance, I want the current App to come to a halt and not consume ressources more than neccesary. As intended by Google as I understand at least, by the way.

So, naturally, after blaming crappy garbage collecting and Java, I startet looking for ways to kill the Android WebView. Hence the basis for this article.

Solutions

Let’s see how various solutions to pause or stop a WebView in Android work…

.getSettings().setJavaScriptEnabled()

Well, you would think that disabling JavaScript in the WebView’s settings would have an instant effect, in short: it does not. Only after reloading the page would there be no javascript any more, and this is not nice by design, since the page is still more or less well rendered.

.stopLoading()

Since XHR “loads” something from another server, you might think that calling “webview.stopLoading()” would have an effect. In short: it does not. Works only on ressources contained within the HTML-file. Pity, is it not… Well, maybe not, since there is no “startLoading()” method to resume XHR after resuming the activity anyway.

.destroy()

As a last resort one might think about “destroy()”ing that thing, and true enough, the WebView itself is not accessible after that. Its threads however continue to exist as zombies somewhere in the vast RAM space and also continue to send XHR requests…

.pauseTimers() / resumeTimers()

In short: Nope, does not work. I even don’t know what these methods are good for if not for controlling JavaScript timers. There aren’t any in plain HTML, AFAIK.

WebViews own onPause() and onResume() methods

On StackOVerflow I found a similar question answered like this (see Google Groups #1 and #2 as well):

You should be able to stop / resume these threads by calling the onPause / onResume on the webview. Those are however hidden, so you will need to do it through reflection. The following code worked for me:

In short again: Did not work for me on 2.3 to 3.2; maybe a particular Android version is required, I don’t know.

And finally: The Working One

The only way I found to stop an XHR in the WebView was to save the URL into a temporary string, load a bogus asset-ressource and put the application to sleep after that. When resuming and the temporary URL contains a value, then load this value; it will be loaded from cache anyway (provided you let the cache handling be done with default settings) and not introduce any delays.

So here’s the source for the onPause():

…and for onResume() events:

Summary

Of course, this way does not truely pause an XHR, it merely allows the Android Scheduler and the GC to work as intended. Whether or not the OS is to blame or it’s the programmer’s fault I don’t dare judge. Since the JavaScript however usually runs in a sandbox and cannot interact with the host system by design, I consider the inability to pause a webview the operating system’s fault, particularly, when there is no way to explicitly shut down (“kill -9″) an application.

Eine rege und hitzige Diskussion entspann sich gestern wieder mit einigen Kollegen (danke an Thomas Stibor und Jonas Pfoh, immer ein Vergnügen ) vom Lehrstuhl; es ging um Sinn und Erfolg von mobilen Marketing-Plattformen (“AppStore”, “Market”). Meine provokante These, dass die Markets eben mit Nichten die Erwartungen Ihrer Anbieter erfüllen, wurde vehement versucht zu entkräften mit im Wesentlichen Hören-Sagen- Aussagen, oder “ist doch klar, dass…”; robuste Argumente konnte keine Seite vorbringen.

Zeit, das zu ändern und zumindest den Erfolg der reinen App-Geschichte infrage zu stellen.

Thema

Punkt ist einfach, dass ich nirgendwo eine detailierte Statistik gefunden habe, in der die Einnahmen der Markets / Stores aufgelistet werden, schön säuberlich nach Kategorie, Land und Betrag. Im Gegenteil: Jahresberichte von Apple und Co sprechen immer nur von einem Gesamtergebnis (“Income from Operations”). Eine Aufschlüsselung in Geschäftsbereiche fehlt vollkommen.

Oh, selbstverständlich: Steve’s offizielle Aussagen sprechen von augenwischenden 100-Millionen von Downloads. Was er und seine Kollegen verschweigen, sind eine Reihe von wichtigen Dingen und Fragen:

• Wieviele der Downloads sind bezahlte Applikationen?
• Wieviel Geld nimmt der Store an sich ein und wieviel muß der Anbieter an die Entwickler auszahlen?
• Wieviele Applikationen bleiben nach dem Download noch in Benutzung?

Es gibt Indizien dafür, dass das reine Geschäft mit bezahlten mobilen Anwendungen einfach keines ist, zumindest nicht außerhalb der USA. Aus dieser Quelle, die auch sonst absolut lesenswert ist:

Yardley also took on a question developers often face: whether to charge for an app or use a free, ad-supported model. He noted that paid apps are used slightly more than free ones and for slightly longer periods. In his findings, very few apps can succeed with ad support. The number of views just isn’t there.

Dann stellt sich die Frage, wie überhaupt bezahlt werden soll: Im Android Market mit Google-Checkout (wer bitte hat schon eine Kreditkarte?), bei Apple ist’s der iTunes-Account, auch der will eingerichtet sein, selbiges bei Microsoft mit einem Hotmail-Account. Am ehesten erscheint mir noch iTunes USA als System, bei dem auf die Telefonrechnung gebucht werden kann, am tragbarsten. Ist in DE wahrscheinlich in 10 Jahren noch nicht möglich.

Für den Android-Markt sehen wir ganz deutlich aus dieser Quelle, dass es keine 100 bezahlten Apps gibt, die wirklich erfolgreich im Sinne von mehr als 50 000 Downloads sind. Dem gegenüber stehen über 2000 kostenlose/werbefinanzierte Applikationen, die mehr als 250 000 Downloads aufweisen können.

Zudem bemühen sich die Firmen Apple und Google, eben weitere GEschäftfelder zu eröffnen: Bezahlte Abo’s in etwa, die man in Applikationen vertreiben kann. Wie dämlich ist das denn? Der Verlag müßte doch nur eine brauchbare mobile Webseite anbieten, wozu brauchen die ne App dafür?

Dann wäre eine Frage, auf welche Märkte sich die Statistiken beziehen. Ich habe bei der Werbungsfirma AdMob in diesem PDF auf Seite 4 eine interessante Grafik gefunden. Deutschland spielte letztes Jahr noch gar keine Rolle. Auf Seite 11 ist übrigens klar erkennbar, wie iOS nach und nach Marktanteile an Android verliert, während andere Plattformen nahezu konstant bleiben.

Die sehr interessante Frage, wieviel Geld ein durchschnittlicher Benutzer eigentlich monatlich für Apps ausgibt, sollte eigentlich auf Seite 25 beantwortet werden, leider fehlen eben wichtige Angaben; die Folie ist unbrauchbar: Bei der i* Zeile fehlt die zeitliche Angabe, bei Android die finanzielle.

Auch vermischt die Studie Angaben über automatisch durch das AbMob Netzwerk gewonnene Erkenntnisse mit denen, die durch eine Umfrage ermittelt wurden. Schade.

