Blog

Hi Martin,

lang nichts mehr von dir gehört :D Hab dich wohl auf Twitter durch meine spammige Art verloren ^^

Aber bei dem Thema hast du total recht. Mir ist das schon häufiger aufgefallen. Letztens zum Beispiel ganz intensiv beim webevangelisten.de Blog aufgefallen.

Ich mein immer noch mit All-Inkl.com für meine Blogs halbwegs gut beraten zu sein. Meine Blogs haben meine Twitter Links und eine heise Verlinkung überlebt.

Dein neues System hört sich aber sehr interessant an. Aber so wie ich es jetzt verstehe, muss man sich für individuelle Anpassungen schon recht gut mit der Materie auskennen oder es ist erst gar nicht möglich, oder?

Was ich bisher relativ ausfallsicher fand ist squarespace oder Hosting bei Unternehmen wie Mediatemple, die recht gut skalieren können.

Werde dein Projekt auf jeden Fall weiterhin verfolgen.

Interessanter Test. Gilt das auch für Blogs, die direkt bei wordpress.com gehostet werden?

Oh, schade - meine Blogs waren wohl nicht dabei (s1cness.com - dennis-wisnia.de). Im Grunde sollten Sie aber so ziemlich was standhalten und wenn eines davon zuviel Besucher bekommt kann ich es innerhalb von ein paar Stunden auf einen anderen Server auslagern. Wüsste aber mal gerne ob meine Standhalten da im Grunde die Blogs komplett gecached werden...

Ansonsten Interessanter Test - macht man sich aber damit nicht Strafbar, so ohne Einverständnis des Admins...?

Hallo horax,

nein, das gilt nur für eigene Installationen. Wordpress.com kann ziemlich gut skalieren.

@Horax: Ich denke Blogs bei Wordpress.com sind eher bei dieser Sache außen vor...
Die Infrastruktur dahinter sollte zumindest eine ganz andere sein als die von einem kleinen einzelgehosteten Blog.

@Dennis: Also dein Cache scheint nicht so richtig gut zu funktionieren. Aufgrund der Überlastung beim Test hab ich direkt gleich mal Connection-Abbrüche bekommen.

Humpf, ist schon bisschen her als ich mich damit befasst hatte. Ich werde mal nachbessern - vielleicht mal ein Howto schreiben wie man das ganze Besucheransturmfest macht.

Ich möchte auch mal eine kritische Bemerkung dazu loswerden. Du hast dir erlaubt - und ich stelle mir die Frage, ob du damit möglicherweise die Grenzen des Erlaubten überschritten hast. Ich finde es sehr unklug, das ohne Absprache mit den Betreibern zu machen und sich hinterher dafür zu entschuldigen. Da könnte ein Betreiber auch auf die Idee kommen, das schlicht als Denial Of Service zu werten - womit er meiner bescheidenen Meinung nach recht hätte.

Hallo Alex,
laut http://de.wikipedia.org/wiki/Denial_of_Service ist es ein DoS, wenn ein Angriff von vielen Maschinen aus gestartet wird. Das war nicht der Fall. Außerdem habe ich die Zahl der Requests so klein gehalten, dass es bei Twitter grad mal 2 gute Retweeter braucht, um diese Zahl der Besucher zusammen zu bekommen.

Zusätzlich habe ich diesen Test extra spät in der Nacht gemacht, in der kaum ein User beeinträchtigt wurde. Außerdem lief der Test maximal 30 Sekunden, um keinen Schaden anzurichten. Hinzu kommt, dass die Datenbankprobleme der meisten sich direkt von alleine erledigten, da der Test nach Beendigung keine aufgebauten Connections mehr hat o.ä.

Ich würde diesen Test nicht als Lasttest bezeichnen, da diese deutlich penetranter und länger gemacht werden.

Was noch hinzu kommt: Ein DoS-Angriff hat das Ziel, anderen Leuten zu schaden. Das ist keineswegs mein Ziel. Ich will damit auch niemandem irgendeine Dienstleistung verkaufen.

