Dass es immer wieder Datenlöcher gibt und irgendwelche Kriminellen an meine Daten kommen, ist leider fast schon Alltag geworden. Was sich aber dringend ändern sollte, ist die Art und Weise, mit der Unternehmen mit ihrem Verlust und dem ihrer Kunden umgehen: Meist ist das nur enttäuschend und erst das Ignorieren des Problems sorgt dafür, dass Phishing erst zum Erfolg werden kann.

Am Samstag erhielt ich eine E-Mail von tintencenter.com – da diese durch meinen Spamfilter bei Gmail rutschte, war ich echt irritiert: Da standen meine kompletten Adressdaten drin und Daten über eine angebliche Bestellung, die ich aufgegeben hätte. Als Informatiker bin ich immun solchen Anfragen gegenüber – eigentlich. Aber ich hatte es eilig, meine Daten stimmten und der Link in der Mail sah auf einen flüchtigen Blick hin auch gut aus. Ich bin also auf die Seite und wollte mich einloggen. Erst da merkte ich, dass ich Phishing aufgesessen bin. Naja, das war der Anlass, endlich mal wieder alle Passwörter zu ändern.

Ich habe die Email sofort an tintencenter.com weitergeleitet und darum gebeten, mein Benutzerkonto umgehend zu löschen.

Nach einem Tag bekam ich folgende Antwort:

Sehr geehrter Kunde,
sehr geehrte Kundin.

Sie haben von uns eine Auftragsbestätigung bzw. Versandbestätigung mit der
Nummer 2011145121 erhalten, welche angeblich von uns versendet wurde.

>>> Diese E-Mail ist NICHT von uns versendet worden. <<<

Leider sind wir in jüngster Vergangenheit Opfer eines Angriffes geworden,
bei dem der Angreifer durch eine bis dato unbekannte Sicherheitslücke des Shops
teilweisen Zugriff auf die Kundendaten hatte. Die Sicherheitslücke wurde von
uns schnellstmöglich geschlossen, bedauerlicherweise sind aber einige Daten in
die Hände des Angreifers gefallen. Dabei handelt es sich um die E-Mailadresse
sowie Ihre zu dem Zeitpunkt hinterlegte Liefer- bzw. Rechnungsanschrift.
Dadurch ist es dem Angreifer nun möglich täuschend echte Auftragsbestätigungen
in unseren Namen zu verschicken, welche persönliche Daten von Ihnen enthält.
Das Ziel des Angreifers ist es, dass Sie auf die Links klicken, die in der
E-Mail enthalten sind, um Ihnen Schadsoftware auf Ihren Computer zu installieren.

>>> Daher klicken Sie bitte NICHT auf die in der E-Mail enthaltenen Links! <<<

Natürlich ist es zu keiner Bestellung Ihrerseits gekommen. Wir werden auch
keine Ware versenden oder Ihnen irgendeinen Betrag in Rechnung stellen! Auch
war es dem Angreifer nicht möglich, Kontodaten oder Kreditkartendaten zu bekommen!

Wir werden selbstverständlich den Vorfall zu einer Anzeige bei der Polzei bringen,
allerdings zeigt die Vergangenheit bei dieser Art Vorfällen, dass die Erfolgsaussichen
gering sind, zumal die Angreifer bzw. die Versender dieser E-Mails im Ausland sitzen
oder gehackte Server benutzen um z.B. die E-Mail zu versenden. Natürlich setzen wir
alles daran den Versand dieser E-Mails zu unterbinden
sowie die Abschaltung der Domain zu veranlassen.

Leider kann es vorkommen, dass Sie in Zukunft erneut eine E-Mail mit der gleichen Auftragsnummer
oder Spam-Mails von angeblichen Vergleichsportalen (sogn. Krankenkassenspam) erhalten.
Diese können Sie dann ungesehen löschen.

Wir entschuldigen uns für diesen Vorfall sowie die damit verbundenen Unannehmlichkeiten.

Mit freundlichen Gruss,
Team Tintencenter

Aha, eine Datenpanne, wenigstens entschuldigten sie sich. Aber was macht tintencenter.com aktiv? Die Firma wartet scheinbar, bis die Kunden selbst sich melden, statt offensiv mit dem Problem umzugehen und ihre Kunden anzuschreiben. Erst so gelangen selbst “professionelle” Surfer wie ich auf eine Phishingseite und geben ihre Zugangsdaten ein.

Noch dazu geht tintencenter.com scheinbar nicht einmal jetzt, zwei Tage später, technisch gegen die Betrügerei vor: Sogar jetzt, nachdem es zwei Tage her ist, dass ich bei tintencenter.com meinen Vorfall eingereicht habe, gelange ich von der Phishingseite und dem angeblichen Loginformular auf die originale Website, welche keinen Hinweis beinhaltet, dass ich unter Umständen von einer kriminellen Seite zu tintencenter.com gelangt bin. Dabei wäre dies technisch eine Sache von Minuten. Bei Twitter melden sich mittlerweile weitere enttäuschte Kunden.