Fazit

Ich kann leider nicht mit belastbaren Zahlen aufwarten, sondern nur von den obigen Indizien zehren: App-Stores ohne Zusatzeinkommen durch weiteren Content und Werbung rentieren sich hinten und vorne nicht im Vergleich mit anderen Einnahmequellen der Unternehmen (Hardware, andere Dienste und Dienstleistungen und vor allem Werbeverkäufe).

Spannend zu untersuchen und damit sicher unmöglich herauszufinden wäre nun, wieviel die Werbung zumindest in Free-Apps eigentlich bringt, d.h. wieviele Views wirklich zu Klicks werden und wieviele Klicks der werbenden Firma tatsächlich Umsatz bescheren.

Auch das Verhalten mit AdBlockern auf mobilen Geräten und auf dem Desktop-PC wäre zu untersuchen, inzwischen sind die so intelligent, dass sie die Werbung laden, aber nicht anzeigen. Damit haben auch die raffiniertesten serverseitigen Methoden keine Chance mehr, was ich persönlich sehr gut finde.

Gerne erinnern wir uns an die Zeiten unserer Jugend, nicht daß die schon vorbei wären , und denken dabei auch an die unzähligen LAN-Parties oder LANs zurück, auf denen nächtelang gezockt wurde bis die Augen zufielen. An Genres kam alles dran, vom Killerspiel bis zur Materialschlacht in der C&C-Reihe.

Der hier beschriebene Blogeintrag entstand, nachdem ein paar Kollegen diese Zeiten wieder aufleben lassen wollten, und mit modernen Versionen der Betriebssysteme und den guten alten Games Schwierigkeiten haben.

Problem

Konkret geht es um das Spiel Warcraft 3, auf dem wir Tower Wars 1.1 zocken (“Türmchen bauen”). Wir haben dabei die Schwierigkeit, daß das Hosten auf Windows Vista und Windows 7 einfach nicht funktioniert, wenn wir die Rechner über OpenVPN zusammenschließen. Partout erkennt niemand das Spiel im Netzwerk, wenn es auf einem der beiden Betriebssysteme erstellt wird. Ein Kollege hat noch XP (den Gameloader, wie er es nennt), dort läuft es einwandfrei und 7er können auch beitreten.

Symptome

Es scheinenen mehrere Voraussetzungen und Gegebenheiten erfüllt zu sein:

• Betriebssystem ist Windows 7 oder Vista.
• Es existiert mehr als ein physischer Netzwerkadapter (z.B. Open-VPN TAP Device).
• Die Rechner befinden sich mit einem dieser Netzwerkinterfaces in einem gemeinsamen Subnetz (10.10.12.[4-10]).
• Routing funktioniert, Pingen lassen sich die Maschinen untereinander.
• Latenzen sind akzeptabel, sprich <200ms.
• Firewalls sind ausgeschaltet, sprich deaktiviert, nicht nur mit Ausnahmen versehen.

Es gibt also keinen Grund, warum die Konfiguration für die Kommunikation zwischen den Rechnern für Warcraft 3 nicht ausreichen sollte.

Hintergrund

Nach nächtelangem Suchen im Internet stieß ich auf die Lösung. Warcraft 3 benutzt zum Ankündigen eines offenen Spiels im LAN UDP-Broadcasts. Hat ein Rechner nur eine Netzwerkkarte, so ist alles in Butter: Das Paket geht nur über diese Schnittstelle raus und wird eben im Subnetz verteilt.

Existieren 2 oder mehr Interfaces, bekommen wir ein Problem: Dann werden die Broadcasts nur noch auf der Verbindung mit der niedrigsten Metrik ausgegeben, also meistens auf einer einzigen Netzwerkkarte.

Nun ist es unter XP so, dass die Open-VPN-TAP-Schnittstelle, wenn die automatische Metrik aktiviert ist, höchste Priorität erhält, vielleicht weil dort die Metrik automatisch anders geändert wird (OpenVPN meldet einen 10 MBit/s Linkspeed bei Windows). Unter Vista und 7 allerdings ist das nicht mehr der Fall. Dort bleibt wahrscheinlich die Netzwerkkarte mit der dicksten Datenrate die höchstpriorisierte Verbindung.

Wir sehen schon, die Fehlfunktion liegt daran, daß die “Announce”-Pakete auf dem falschen Interface ausgegeben werden, und statt ins VPN über die lokale Netzwerkkarte wegen der geringeren Metrik der Verbindung gesendet werden.

Es scheint generell eine Schwierigkeit zu geben, wenn Programme in guter Intention auf 255.255.255.255 broadcasten in der Hoffnung, wirklich alle angeschlossenen Netze zu erreichen, das Betriebssystem aber tatsächlich eben nur auf dem einen Interface mit geringster Metrik sendet.

Lösung

Gelöst werden könnte das Problem auf mehrere Arten.

Saubere Programmierung

In der eigenen Software müßte man alle verbundenen Netzwerke abfragen und an ihre jeweilige Broadcast-Adresse schicken. Die Broadcast-Adresse ist die Adresse mit lauter 1-Bits im Host-Teil, bei /24er (Class C) Netzen also *.*.*.255, bei /16 (Class B) *.*.255.255 und bei /8 (Class A) Netzen *.255.255.255; siehe auch hier.

Das läßt sich auf Warcraft 3 leider nicht anwenden, da das Spiel an 255.255.255.255 sendet.

Routen ändern

Für die Dauer des Spiels könnte man alle Routen an 255.255.255.255 löschen und nur eine einzige auf die jeweilige VPN-Adresse setzen; auf der Kommandozeile ist einzugeben:

Metrik ändern

Man könnte die Metrik der Verbindungen für alle Einträge 255.255.255.255 auf den gleichen Wert setzen. Theoretisch möglich sein sollte das, zumindest habe ich das in der Routingtabelle schon gesehen. Leider spinnt der ROUTE ADD Befehl, und hält sich nicht an meine Metrik-Vorgaben unter Windows 7 x64. Aus METRIC 10 werden dann mal 40 und mal 20, ich hab’s nicht hinbekommen.

UDP-Pakete klonen

Ein findiger Programmierer hat sich ein kleines Tool geschrieben, dass jede Netzwerkkarte im Promiscous-Mode öffnet mittels WinPCap, und einfach lokal erzeugte UDP-Broadcasts auf allen nicht betroffenen Netzwerken ausgibt und dabei die Quell-IP-Adresse noch korrekt setzt (Port bleibt natürlich erhalten wie er war).

Das Tool muß im Administrator-Modus gestartet werden und hinterläßt keine Spuren im System. Ich persönlich halte das für die brauchbarste Lösung, weil man nicht selbst mit den unberechenbaren Routingtabellen spielen muss.