Nein, da liegst du falsch. Von vielen Maschinen aus ist es ein *Distributed* DoS, also ein DDoS. Das ist zwar meist die Methode, mit der solche Angriffe durchgeführt werden. Aber daß viele Maschinen daran beteiligt sind, ist kein Definitionskriterium für einen DoS. Daß du nicht den Vorsatz hattest, ist richtig, ändert aber nichts daran, daß es technisch ein DoS war. Deswegen wie auch auf Twitter eben der Rat, sowas nur in Absprache mit Betreibern zu tun - oder eben an eigenen Testsystemen.

@Alex: Ein DoS-Angriff ist eine längerfristige Sache. Punkt!

Auch die Sache mit dem "vorher mit Betreiber reden" ist rein rechtlich Schwachsinn und da hast du dich durch die Medien mit deren Halbwissen informiert.

Ich würde diesen Test immer wieder so machen, ohne mich mit Jemandem abzustimmen. Falls es dich stört, kannst du dich gerne mit einem Fach-Anwalt beraten, der dir dann erzählen wird, dass die Tests völlig in Ordnung sind.

hiho,
ein wenig blauäugig ist das schon, was du da gemacht hast.
Die Argumentation, dass das kein DoS ist, weil du nur eine Maschine benutzt hast ist quatsch, du meinst DDoS.
DoS heisst nur: Angriff, um das Ziel lahmzulegen.
Du hast zwar nicht angegriffen, aber du sagst ja selbst, dass einige Sites nach deinen Tests nicht mehr liefen.
Fahrlässig war das in meinen Augen schon, da du hingenommen hast, dass die Blogs nicht mehr laufen könnten, wenn du sie dieser Last aussetzt.

sorry für die Kniebohrerei. Ich glaube auch kaum, dass du da Ärger bekommst oder auch verdient hättest. Ist ja auch ein interessantes Ergebnis ;-)

Hi Markus,
ja sorry, da hatte ich mich grad verlesen bzgl. der mehreren Maschinen. Es ist trotzdem kein DoS, siehe mein vorheriger Kommentar.

Doch, es ist ein DoS. Du hast selbst geschrieben, daß einige Blogs für 30 Minuten nicht mehr erreichbar waren. Genau das macht einen DoS per definitionem aus, die Erreichbarkeit einer Seite oder eines ganzen Servers zu unterbinden. Ich gebe Markus da auf ganzer Linie recht. Es war fahrlässig. Eventuell liegt sogar bedingter Vorsatz vor, weil du wissen konntest, daß Nichterreichbarkeit die Folge sein konnte und das billigend in Kauf genommen hast. Aber das müßte man mit einem Juristen klären. So lange gilt: Wo kein Kläger, da kein Richter. ;-)

Nein, ein DoS macht aus, dass irgend jemandem geschadet wird. Niemandem wurde hier geschadet. Kein Admin musste eingreifen (bis auf eine Mail vom Monitoring) und keine Webseite war länger offline. Die, die länger ein Datenbankproblem hatten, haben ein Konfigurationsproblem, was sich schnell beheben lässt und da helfe ich auch gerne, falls diejenigen keine Ahnung haben, wie sie es machen sollen. Dass dies passiert ist, war ein Versehen.

Aber gehen wir mal davon aus, dass jetzt jemand mit vielen Followern einen Link zu deinem Blog twittert und du hast 500 Besucher und dein Blog ist tot, nennst du das dann auch DoS? Wenn ja, solltest du Twitter dringend verlassen und dein Blog schließen.

Nein, ein DoS macht per definitionem aus, daß eine Seite nicht mehr erreichbar ist. Das sagt schon der Name "Denial of Service" (Dienstblockade). Ob dabei ein materieller Schaden entsteht, ist zunächst unerheblich. Und natürlich kann ein Schaden dadurch entstehen, daß eine Website über einen bestimmten Zeitraum nicht erreichbar ist. Das ist doch der Sinn und Zweck eines DoS! Im konkreten Fall mag der praktisch Null gewesen sein, aber das ist unerheblich. Ob dabei ein Konfigurationsproblem mitgespielt hat, ist ebenfalls völlig unerheblich. Erheblich ist hier, daß du einen nicht bestimmungsgemäßen Zugriff durchgeführt hast, der von den Seitenbetreibern nicht autorisiert war und der eine starke Last erzeugt und offenbar in einigen Fällen zur Nichterreichbarkeit geführt hat. Du hast keine echten Besucher hingeschickt, sondern die Belastung simuliert. Das ist von den Blogbetreibern so sicher nicht gewünscht gewesen und somit ohne Absprache riskant. Von daher hinkt auch dein Vergleich mit Twitter. Das sind echte Besucher, die man haben will. Aber unautorisierte "Lasttests", die haufenweise Besucher simulieren, will kein Seitenbetreiber haben.