Nachdem ich auf die Antwort von tintencenter.com gestern Abend erneut darum bat, mir zu bestätigen, dass mein Account gelöscht sei und mich bei der Gelegenheit über die Kommunikation beschwerte, bekam ich heute eine Antwort, dass mein Account entfernt wurde. Vertrauen ist gut, Kontrolle ist besser. Scheinbar klappt selbst das nicht: Ich komme immernoch rein. tintentcenter.com = fail.

I recently came across a testing framework called Robot. It allows easy creation of test tables using a simple keyword-driven syntax. The test-cases are stored in simple CSV/TSV files which allow easy creation by even non-technical staff. A really nice feature is a test library for Selenium which may be installed along Robot. This makes testing web GUIs (HTML and according to the docs Flash/Flex) a treat. You may use another library called Ride to maintain, edit and run tests from a nice and simple GUI or you might consider using command line tools to integrate Robot into CI tools.

Robot Framwork and Selenium- test automation

Installing Robot, Ride and Selenium

This is a description and basic tutorial to install Robot on a Ubuntu machine. To install a web-test setup for Robot do the following:

1. Refer to the following sites and download the latest versions:

Robot Framework
http://code.google.com/p/robotframework/

Ride GUI
http://code.google.com/p/robotframework-ride/

Selenium Plugin
http://code.google.com/p/robotframework-seleniumlibrary/

2. Extract and Copy: Once downloaded, extract and copy all folders to a folder called e.g. /opt/dev/robot

3. Install Robot and all libraries: In each folder run

sudo python setup.py install

4. Start GUI – run the following script to start creating tests:

ride.py

Components in Robot

Tests in Robot are organised in

• Folders containing
• Test Suites containing
• Test Cases, User Keywords, Scalars, List Variables

Keywords are commands used to trigger events. Using Selenium this might be accessing a website, clicking a specific button etc.. User keywords are powerful way to create your own re-usable test commands based on a set of defined keywords. You are allowed to parameterise your user keywords. Great stuff!

Scalars may be understood as variables such as URLs or default parameters passed to web forms e.g.

Setting up a test environment

We now want to create a simple test suite which visits Google.com, searches for Robot Framework and checks if results exist. Before we set up all basic test components we need to define a constant value for the Google URL. To do so, right click on Resources and select New Scalar. Enter ${GOOGLEURL} for name and http://www.google.com as Value.

Creating a Test Suite

Setting up a basic test suite which loads up Google:

1. Click on File -> open Folder, create a new one and give it the name “Google”

2. Right Click on the folder and select “Add Suite”. Give it the Name “Google Test”

3. Right Click on the Suite and create three test cases: Initial, Load Google, Finally

Now, your setup should look something like this:

Test Setup in Ride

Loading Resources and Libraries
First we will add the Selenium Library: Click on the Google Test Suite and choose Add Library on the Edit Tab. Here you’ll need to enter the path to the Selenium library. In my case this is

/opt/dev/robot/robotframework-seleniumlibrary-2.7/src/SeleniumLibrary

Then we will add our recently created GOOGLEURL Scalar to the suite. Click Add Resource and enter the path to the constant file. If you do not want to remember and type the whole path, you might want to head back to the constants file, copy the path and paste it in here. Now, we’re ready to create our simple test!

Creating a simple test

Now, we’re going to create our basic testing. Therefore I’m going to use a number of keywords implemented in the Selenium library. A documentation about these keywords may be found here: http://robotframework-seleniumlibrary.googlecode.com/hg/doc/SeleniumLibrary.html?r=2.7 Of course you may create your own keywords.

1. We need to start the Selinum Server: The keyword to do this is – surprise – Start Selenium Server. Add this to your initial test case.

Start Selenium Server

2. Then we’re going to visit Google in Firefox:

Open Browser    ${GOOGLEURL}

3. Let’s wait until the search field is present. The id of the input field is ‘lst-ib’:

Page Should Contain Element    lst-ib

According to the Selenium Library Documentation the identifier may be the id of an element, its XPath locator etc.
4. Now fill the field with “Robot Framework”:

Input Text    lst-ib    Robot Framework

5. Wait for the page to contain “code.google.com/p/robotframework/”

Wait Until Page Contains code.google.com/p/robotframework/

We’re now ready to run the test. To do so, we hit the small brown “run” icon in the tool bar and we’ll see: it works just fine

Test successfully completed

Enhancements

Robot creates a log and report for each test-run. If a test fails, a screenshot is being created and integrated into the html report. You are, of course, able to trigger the creation of screenshots or source code logging. Also, using the Wait For Condition keywords you are able to run an almost unlimited amount of JavaScript based tests on your website. Have a look at the Selenium docs – there is a huge amount of keywords to be used.

An easy to use testing tool

Robot is a nice and easy to use tool – we’re not using it to integrate into CI. We’re just running stand-alone tests. But it’s really handy when it comes to handle a huge number of test cases: For example we were testing the behaviour of search functionality of one of our websites. With robot I was able to fire hundreds of request against the search and get screenshots in return for further manual investigation. Also we’re using it to autmatically test dependencies of our content trees in huge navigational structures. For this kind of test Robot is perfectly suited.