Update: Es existiert offenbar noch ein weiteres Tool (HamachiBroadcastFix), dass vergleichbares leistet und für die VPN-Lösung Hamachi geschrieben wurde. Den Blogeintrag findet ihr hier (Danke an dere24), weiter unten auf der Seite findet sich eine Beschreibung und der Download.

HEUREKA! Wie lange schon geht mir auf die Nerven, dass WordPress keine Inhaltsverzeichnisse unterstützt. Die Suche nach “table of content” in der Plugin-Seite fördert nur wenig zu Tage, ganz selten ist eines der gefundenen Plugins überhaupt mit WP 3+ kompatibel, gefallen hat mir keines. Ziel ist doch nur, aus den Überschriften der verschiedenen Level eines Artikels ein popeliges Inhaltsverzeichnis zu erzeugen.

Nun ja, nachdem dem Inschenör nichts zu schwör ist, wird ab heute selbst Hand angelegt. Die Grundlage bildete das noch am ehesten brauchbare Plugin “TinyTOC“, welches aber auch eigene Tags erwartet, um Überschriften zu erkennen.

Nachdem ich gerne die Qualitätsmarke “made-in-Germany” auf eigene Entwicklungen stempele, ist’s nicht genug, ein Inhaltsverzeichnis zu erzeugen, sondern auch mit einer uralten HTML-Schwäche zu brechen – den Kapitelnummern. Warum können verschachtelte Heading-Tags nicht entsprechend (1., 1.1., 1.1.2, etc.) ausgegeben werden?! Es ist selbst mit CSS nicht möglich, entsprechende Funktionalität zu implementieren.

Zeit wird’s für ein Redesign.

Beschreibung

Das Plugin kann im Wesentlichen die folgenden zwei Aufgaben übernehmen.

Erweiterung von Überschriften um Kapitelnummern

Das Plugin scannt den gesamten Text eines Posts, egal ob in Seite aufgeteilt (“paginated”) oder nicht, und extrahiert die Überschriften aus den h1-h6 HTML-Tags. Sofern der Autor die Verschachtelung korrekt durchgeführt hat, sprich alle Ebenen sind aufsteigend hintereinander angeordnet (1. -> 1.1. -> 1.1.1., nicht 1. -> 1.1.1.), erstellt das Plugin korrekte intern Einträge.

Aus diesen erzeugt es quasi-eindeutige, zumindest aber statische ID-Attribute und weist sie den jeweiligen h*-Tags auf der aktuellen Seite (“Page”) zu. Dies geschieht unabhängig von den Gliederungsebenen, jede Überschrift erhält eine eigene ID.

Danach werden optional aus den Einstellungen im Admin-Interface und den jeweiligen Gliederungsebenen Kapitelnummern erzeugt (z.B. I., I.1, I.2, II., II.1., etc.) und diese dem Text der Überschrift vorangestellt.

Es lassen sich dafür drei Dinge einstellen:

1. Die Tiefe der Nummerierung von Level 1 – Level 9.
2. Der Nummernstil der Ebene:
   • nicht nummerieren
   • Arabische Ziffern: 1, 2, 3, …
   • Römisch Klein: i, ii, iii, iv, …
   • Römisch Groß: I, II, III, IV, …
   • Alphabetisch Klein: a, b, c, …
   • Alphabetisch Groß: A, B, C, …
3. Ein abschließendes Zeichen der Ebene:
   • keines
   • immer den Punkt (1., 2.)
   • Punkt, wenn nicht letzte Ebene (1, 1.1, 1.1.1, etc.)
   • immer Klammer (1),2),3))
   • Klammer, wenn nicht letzte Ebene (1, 1)1, 1)1)1, etc.)

Das sollte eine maximale Flexibilität für die meisten Einsatzzwecke geben.

Erzeugen des Inhaltsverzeichnisses

Wenn gewünscht, erzeugt das Plugin auch ein Inhaltsverzeichnis. Nahezu unabhängig von der Nummerierung von oben können auch hier ein paar Einstellungen vorgenommen werden:

• Kapiteltiefe: Bis zu welchem Level soll der TOC aufgebaut werden.
• Soll es eine flache Liste werden, eine aus <ul>-Elementen erzeugte, oder sollen die Kapitelnummern von oben übernommen werden (dann ist TOC-Tiefe auf die Nummerierungstiefe von oben begrenzt!).

Da die <ul>-Tags und die Nummerierungselemente flach untereinander liegen und nicht verschachtelt sind, erhalten die einzelnen Ebenen jeweils eine oder mehrere CSS-Klassen:

• tinytoc_level_n: Selbsterklärend, in welchem Level befindet das <li>- oder <div>-Element.
• current_page: Ist das Ziel des Links auf der aktuellen Seite zu finden?
• fiurst_in_block: Wenn ein neuer Level-Block aufgemacht wird (z.B. von 1. -> 1.1.), erhält das erste Element im neuen Block diese Klasse.
• last_in_block: Wenn Level-Block beendet wird (z.B. von 1.1. -> 2.), erhält das letzte Element im Block diese Klasse.

Damit kann das Verzeichnis beliebig gestyled und angeordnet werden.

Fazit

Das Stück Software ist weit davon entfernt, sauber oder schön programmiert zu sein, oder fertig. Ich habe im Moment nur leider gar keine Zeit zum weiterentwickeln und habe nur einen 2 Tage-Hack gesucht, um eben den Blog etwas zu verbessern. Hier der TinyTOC-Extended-Quellcode, soweit es geht kommentiert (Hinweis: Ich übernehme keine Haftung für oder gebe Garantien irgendwelcher Art auf die Software; Verwendung erfolgt auf eigenes Risiko!). Zum Installieren einfach in das /plugins-Verzeichnis kopieren, im Admin-Interface bei Plugins aktivieren und -wichtig- mindestens einmal die Konfiguration speichern.

Die meisten großen sozialen Netzwerke bieten inzwischen die Möglichkeit, Inhalte im Internet auch im eigenen internen geschützen Bereich des Netzwerks verfügbar zu machen, zu teilen. Gefällt mir eine Seite, so gebe ich die URL dazu an, die Plattform ruft die URL auf und versucht anhand von Data-Mining eine möglichst knappe Übersicht davon in meiner Hauptseite darzustellen.

Inzwischen aber sind die Plattformen dazu übergegangen, mit technischen Hilfsmitteln direkt auf den fremden Seiten Links (“Like-Button”) anzubieten, mit denen ein Benutzer auf der dritten Seite eine Verknüpfung zwischen sich (seinem Plattformprofil) und der dritten Seite (z.B. IMDB) herstellen kann.

Im Prinzip eine gute Sache, denn wer es nicht braucht, der benutzt es einfach nicht. Schaden oder Mißbrauch entsteht ja keiner, oder?

