Ich mache alles selbst – 2021 Edition

Alle Jahre wieder, schreibe ich diesen Artikel von neuem. Dass ich wirklich von Server bis Frontend-Grafiken alles selbst mache, warum das super ist, warum andere blöd sind, die das nicht so machen (nein, das meine ich nicht wirklich ernst, ist nur für’s Verkaufsgespräch). Und über die Jahre hat sich leider gezeigt, dass trotzdem die meisten Menschen, ob Kunden oder Content-Creator, mit denen ich arbeite, damit nicht wirklich etwas anfangen können. Der Vorteil für Sie ist, kurzgefasst: Ich kann das. Würde ich stattdessen Flugzeuge fliegen, müsste ich wahrscheinlich keine Artikel schreiben.

Wie so oft bei meinen Artikeln, sind diese weniger vom Weltgeschehen sondern mehr von Zufallsereignissen bestimmt. Ich stolperte also eines Samstag Nachmittags über diesen jungen Herren, ein typischer Youtube-Coder. Man kann ihm nicht im geringsten vorwerfen, dass er scheinbar garnicht weiß, was er da tut, denn Youtuber machen Content und sind eben keine beruflichen Programmierer. Ich bin über solche Videos nicht böse, ganz im Gegenteil, Anfänger haben leichte Kost zum Einstieg, Profis können ihr Wissen etwas auffrischen und haben Abwechslung zum Grundrauschen der sanften House-Musik (eigentlich Dub-Techno, aber das kennt wieder keiner, also…). Kurzum – ich mag den jungen Mann, habe seinen Kanal abonniert, finde, er macht einen sehr guten Job als Youtuber. Es soll in dem Artikel nicht um ihn gehen, noch weniger ist es als Bashing gedacht, hiermit klargestellt. Ich freute mich speziell jedoch über diese Stelle, den so habe ich etwas beweisbares zu meinen ständigen Behauptungen.

 

 

Das ist leider wirklich genau das, was viele „Webentwickler“ tun. Im allerersten Video hat der Creator bereits gezeigt, dass er HTML nicht wirklich kann und zwei gleiche <h1>-Tags hintereinander gestellt. Die meisten Entwickler scheinen der Meinung zu sein, „HTML und CSS sind sowieso einfach, wenn ich WIRKLICH MUSS, lerne ich das eben an einem Wochenende. Und bis dahin kopiere ich“. Quellen dafür gibt es genug. Und es spricht nichts gegen Effizienz und die Wiederverwendung von Code, oder?

Einen Fotographen engagieren, der seine Mappe voller Stockfotos hat?

Ich selbst habe zuletzt auch vermehrt mit Fertigprodukten gearbeitet. Meine Webseiten AMP Tracks und White Sicherheit sind anfangs in ein paar Nachmittagen entstanden, für meinen Projektrechner habe ich HTML und CSS kopiert. Ich finde jedoch, dass ich mir das inzwischen leisten kann. Denn ich schreibe HTML und CSS blind im Schlaf, fast so flüssig wie normale deutsche oder englische Texte. Und obwohl nun also meine Berufsehre ausreichend abgesichert hätte, kopiere ich äußerst selten – denn das meiste ist entweder nicht wirklich gut programmiert oder es passt anderweitig nicht. Bei dem Beispiel Projekt-Rechner sieht man deutlich, dass er stilistisch überhaupt nicht zu meiner restlichen Webseite passt. Deshalb ist so etwas spätestens bei Kundenprojekten für mich tabu. Wenn jemand aber gerne kopiert, muss man davon ausgehen, dass nicht nur Teile des unkritischeren HTML und CSS kopiert werden, sondern auch JavaScript, PHP und alles, was das Internet hergibt. Dass Projekte in jeder Größenordnung vielfach verkauft werden, was so oft passiert, dass man kaum noch die echten Perlen dazwischen findet und dass jedes Fertigtemplate, jedes Plugin und alles, was bei drei nicht auf den Bäumen ist, umgelabelt, ein bißchen angepasst und als Custom Made verkauft wird. Wer erwartet in unserer raubtierkapitalistischen Welt eigentlich etwas anderes? Ich.

Seit einer Weile gibt es bei der Plattform LinkedIn sogenannte Skill-Tests. Ich habe öfters über die Tests geflucht, sie sind extrem schwer, nur auf englisch und zum Teil etwas sachfremd (gibt es das Wort?). Ich meine damit, die Testfragen haben nur eine begrenzte Schnittmenge mit dem Alltag eines Programmierers, sind akademisch und fokusieren sehr stark auf, sagen wir, exotischere Teile einer Programmiersprache. Den CSS-Test habe ich beim ersten Mal geschafft, für HTML brauchte ich zwei Anläufe und gehöre damit zu den 5% der besten Menschen, die sich an dem Test versucht haben, ca. 500.000. Ich bin einer von 25.000 Menschen. In der Summe all meiner LinkedIn-Tests, Python, Bash, PHP, Node.js, JavaScript, JQuery, SEO, AWS, Lambda, uvm. gehöre ich zu einem deutlich kleineren Kreis, seit ich mit Cybersecurity angefangen habe, sowieso und mit meinen Audio, Video, Grafik- und Webdesign-Fähigkeiten wird der Kreis erneut kleiner. Ich habe viele der Tests hinterher als weltfremd gerügt (man kann sie bewerten) – nach der Betrachtung dieses Videos verstehe ich sie jedoch.