Hier mal ein Sammlung von Artikeln über Scrum und Kanban, über welche ich in den letzten Wochen gestolpert bin. Alle lesens-, hörens- oder sehenswert. Weder ist sie sortiert noch hat sie Anspruch auf Vollständigkeit. Vielleicht aber ist für den einen oder anderen ja was interessantes dabei. Wer noch etwas hinzufügen will, darf dies gerne in den Kommentaren tun.

• The Daily Scrum: Was ist das, wer ist da, was wird besprochen, was sind die Regeln. All das hier – http://www.martinfowler.com/articles/itsNotJustStandingUp.html
• Die vierte Frage im Daily Scrum: mit einer Frage nach der Risikoeinschätzung der Goalerreichung eines jeden Entwicklers kann man schnell Impeditments identifizieren – http://www.projekt-log.de/allgemein/die-vierte-frage/
• Statt 15 Minuten könnte das Daily Scrum 30 Minuten dauern – dafür mit Spaß. Vielleicht eher für Teams, die sonst keinen Spaß haben – http://www.gettingagile.com/2009/12/09/the-daily-15-minutes-of-fun/
• Jeff Sutherland’s Nokia Test: Machen wir eigentlich Scrum? – http://jeffsutherland.com/nokiatest.pdf
• Kanban schnell erklärt. Ein netter kleiner Screencast zum Thema “Was ist eigentlich Kanban?” – http://www.it-agile.de/kanban-screencast.html
• Wie kann man Kanban und Scrum effektiv nutzen? Hier gibt es ein Buch zum Download. Es behandelt die Gemeinsamkeiten von Scrum und Kanban – sehr interessant, wenn man sowohl den Betrieb und Wartung bestehender Anwendungen als auch die Entwicklung neuer Produkte im Portfolio hat. Echt ein gutes Buch. – http://www.infoq.com/minibooks/kanban-scrum-minibook
• Scrum vs. Kanban: Unterschiede und Gemeinsamkeiten in der Einführung und Durchsetzung; wie ändert und verbessert welche Methode Prozesse. “… Scrum mit WIP und Visualisierung anzureichern, wird helfen, die Effektivität der Sprint-Verpflichtung zu verbessern …” – http://www.microtool.de/blog/post/Gedanken-uber-die-Unterschiede-zwischen-Kanban-und-Scrum.aspx
• Das intelligente Scrum Board: Nettes Tool http://scrum.jeffsutherland.com/2010/12/scrum-board-on-steroids-awesome-nature.html
• “How to convince your CxO to use Scrum – Part 1″: Beginn einer Serie mit einem ersten interessanten Artikel zum Thema: Welchen Business Value hat ein frühzeitig abgebrochenes Projekt bei klassischem “Wassefall-Vorgehen” vs. Scrum: http://scrumalliance.org/articles/326-how-to-convince-your-cfo-or-cxo-to-use-agile-or-scrum
• Warum die logische Annahme, dass der Projektmanager der Scrum Master sein sollte nicht unbeding richtig ist. http://learnsoftwareprocesses.com/2010/10/09/how-is-the-role-of-a-project-manager-different-from-the-role-of-scrum-master/
• Sind Story Points das gleiche wie Complexity Points? http://www.infoq.com/news/2010/07/story-points-complexity-effort
• Scrum Glossar für Developer. Die wichtigsten Begriffe erklärt: http://alaverdyan.com/readme/2010/12/scrum-developers-glossary/

Hier gibt es heute eine kleine Leseempfehlung: Einen sehr interessanten Artikel über den “Glücksfaktor” von Mitarbeitern und wie man diesen erstellt, messbar macht und dessen Werte nutzt, um evtl. Dinge zum Positiven zu ändern, hat Henrik Kniberg in seinem Blog verfasst. Grundlage von zufriedenen und glücklichen Mitarbeitern ist ein gemeinsames Verständnis der Unternehmenskultur. Der Artikel enthält einige einfache aber scheinbar wirkungsvolle Methoden, die Unternehmensziele und -kultur von denen definieren zu lassen, die sie jeden Tag leben: Den Mitarbeitern. Dies dient als Grundlage eines gemeinsamen Verständis dessen, was man tut und warum. Aufbauend darauf lässt sich dann messen, wie glücklich und zufrieden alle Mitarbeiter sind. Ein plakativ geschriebener, lesenswerter Aritkel.

So, jetzt muss ich nicht mehr zurück ins Büro, wenn noch was dringendes ansteht und ich schon auf dem Weg nach Hause bin: Jetzt mach ich das übers iPhone, bzw. iPad. Denn für beide Geräte gibt es nun den TeamViewer als App zum Download. Für Privatanwender ist die Lizenz sogar kostenlos, für Unternehmen soll die Lizenz laut Golem ab 80 EUR kosten.

Es funktioniert erstaunlich flüssig und erlaubt alle Mausaktionen mit einfach zu lernenden Gesten. Die Verbindung über UMTS ist aber doch recht langsam, zumindest in meinen ersten Tests. Die Maus auf meinem Laptop bewegte sich ziemlich verzögert, während mein iPhone den Zeiger bereits an der richtigen Position wähnte. Im WLAN sieht das sicher anders aus.