Eine Ode an die Technik

Leider ist das nicht ganz richtig. Es verhält nämlich sich so:

Sobald Du Dich bei Deiner Plattform, nehmen wir Facebook als Beispiel, einloggst, werden ein Haufen Identifizierer -sogenannte Cookies- in Deinem Webbrowser gespeichert. Es erkennt daran, dass Du der Benutzer XYZ bist, aus welchem Land Du kommst, welchen Webbrowser Du benutzt, und viele andere Dinge. Im Wesentlichen lässt sich damit verhindern, dass jemand durch Abhören Deiner Verbindung auf seinem eigenen System sich als Dich ausgeben kann.

Mit anderen Worten: Bei jedem Seitenaufruf durch Dich werden sehr viele Informationen zwischen Deinem Browser und Facebook ausgetauscht.

Der nette Nebeneffekt ist, dass Du Dich nicht jedesmal bei einem Klick in Facebook einloggen musst. Die Plattform weiß ja, wer Du bist, und gewährt Dir daher die Rechte dazu.

Jetzt wird es ein bisschen schwieriger:

• Fakt eins: Auch wenn Du Dich ausloggst oder den Browser schließt, bleiben die meisten der oben genannten Cookies bestehen. Das heißt, Facebook weiß auch morgen noch, wer Du bist, obwohl Du dich noch gar nicht eingeloggt hattest.
• Fakt zwei: Bei jeder Anfrage an Facebook, also bei jedem Bild, jeder Seite, jedem Text und auch jedem Stück Programmcode (“JavaScript”), welche Dein Browser von Facebook anfragt, werden alle diese Cookies mitgesendet.
  Facebook weiß also immer, wer welches Bild, Text, usw. herunterladen und anschauen möchte, und das selbst dann, wenn Du nicht eingeloggt bist.
• Fakt drei: Es spielt keine Rolle, auf welcher Seite Du gerade surfst. Bist Du beispielsweise bei www.imdb.de unterwegs, und würde IMDB ein Bild von Facebook (und sei es nur das Facebook-Logo!) auf seiner Seite darstellen, dann würde Dein Browser:
  1. Von IMDB Inhalte laden
  2. An Facebook Deine Identifizierung (“Cookies”) senden
  3. Von Facebook das Titellogo laden

  Auch kann unter Umständen durch die Dauer der Anzeige, sprich wie lange es braucht, bis Du Dir ein neues Bild von Facebook lädst, darauf geschlossen werden, wie lange Du die Seite angesehen hast, und daraus, wie interessant der Inhalt für Dich war.

Facebook weiß damit ziemlich sicher über Dich, wann Du Dir wo Informationen über welchen Film angesehen hast. Nun kann man das bei Filmen sicher noch nachsehen, was aber bei politischen Inhalten? Was hat es Facebook oder irgendeine andere soziale Plattform zu interessieren, was Du Dir wann anschaust?

Meiner Meinung absolut nichts! Zeit, sich ein Stück Freiheit wiederzuholen.

Fleißige Helferlein

Aus der Not geboren wurde für den Firefox das nette Plugin Adblock Plus, das der Werbeflut im Internet Einhalt gebieten soll. Sein Einsatz ist nicht unumstritten, leben doch viele Seiten von der Darstellung der Werbung.

Nun gut, jeder muss das mit sich selbst ausmachen, wir werden es benutzen, um Facebooks Inhalte auch nur von dort zu laden, wenn wir uns gerade auf der Seite befinden.

Unser Filter soll also:

1. Alle Inhalte von Facebook blockieren (Iframes, Scripts, Images, Links, usw.)
2. Das auf allen Seiten des Internet
3. Es sei denn, wir surfen gerade auf facebook.com

Eine Winzigkeit gibt es noch zu beachten: Facebook lädt statische Inhalte von einer anderen Domäne. Der Filter muss das berücksichtigen.

Hier also die beiden Zeilen:

Diese Zeilen einfach in den Adblock Plus Einstellungen hinzufügen und schon ist man wieder sicher.

Es empfiehlt sich eine Gegenprobe mit Firebug, bei mir hat bislang alles geklappt.

Eine hitzige Diskussion entspann sich im Heise-Forum (Link möchte ich absichtlich nicht setzen, benutzt Google) über das Für und Wider des ePA. Befürworter führen gerne die fantastischen neuen Möglichkeiten an, die der elektronische Ausweis bieten soll und heben hervor, dass das System “sicher” sei und so wenig wie möglich zusätzliche und damit mißbräuchlich nutzbare Daten generiere.

Dem muss nun einmal widersprochen werden, ich habe deswegen Argumente zusammengetragen, die gegen das System argumentieren. Ihr werdet hier keine Pro-Argumente finden.

Einführende Links und Vorträge

Vorab sollte sich der geneigte Leser in der Wikipedia den für Nicht-Techniker relativ gut geschriebenen Artikel bzw. Abschnitt für den ePA zu Gemüte führen. Auch der gestreamte Vortrag über das verwendete Protokoll vom 26c3 erscheint sehenswert. Sehr interessante Vortragsfolien (PDF) habe ich von Dataport gefunden, sie zeigen für die Behörden praktische Auswirkungen auf.

Hier das Video eines Vortrags vom CCC, man möge dem Referenten seinen teils verwirrenden Stil vergeben.

Contra ePA

Vorab möchte ich anmerken, dass zu manchen Punkten Unklarheiten bestehen und ich diese updaten werde, sobald mehr Informationen verfügbar sind. Die entsprechenden Passagen sind selbstverständlich gekennzeichnet.

Anwendungen

Die wichtigste Frage stellt sich nach der Anwendung des ePA, genauer: dem elektronischen Identitätsnachweis. Es sind verschiedene Felder auslesbar und andere auf einen gegebenen Wert prüfbar. Im wesentlichen werden vier Betätigungsfelder angeführt:

• Hoheitsfunktion: Die Grenzbeamten im In- und Ausland können feststellen, ob der Ausweis gültig ist, die Namen mit dem Aufdruck übereinstimmen und ob die im Formular ausgefüllte Adresse mit der im Ausweis übereinstimmt, so sie sich die Mühe machem, die Adresse selbst in ihren Rechner zu klopfen. Wo da der Vorteil zum bisherigen Verfahren liegt, ist zumindest mir nicht ersichtlich. Unklar: Funktioniert die Prüfung online und wird das obligatorisch?
• Altersverifikation: Ist wohl vornehmlich für Zigaretten und Pornoprodukte gedacht. Verzeihung, aber Kippenkaufen geht auch mit Führerschein oder EC-Karte, Orion und Amazon liefern 18+-Produkte eben “zu Händen” bzw. “Persönlich” aus. Und der reguläre Durchschnittskonsument findet im Internet eine Reihe von kostenfreien Alternativprodukten, yourporn,  tube8 und deviantclips, um nur einige zu nennen.
• “Sichere Rechtsgrundlage” im Internet: Hä? Was ist denn jetzt die unsichere Rechtsgrundlage? Das Verfahren mit Vorkasse funktioniert doch sehr gut. Der Kunde zahlt und sagt, wo es hinsoll. Protokolle (z.B. “eMail”) halten die beteiligten Vorgänge einwandfrei fest auf beiden Vertragsseiten. Und nachdem die gespeicherte Adresse noch nicht einmal auslesbar, sondern nur “verifizierbar” ist, kann ich den Ausweis noch nicht einmal als “Ausfüllhilfe” bezeichnen. Und mal ehrlich, was interessiert’s den Versender, wo er hinversendet oder wie sein Kunde heißt? Er hat doch sein Geld schon bekommen, und die korrekte Adressangabe ist im Interesse des Kunden.
• Optional – Behördengänge mittels QES, eGovernment: Man soll sich offenbar authentifizieren (können), wenn man Offizielles bei der Verwaltung tätigt. Bei allem nötigen Respekt, aber wann muss ich das schon? Gewerbebetrieb und Steuererklärung funktionieren derzeit sogar ohne Zertifikate über ELSTER einwandfrei und unkompliziert, alles andere kann ich per Fax erledigen, und die Ummeldung, bei der es tatsächlich Einsparungen bringen könnte, mache ich einmal in fünf Jahren.

Unklar ist weiterhin, wie ich das eGovernment benutze: Während das BSI schreibt, dass eGovernment schon mit eID möglich ist, scheint die rechtsverbindliche Unterschrift, die bei Behörden vonnöten wäre, nur mit QES möglich zu sein. WTF!?

Weitere Anwendungen, weswegen man den Ausweis bräuchte, wollen mir gerade nicht einfallen.

Hardware

Für jeden teilnehmenden Rechner oder auch “Clienten” braucht man offenbar ein kompatibles = zertifiziertes Lesegerät. Ob das Lesegerät oder der teilnehmende Rechner (nicht Benutzer!) an sich im System eindeutig identifizierbar ist oder sein wird, ist mir derzeit unklar. Im digitalen Behördenfunk wird das so sein, jedes Gerät soll ja eindeutig adressier- und vor allem sperrbar sein, falls es verloren geht oder gestohlen wird.

Nun stellt sich die Frage, ob wir denn nichts gelernt haben aus HBCI und FinTS, dem “sicheren” Online-Banking. Die Parallelen sind frapide: Man brauchte ein Lesegerät (ca. 30,- €, soweit ich noch weiß), von der Bank eine HBCI-Chipkarte (ca. 10,- €) und HBCI-PIN sowie eine kompatible zertifizierte (?) Software (z.B. Starmoney oder das T-Online Produkt). HBCI hat es nie weit gebracht, vermutlich, weil der finanzielle und organisatorische Aufwand für den Anwender im Gegensatz zum Nutzen zu groß war.

Zwar ist das System bestehend aus Webinterface und *TAN nicht besonders sicher, aber dafür einfach und von relativ vielen Menschen bedienbar. Und hier noch eine inoffizielle sinngemäße Aussage eines Vorstands einer österreichischen Bank:

Sicher kosten die Schäden, welche uns durch Online-Banking-Betrug und PIN-Phishing entstehen, Geld. Es würde uns aber sehr viel mehr kosten, wenn wir durch neue Verfahren und neue Sicherheitssysteme unsere Kunden verunsichern. Daher zahlen wir lieber und machen um diese Vorfälle keinen großen Wind.

Software

Damit ein Rechner am System teilnehmen kann, muss zusätzlich darauf eine Software, der sogenannte Bürger-Client, installiert werden. Laut Wikipedia ist der Auftraggeber das Bundesministerium des Inneren (BMI), und da habe ich schon aufgehört zu lesen. Außer dem Wikipedia-Artikel habe habe keine detailreicheren Beschreibungen zur Software gefunden. Folgende Punkte sind unklar:

• Wird die Software OpenSource (No Security through Obscurity!)?
• Für welche Betriebssysteme wird es sie geben?
• Wer garantiert mir, dass ein potentiell vorhandenes Auto-Update-Feature keinen Bundestrojaner auf meinen Rechner lädt bzw. dass die Software nur genau das tut, was sie soll?
• Muss sie unter einem Administrator-Account laufen?

Verbindung

Offenbar benötigt der Client eine Online-Verbindung. Das kann ich zwar bei den Personen, die die obigen Anwendungen nutzen, als gegeben voraussetzen, auf der anderen Seite aber hatten 2007 “nur” knapp 20 Millionen Haushalte von 39 Millionen, sprich zirka die Hälfte, einen Breitbandanschluss. Über Schmalbandverbindungen habe ich keine verläßlichen Aussagen gefunden.

Potentiell müssen also die Mitglieder der anderen 20 Millionen Haushalte vorerst auf die Benutzung des Systems verzichten, bezahlen es aber trotzdem.

Usability

Weiterhin gibt es verschiedene Daten und Nummern, mit denen der Benutzer zurecht kommen muss:

• Personal Identification Number (PIN) zum Benutzen der eID Funktionen
• Aufgedruckte CAN für dritten Eingabeversuch der PIN
• PIN Unblocking Key (PUK) zum Zurücksetzen von drei Fehlversuchen (PIN-Änderung damit aber nicht möglich)
• Sperrkennwort für den Ausweis
• Optional: PIN2 für QES
• Unklar: PUK2 zum Entsperren der PIN2?

Der Nutzen der CAN stellt sich mir sehr infrage, nachdem offenbar ein simpler Kopierer diese Nummer bereits kopieren kann und sie statisch zu sein scheint. Es scheint so zu sein, dass die Nutzung der CAN sicherstellen soll, dass der Ausweis tatsächlich vor Ort am Lesegerät liegt, nachdem sie offenbar nur für hoheitliche Stellen benutzbar ist.

Jetzt aber kommt der Hammer: Man mache die Unterschiede zwischen diesen Teilen einem Nicht-Techniker klar. Yummi! By the way: Wenn die PIN dreimal falsch eingegeben wurde, was bei älteren Teilnehmern schon mal vorkommt, kann nur noch eine Behörde mit entsprechendem Zertifikat (oder der PUK) dat Dingen wieder entsperren. Juchuu, wenn so ein Entsperrzertifikat, von denen es potentiell Hunderte geben kann, abhanden kommt, nicht wahr (der Vollständigkeit halber möchte ich diesen Punkt allerdings als unklar anbringen).