Wenn man nach einem Programmierer sucht, möchte man nicht jemanden, der etwas nur kopiert und sich denkt „Ja, ich könnte das auch, wenn ich es könnte, können wollte, Zeit zum lernen hätte, man mich dafür bezahlen würde…“. Man sucht einen Fachmann, jemanden, der das nicht nur ein paar mal gemacht hat, sondern der das jeden Tag macht. Ich bin so eine Person, deshalb sind meine Preise entsprechend – und anderer Webentwickler Preise sind es nicht. Deshalb kann ich mir, zu mindest ausserhalb von globalen Krisen, meine Kunden aussuchen, beantworte nicht jede Anfrage und werde von größeren Unternehmen ernst genommen. Und genau deshalb trifft mich die Krise im Moment so hart. Ich habe nichts billiges und will es auch nicht haben. Dafür müssen Sie kein Geld bezahlen und ich verspreche, spätestens, wenn das Teil „abraucht“, wird die zuständige Agentur plötzlich garkeine Zeit mehr haben. Zum Ausgleich meines etwas exklusiveren Schemas habe ich vor der Krise deshalb gerne zwischendurch „kleine Leute“ bearbeitet und so manch Kioskbesitzer und Taxifahrer eine Custom-Made-Webseite für 200€-500€ erstellt, eine art Pro-Bono-Tätigkeit. Nun kann ich mir das nicht mehr leisten.

Kopieren hat Konsequenzen

Das sage ich in letzter Zeit öfters. Und so tappt mein junger Youtube-Programmierer als nächstes in den bösen Sicherheitsfettnapf, hier am Anfang des Videos. Viele meiner Kollegen machen diese Anfängerfehler genauso gerne, nicht selten begegne ich sogar Hardliner-Forumkriegern, die felsenfest die Behauptung aus dem Video Nr.4 der Reihe verteidigen.

 

 

Ein POST-Request ist keineswegs sicherer als ein GET-Request, so wie er behauptet, und schon garnicht verschlüsselt. Beides ist gleich sicher oder unsicher – lautet die richtige Antwort auf diese LinkedIn-Frage. Verschlüsseln tut wenn überhaupt eine Transportverschlüsselung (TLS / https), und die tut das gleichermaßen bei GET oder POST. Der einzige Unterschied besteht darin, dass man einen GET-Request in der Browserzeile sieht, den POST-Request sieht man, wenn man die Firefox-Devtools aufmacht oder den Request mit einem anderen Programm abfängt (Burp, Wireshark, OWASP ZAP,..), nur wie gesagt, verschlüsselt ist der deshalb nicht, und wer sich wie im Video erklärt, beim Übertragen von Passwörtern allein auf den POST Request verläßt, wird verlassen sein. Warum sich dieses Gerücht seit 25 Jahren so hartnäckig hält, ist mir persönlich ein Rätsel, und nebenbei, erklärt er leider auch falsch, dass etwas an den „Client“ gesendet wird, richtig ist natürlich, dass es an den Server gesendet wird. Ich weiß allerdings auch, wie solche Videos entstehen, denn so bald eine Kamera rollt, habe ich gleichermaßen Sprachschwierigkeiten und verhasspele mich bei den einfachsten Sachen – das ist eine etwas komische Krankheit und nur schwer zu verstehen, wenn man es nicht selbst erlebt hat. Wahrscheinlich liegt es daran, dass man ständig denkt „bloß kein äh, ähm und keinen Verhasspler“ – denn jeder Schnitt kostet später viel Zeit und Nerven.

Das alles klingt wahrscheinlich sehr arrogant, so ist es nicht gemeint. Ich möchte eigentlich nur, dass meine Kunden verstehen, also TL;DR: Echtes Custom-Made Webdesign gibt es bei mir, in sehr guter Qualität, mit einer Vielzahl an Zusatzleistungen, mit langjähriger Erfahrung und einem großen Repertoire an IT-Problemlösungsfähigkeiten. Und obwohl es so scheint, als würde es das an jeder Ecke geben, ist das nicht so. Wie lange es das bei mir noch gibt, kann ich jedoch nicht mehr vorhersagen – dafür aber die Zahl des Tages: 27 – das ist die Anzahl der Revisionen, also neudeutsch für  „Save Button gedrückt“, bevor ein Artikel wie dieser das Licht der Welt erblickt.

Manuel Geissinger, zertifizierter IT-Sicherheitsexperte, Webedesigner aus Freiburg, Webentwickler, Administrator und Digitalkünstler.
Ihr freiburger Webentwickler Nr. 1 auf LinkedIn Zertifizierter IT Sicherheits-Experte & Webdesigner auf Xing