Autor: Christian Nölle

Twitter Cards für tt_news

Beitragsautor Von Christian Nölle
Beitragsdatum 19. September 2016

Lösung einer Twitter Cards Implementation für TYPO3 und tt_news.

Einzubinden beispielsweise als Extension Template auf der Single-View-Seite von tt_news.

### Twitter Card:
page.headerData.500 = TEXT
page.headerData.500.value (
<meta name="twitter:card" content="summary" />
<meta name="twitter:site" content="@" />
)
 
 
temp.twitterTitel = COA
temp.twitterTitel {
 10=CONTENT
 10.table= tt_news
 10.select {    
   selectFields = title
   pidInList = {$news_pid.value} # set constant or insert PID
   andWhere {
     # grab the querystring vars and assign it to uid
     data = GP:tx_ttnews|tt_news
     wrap = uid = |
     intval = 1
   }
 }
 #10.orderBy = sorting
 10.renderObj =COA
 10.renderObj {
   10=TEXT
   10 {
     field = title     
     stripHtml = 1
     crop = 70 | ...    
   }
 }
  wrap = <meta name="twitter:title" content="|" />
}
 
page.headerData.505 < temp.twitterTitel 
 
temp.twitterDescription = COA
temp.twitterDescription {
 10=CONTENT
 10.table= tt_news
 10.select {    
   selectFields = bodytext
   pidInList = {$news_pid.value} # set constant or insert PID
   max = 1
   andWhere {
     # grab the querystring vars and assign it to uid
     data = GP:tx_ttnews|tt_news
     wrap = uid = |
     intval = 1
   }
 }
 10.renderObj =COA
 10.renderObj {
   10=TEXT
   10 {
     field = bodytext     
     stripHtml = 1
     crop = 200 | ...    
   }
 }
  wrap = <meta name="twitter:description" content="|" />
}
 
page.headerData.510 < temp.twitterDescription

Wichtig ist, dass <meta name="twitter:site" content="@" /> noch mit einem Twitteraccount gefüllt werden kann, der als Ansprechpartner dient. Dies ist jedoch nicht mehr zwingend erforderlich. Daher kann die Zeile 5 auch einfach entfernt werden, so denn kein Account angegeben werden soll.

Eine Erweiterung um die Bilder, die in der News benutzt werden, wäre relativ einfach nach o.a. Schema umzusetzen. Das META-Tag, welches hier von Twitter erwartet wird, ist <meta name="twitter:image" content="" />.

Schlagwörter tt_news, Twitter, TYPO3

Allgemein

Wir bekommen ein Büro geliefert

Beitragsautor Von Christian Nölle
Beitragsdatum 15. September 2016

Da wir hier auf T.11 einen neuen Kollegen haben, braucht dieser natürlich auch ein Büro.
Wir haben durch eine kleine Veränderung der Mediothek noch Platz auf unserer Etage, so dass das Dezernat 5 uns dort ein neues Büro einbauen kann. Aber dafür muss es ja erstmal geliefert werden.

Hier befindet es sich sprichwörtlich noch auf Achse und wird dann per Luftweg zugestellt. Wusste gar nicht, dass das so einfach geht 🙂

Lieferung Bürobaumaterial per Kran

WebTech

Fiese Bots, Crawler und sonstiges Getier

Beitragsautor Von Christian Nölle
Beitragsdatum 7. September 2016

Darstellung der varnish Architektur Dann und wann werden unsere Webserver von fiesem Getier genervt. Spam-Bots, durchgeknallte Crawler und Vulnerability Scanner fallen von Zeit zu Zeit über die Webseiten her und produzieren eine Menge unnötiger Requests und damit Last auf dem Maschinen. Sucht man danach im Web, so findet man eine Menge Anleitungen, wie man den auch bei uns genutzten Webserver Apache so konfiguriert, dass er diese Anfragen ausfiltert und abweist.

Das kann man so machen, ist aber meiner Meinung nach nicht der beste Weg, da noch immer die „böse Anfrage“ direkt an den Webserver gerichtet ist und dieser sich trotzdem damit auseinandersetzen muss. Das wiederum bedeutet immer noch Last auf den Maschinen. Viel besser ist es, diese Art Anfragen gar nicht erst zum Webserver durchzulassen, sondern vorher abzufangen. Da wir den Webbeschleuniger varnish verwenden, ist das relativ einfach.

Jede Anfrage wird von varnish beantwortet. Dieser entscheidet, ob er eine zwischengespeicherte (gecachte) Version der Webseite hat, die er dem Anfragendem zurückgeben kann, oder ob er TYPO3 fragen muss, um eine aktuelle Version zu erhalten. Das ganze macht er mit einer atemberaubenden Geschwindigkeit, so dass wir ihm auch getrost noch weitere Aufgaben übertragen können. Nämlich die „bösen Anfragen“ direkt zu verwerfen und gar nicht erst weiterzuleiten.

Das ganze geht nun mit folgendem Codeschnipsel:

if (
    req.http.user-agent == "^$"
    # UA enthält…
    || req.http.user-agent ~ "^boeserFinger"
    # UA ist exakt gleich…
    || req.http.user-agent ~ "WebVulnCrawl.blogspot.com/1.0 libwww-perl/5.803"
    ) {
      # Frei konfigurierbare Fehlermeldung, beispielsweise entsprechend
      # RFC 2324 (Hyper Text Coffee Pot Control Protocol, HTCPCP)
      return (synth(418,"I'm a teapot"));
    }

Erklärung:

Varnish prüft nun bei jedem eingehenden Request im HTTP Header ob dort ein bestimmter User-Agent (also eine Kennung, die der Anfragende mitsendet) vorhanden ist. Auf dieser Basis lässt er die Anfrage entweder zu oder verwirft diese. Näher beschriebene Zeilen des Codes wie folgt:

Zeile 2: Anfragen, die gar keinen User-Agent enthalten
Zeile 4: Anfragen, deren User-Agent mit boeserFinger beginnen
Zeile 6: Anfragen mit einem ganz bestimmten User-Agent

All diese Anfragen werden direkt durch varnish mit dem HTTP Status 418 beantwortet und damit verworfen. Das Ganze wird in die vcl_recv gepackt und schon sind wir die bösen Jungs los. Das ganze kann man natürlich relativ einfach erweitern und sich so vor fiesen Bots, Crawlern und sonstigem Getier ganz gut schützen.

Und ja, ich weiß, dass man den User-Agent sehr einfach manipulieren kann. Aber 95% der Skriptkiddies lassen sowas out of the Box laufen. Und um die anderen 5% müssen wir uns dann persönlich kümmern.

Schlagwörter varnish, web