Biometrie

Das Paßfoto wird elektronisch auf dem Ausweis gespeichert, und ist offenbar durch hoheitliche Stellen auslesbar. Zitat aus diesem PDF, Seite 71:

Aufdruck der Karten-Zugangsnummer, mit der hoheitliche Stellen auf alle Daten [confirmed: auch die eID-Daten] im Chip zugreifen können.

Nachdem nicht klar ist, was “zugreifen” genau bedeutet, gehe ich einmal davon aus, dass es mit “auslesen” gleichzusetzen ist. Dafür ist offenbar ein wiederum potentiell hundertfach vorhandenes Hoheitszertifikat ausreichend. Außerdem steht der Beweis, dass eine automatisierte Gesichtserkennung besser ist als die eines Menschen, noch aus. Stichwort “Seam-Carving”.

Gläserner Bürger, Überwachung, Mißbrauch

Neben der schon angesprochenen potentiellen (unklaren) Schwachstelle der vielen verteilten Zertifikate, die etwas dürfen in den Ausweisen (PIN zurücksetzen und entsperren, Adressen ändern, Ausweis für ungültig erklären, Daten auslesen, und anderes) existiert möglicherweise eine eklatante Schwachstelle im Datenschutz.

Fakt ist, dass eine Firma, die eID für ihre Kunden anbieten möchte, sich beim Ausweishersteller (Bund oder BMI) zertifizieren lassen muss und ein entsprechendes elektronisches Zertifikat bekommt, mit welchem sie Datenfelder aus Kundenausweisen auslesen kann (Zustimmung des Kunden natürlich vorausgesetzt).

Offensichtlich gibt es weiterhin sogenannte Sperrlistenbetreiber, die die von einer PKI bekannten Revocation-Lists (CRL) bereithalten, also das Wissen darüber, welche Ausweise (genauer: deren IDs) ungültig sind. Eventuell ist der Inhaber gestorben, oder hat seinen Ausweis selbst gesperrt, die Gründe sind verschieden.

Es macht daher für jeden eID-Teilnehmer (Geschäft oder hoheitliche Stelle) Sinn, einen Ausweis vorab auf Gültigkeit zu prüfen. Legt der Kunde einen ungültigen Ausweis vor, würde die restliche Transaktion (Bestellung, Einreise, usw.) abgebrochen oder zumindest anders abgewickelt werden.

Das Geschäft oder die hoheitliche Stelle wird also bei dem oder einem Anbieter der offiziellen CRL die Gültigkeit des Dokumentes nachfragen. Damit ergibt sich auf der Anbieterseite der CRL ein Record ähnlich des folgenden:

• ID des Ausweises
• ID der anfragenden Einheit
• Zeitstempel

Kann nun eine Verknüpfung hergestellt werden zwischen Ausweis-ID und Inhaberdaten, was theoretisch bei jedem Online-Einkauf mit eID-Funktion geschieht, hat der CRL-Betreiber bereits wertvolle Daten erhalten.

Kann eine weitere Verknüpfung zwischen Lesegerät-ID und Standort bzw. Inhaber hergestellt werden (potentiell beim Herausgeber der Zertifikate vollständig vorhanden), so ist nun auch bekannt, welchem Zweck die Abfrage diente. Hat beispielsweise der “Orion-Versand” für “Max Müller” die Gültigkeit geprüft, dürfte recht eindeutig sein, was Max Müller wohl bestellt hat.

Die Gefahr besteht deswegen aus meiner Sicht, dass sich vollständige Reise- und Kaufprofile von Benutzern erstellen lassen. Allein dass die Möglichkeit besteht, rechtfertigt schon eine ernsthafte Sorge, denn wo Mißbrauchsmöglichkeiten bestehen, werden sie früher oder später auch genutzt. Siehe Deutsches LKW-Mautsystem und Gefahrenabwehr. Lach.

Kosten

Mein herkömmlicher Ausweis hat knapp 8,- € gekostet. Der Bio-Reisepass hat 56,- € EUR, knapp das doppelte, gekostet. Nun stellt sich mir die berechtigte Frage: Wer soll das bezahlen, wer hat soviel Geld?

Das BMI meint lapidar:

Was wird der elektronische Personalausweis kosten?
Noch befindet sich der elektronische Ausweis in der Planungsphase. Ein Preismodell wird derzeit erarbeitet. Ziel der Konzeptionierung ist es, Kosten und Nutzen für die Bürgerinnen und Bürger ausgewogen zu gestalten.

Bedeutet also, ich als Anwender soll den Käse auch noch zahlen. Und es hört ja nicht beim Ausweis auf. Wer bezahlt den Leser? Wer ersetzt den Teilnehmern im Internet (Versandshops) ihre Kosten für die Zertifizierung? Zumindest die Vergangenheit zeigt, dass das die Verbraucher sein werden. Vielen Dank dafür.

Fazit

Null Nutzen, mehrfache Kosten. Was soll der Quatsch! Ich werde mir rechtzeitig im Oktober noch einen alten Ausweis holen, dann hab ich wenigstens für 10 Jahre Ruhe.

Schon länger hat es mich genervt, dass das Webinterface vom Snom 370 so kompliziert zu bedienen ist und dass vor allem das Telefonbuch außer CSV keine andere Schnittstelle bietet. Weil das Eintippen eines Ingenieurs nicht würdig ist, hab ich mir die Zeit genommen, ein Python-Script zu schreiben, das einen Outlook-Kontakt-Export als Eingabe annimmt und ein Snom 370 kompatibles CSV erzeugt. Sofern ein Kontakt mehr als eine Telefonnummer besitzt, wird das Snom-Feature der Gruppierung verwendet; man wählt im Adressbuch zuerst den Kontakt und kann sich dann entscheiden, welche Nummer (“Telefon”, “Telefon 2″, “Büro”, “Firma”, etc.) man wählen möchte.

Benutzung

Es folgt eine Anleitung, wie das Script verwendet werden kann.

1. Zunächst installiere man sich Python 2.6 oder höher auf den Rechner und stelle sicher, dass die Pfadangaben stimmen und dass der Pfad übernommen wurde (Rechner neustarten oder Umgebungsvariable manuell setzen).
2. Man erstelle in seinen “Dokumenten” einen neuen Ordner, z.B. “python”.
3. In Outlook ist nun der Ordner “Kontakte” zu exportieren:
   • Datei -> Importieren/Exportieren
   • Exportieren in eine Datei [ Weiter > ]
   • Kommagetrennte Werte (Windows) [ Weiter > ]
   • Entsprechenden Kontakt-Ordner anklicken [ Weiter > ]
   • Zum neuen Ordner (“python”) navigieren und den Namen “in.csv” eingeben [ Weiter > ]
   • [ Fertigstellen ]
4. Outlook 2 Snom/Grandstream Konverter (ZIP-Datei) herunterladen und in das obige Verzeichnis entpacken.
5. Nun muss die .py Datei ggf. mit einem Texteditor angepasst werden. Es kann eingestellt werden, welche Felder aus dem Export in das Snom-Telefon übernommen werden sollen, ob ein Prefix vorzuwählen ist und welches die Landesvorwahl ist.
6. Man öffne eine Kommandozeile und navigiere zum obigen Ordner.
7. Dort führe man das Script mit python aus.
8. Es wurden zwei neue Dateien erstellt (“snom.csv”, “gs_phonebook.xml”), welche nun über das Webinterface des Telefons bzw. einen HTTP-Server in die Geräte geladen werden können.

Anmerkungen

• Achtung: Das Script setzt voraus, dass die Nummern in Outlook im Format +LAND (ORT) NUMMER – DURCHWAHL gespeichert sind.
• Wenn im Kommand-Prompt der Fehler “Datei oder Anweisung nicht gefunden” auftritt, so liegt Python wahrscheinlich nicht im Pfad. Es kann dann manuell aufgerufen werden mit “C:\Program Files\Python26\python.exe” (je nach Version ist der Pfadname ein anderer).
• Sofern ein Kontakt keine Nummern oder keinen Namen hat, wird er nicht übernommen.
• Ist nur eine Nummer vorhanden, so wählt das Snom 370 sofort beim Auswählen des Kontaktes. Es kommt dann nicht eine zweite Auswahl mit nur einem Eintrag.
• Leider ist die Anzeige am Display etwas vermurkst. Es steht zwar die Nummer im Display, als Name erscheint aber “Mobiltelefon, %NACHNAME%, %VORNAME%”. Der lange String passt nicht auf’s Display.
• Es können keine zwei Kontakte die gleiche Nummer verwenden, da das Telefon die Nummer als Schlüssel der Zuordnung verwendet.

[Update] Nachdem die Original-Outlook-Bezeichnungen so lang sind, hab ich das Script noch etwas gepimpt. Man kann jetzt eigene Spalten-Bezeichnungen vorgeben, und z.B. aus “Mobiltelefon” den Begriff “Cell” oder ähnlich fabrizieren.

[Update 2] Mittlerweile erzeugt das Script auch gleichzeitig die Ausgabe für die Grandstream-Telefone. Da gibt’s allerdings den Wehrmutstropfen, dass Grandstream nur exakt 20 Zeichen für Vorname und Nachname insgesamt erlaubt. Möchte man den Nachnamen vom Vornamen mittels “, ” trennen, so sind es nur noch 18 Zeichen. Lange Namen lassen sich so nicht besonders gut behandeln, aber sonst tut’s.

Ich hoffe, es hilft noch jemandem…

Seit einigen Monaten schon nervt mich eine Mail im Postausgang meines Exchange-Postfachs, die einfach nicht wegzubekommen ist. Es betrifft nur Mails im Outlook WebAccess, in den “großen” Outlook-Clients (2003 und 2007) war die Mail nicht sichtbar.

Wollte ich sie durch Verschieben in den Papierkorb, mittels des “Löschen”-Knopfes oder durch Drücken von “ENTF” löschen, so kam die OWA-Fehlermeldung “Element konnte nicht gelöscht werden. Prüfen Sie, ob das Element noch existiert.”

Lösung

Zwar habe ich nicht herausgefunden, wie so etwas passieren kann. Es scheint aber mit dem Outlook-Cache-Modus zusammenzuhängen. Gelöst wurde das Problem, als ich eine neue Postfach-Datenbank in der “Ersten Speichergruppe” erstellt habe (Name “Backup-DB”) und dann das Postfach dorthin verschoben und wieder in die “Mailboxdatabase” der “Ersten Speichergruppe” zurückgeschoben habe. Danach konnte ich die Mail im OWA einwandfrei löschen.

Hin und wieder kommt es vor, dass ein Abieter von eMail-Diensten sich mit der Problemstellung konfrontiert sieht, eMails für Benutzer an ein lokales Postfach und eine oder mehrere (unternehmens-)externe Mailboxen weiterzuleiten, insbesondere, wenn die Mail-Serverlandschaft nicht homogen ist.

Unter Unix-Mailern bereitet eine solche Konfiguration keine Schwierigkeit, die einfachste Variante ist eine “.forward”-Datei im Homedirectory des Anwenders. Unter Exchange allerdings besteht für den Benutzer selbst nur die Möglichkeit, eine Weiterleitungsregel einzurichten, wobei die Lösung besonders bei vielen (heißt 20 000 und mehr) stark frequentierten Mailboxen sehr auf die Serverlast geht.

Zugleich ist es recht schwer für einen Helpdesk, unbedarften Anwendern den Unterschied zwischen “Umleitung” und “Weiterleitung” zu erklären und Hilfestellungen für die unterschiedlichen eMail-Clients bereitzuhalten.

Szenario

Es sei das links abgebildete Szenario gegeben. Zum einen habe man einen großen Unix-Mailserver, der für “Standard”-Maildienste (POP, IMAP, SMTP) bereitsteht. Benutzer, die Groupware-Funktionen benötigen, werden von einem symmetrisch dazu betriebenen Exchange 2007-System bedient; es soll aber möglich sein, auf beiden Mailservern eine Mailbox zu besitzen und eine oder mehrere weitere externe Postfächer.

Beide Unternehmens-Server werden aus der gleichen Datenquelle mit Benutzerdaten (Namen, eMail-Adressen usw.) provisioniert.

Nun tut sich im Falle von Exchange ein Problem auf. Sofern der Benutzer im Active-Directory eine Mailbox besitzt, wird Exchange interne (d.h. von anderen Exchange-Benutzern versandte) eMails immer in diese Mailbox zustellen, auch wenn der Benutzer eigentlich eine andere Adresse benutzt.

Zwar könnte er eine Weiterleitung über MAPI-Regeln einrichten, hätte dann aber das Problem, dass die “FROM”- und “TO”-Headerzeilen nicht mehr denen der ursprünglichen Mail entsprechen.

Lösung – Theorie

Das Problem betraf einen großen Rechenzentrumsbetreiber in Garching, für den ich die nachfolgende Lösung entwickelt habe. Erschwerend kam noch hinzu, dass für die Konfiguration des Mailsystems eine externe Oberfläche und nicht die nativen (OWA, Outlook) zur Anwendung kommt.

Exchange 2007 bietet die Möglichkeit, eMails für einen Benutzer an ein anderes, eMail-fähiges AD-Objekt (Kontakt oder Verteiler-Gruppe) weiterzuleiten und dabei wahlweise eine Kopie in die lokale Mailbox zuzustellen. Dies ist über die Oberfläche (Exchange Management Shell) und über PowerShell-Scripte konfigurierbar.

Der Unterschied zur MAPI-Weiterleitung ist einfach, dass hier die Headerzeilen erhalten bleiben, da Exchange dann mittels Envelope-Header weiterleitet; der Empfänger sieht nun auch in einer völlig fremden Mailbox noch den ursprünglichen Absender anstatt seine eigene Exchange-Absenderkennung.

Die Lösung besteht nun darin, einfach einen Kontakt für die gewünschte Adresse anzulegen (der Name ist egal, der wird nicht angezeigt im Zielmailsystem) und dem Benutzer diesen Kontakt als Forward-Ziel zu konfigurieren. Nachdem man noch festlegen kann, in welcher OU der Kontakt erstellt wird, behindern diese neuen Objekte auch keine bestehenden Funktionen und tauchen auch nicht in den Adresslisten auf.

Eine Schwierigkeit ergibt sich noch, wenn der Benutzer an mehr als eine Adresse weiterleiten möchte oder wenn ein Kontakt von mehr als einem Benutzer als Weiterleitungsziel verwendet wird. In diesem Falle ist dann zunächst eine Verteilergruppe zu erstellen und diese als Forward-Ziel festzulegen. Danach müssen die einzelnen Kontakte erstellt und der Gruppe hinzugefügt werden.

Lösung – Praxis

Das folgende Script erledigt die Aufgaben; als Parameter sind die Mailboxkennung (z.B. Loginname) und die Ziel-Adressen zu übergeben. Optional kann mit dem dritten Parameter die lokale Kopie aktiviert oder deaktiviert werden. Sofern keine Adressen übergeben wurden, werden die Forwards gelöscht und es findet nur noch eine Zustellung an die lokale Mailbox statt. Anmerkung: Nach dem Löschen von Forwards können unter Umständen Kontakte “verwaist” zurückbleiben. Wenn diese Objekte stören, könnte man sie über einen Batch-Job noch entfernen.

MBKennung

Um CGI-Programme möglichst schnell ohne Prozess-Erstellungs-Penalty unter Windows Server laufen lassen zu können, müssen diese CGI-Programme vom Worker-Process im Speicher gehalten werden; dieses läßt sich mit der FastCGI-Erweiterung für IIS 6 (x86 und x64) realisieren.

Leider geschehen manchmal auch unvorhergesehene Dinge und kryptische Fehlercodes ohne verständliche Erklärung sind dabei an der Tagesordnung.

Nachdam ich zwei Tage verbraten habe, einem 0×80070585 Fehler vom FastCGI auf den Grund zu gehen und endlich durch Mithilfe (englisch) eines erfahrenen Forumsteilnehmers eine Lösung gefunden habe, möchte ich sie hier in der Hoffnung, dass sie noch jemandem hilft, veröffentlichen.

Fehlermeldung

Es erscheint beim Aufruf einer von FastCGI gecachten Anwendung (PHP, Perl, etc) die folgende Fehlermeldung:

FastCGI Error

The FastCGI Handler was unable to process the request.

Error Details:

• Could not find entry for “php” on site 7640 in [Types] section.
• Error Number: 1413 (0×80070585).
• Error Description: Invalid index.

HTTP Error 500 – Server Error.
Internet Information Services (IIS)

oder auf deutsch:

FastCGI Fehler

Der FastCGI Handler konnte die Anfrage nicht verarbeiten.

Fehlerdetails:

• Konnte keinen Eintrag für “php” von Site 1 in der [Types] Sektion finden.
• Fehlernummer: 1413 (0×80070585).
• Fehlerbeschreibung: Ungültiger Index.

HTTP Fehler 500 – Server Fehler.
Internet Information Services (IIS)

Symptome

Voraussetzung ist die Verwendung eines 64-Bit Betriebssystems, nur dort ist die folgende Beschreibung anwendbar.

• Nach Installation von FastCGI auf einer x64 Windows-Server Version erzeugt die Erweiterung FastCGI auch nach Anpassen der %WINDIR%\System32\inetsrv\fastcgi.ini die obige Fehlermeldung.
• Im Verzeichnis %WINDIR%\System32\inetsrv\ wird die Datei “fcgiconfig.js” nicht gefunden, es existiert nur “fcgiext.dll”.
• Wenn Sie von Hand eine “fcgiext.ini” in obigem Verzeichnis anlegen, so wird diese mit gleichem Inhalt in %WINDIR%\SysWOW64\inetsrv\ erstellt.
• Die Webserviceerweiterung ist sicher freigegeben in der Administrationsoberfläche des IIS.
• Das Scriptmapping lautet ganz sicher auf %WINDIR%\System32\inetsrv\fastcgi.dll in der entsprechenden Website.

Weitere Prüfungsmöglichkeiten

Laden Sie sich Process Monitor für Ihr Betriebssystem herunter, führen es aus und filtern alle Ergebnisse mittels “Path”-> “contains” -> “fcgi”. Es sollten jetzt nur noch Zugriffe auf die DLL und die INI-Datei im Fenster erscheinen. Wenn Sie mit dem Webbrowser nun häufig die gewünschte Datei annavigieren (z.B. eine test.php mit nur einem phpinfo(); Aufruf), sollte irgendwann im Process Monitor der Zugriff auf die INI-Datei zu sehen sein.

Der Pfad wird wohl %WINDIR%\System32\inetsrv\fastcgi.ini lauten.

Öffnen Sie diese Datei nun mit Ihrem Text-Editor. Im Process Monitor werden Sie auch das mitverfolgen können, nur diesmal mit höchstwahrscheinlich einem anderen Pfad, nämlich %WINDIR%\SysWOW64\inetsrv\fastcgi.ini, und das, obwohl Sie doch die obere Datei angelegt/bearbeitet haben, mit dem korrekten Pfad!?!

Lösung

Es ist so banal, dass es eigentlich schon wehtut. Sehr sicher haben Sie zum Verzeichnis-Anschauen oder Ini-Datei-Erstellen einen 32bit Editor verwendet, wie z.B. Total Commander mit integriertem Editor. Es findet in diesem Falle eine sogenannte Verzeichnisumleitung statt, d.h. 32Bit-Anwendungen sehen als “ihr” System32-Verzeichnis genau den Inhalt des SysWOW64-Ordners, aber eben unter dem falschen Namen.

Klar, die FastCGI-Extension ist ja 64-Bit und öffnet die richtige, von MS ausgelieferte Datei; Ihr Texteditor aber sieht die falsche, eigentlich in SysWOW64 liegende Datei.

Öffnen Sie die Datei einfach mit einem 64-Bit Editor und schon sollte alles passen. Sie werden sogar das config.js File an seinem Platz finden, so wie es sein soll