Und nun soll es gut sein. An sich sind deine Ergebnisse ja interessant. Frage einfach in Zukunft die Betreiber vorher oder setze eigene Testsysteme auf. Dann bist du auf der sicheren Seite.

Ich werde auch weiterhin keinen Betreiber fragen. Mehr sag ich dazu nicht.

Danke für den Artikel. Von der rechtlichen Geschichte abgesehen, finde ich das Test-Ergebnis doch schon sehr interessant.
http://bit.ly/4RNIMH

Ähm.

Seit wann muß ich als (insbesondere private) Blogbetreiberin dafür sorgen, einem hohen Ansturm gerecht zu werden, den ich unter normalen Umständen gar nicht erwarten muß? Ich habe dafür zu sorgen, daß die Dienste, die ich anbiete, nach Möglichkeit nicht aufgemacht werden können -- das schulde ich dem Netz. Aber nicht, daß ich Kapazitäten zur Verfügung stelle, weil vielleicht irgendwann möglicherweise mal von einer großen Site aus ein Link zu mir gesetzt werden könnte, was ich für mein Blog eher nicht erwarte, so wichtig bin ich nämlich nicht.

Daher stimme ich Alex Schestag zu, wenn er schreibt:

"Erheblich ist hier, daß du einen nicht bestimmungsgemäßen Zugriff durchgeführt hast, der von den Seitenbetreibern nicht autorisiert war und der eine starke Last erzeugt und offenbar in einigen Fällen zur Nichterreichbarkeit geführt hat."

Auch als Nicht juristin gehe ich davon aus, daß Du hier mindestens an einem "unerlaubten Eingriff in den Datenverkehr" eines fremden Systems vorbeischrappst, wenn nicht sogar den Tatbestand erfüllst.

Sicherheitshalber untersage ich jetzt bereits solche Tests für die Wordpress-Blogs unter atari-frosch.de und feenminze.de, die ich auf meinem System hoste.

Gruß, Frosch

wordpress ist halt das typo3 der blogs. :)

Leute,
haltet mal den Ball flach. Er wollte niemandem schaden sondern vielmehr einen Anreiz geben, die Konfiguration der Blogs zu optimieren.
Auch ich habe den Anreiz dankend angenommen - selbst ohne App-Engine kann man viel raus holen:
http://nodomain.cc/2010/01/29/wordpress-performancetuning.html

Das hat ja fast Heise-Forum-Niveau hier ;-)

Naja ein Tatbestand nach §263a StgB lässt sich in diesem Fall nicht wegdiskutieren und einem Richter oder Staatsanwalt ist egal ob es "ein Test" oder sonstwas war.
Grundsätzlich frage ich mich nach dem Nutzen. Klar gibt es durch retweets etc. Stoßzeiten auf Blogs, aber die gab es schon immer. Kannste genauso fragen warum Shopbetreiber XY nicht schon vor 4 Jahren in der Cloud gehostet hat bzw. die Kapazitäten an große Besucheranstürme angepasst hat.

Einem Unternehmen ist defacto erst einmal egal ob es einem großen Besucheransturm aushält. Aus Entwickler/Techie-Sicht sind solche Ergebnisse natürlich gravierend aber letztendlich müssen beide Seiten beachtet werden... Frag Mittelstandsunternehmen pq ob sie ne Website wollen die vlt. n Praktikant schustern kann oder ob sie in die Cloud wollen und dafür evtl. noch nen Freelancer anheuern müssen.

Zwei Seiten der Medaille und gerade in der heutige Zeit zählt öfter die kaufmännische Seite....

@crieger Geht wieder im Heise Forum spielen bitte. Laut http://dejure.org/gesetze/StGB/263a.html ist es kein Straftatbestand:
>> (1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.<<

Zeig mir die unrichtigen Daten, unrichten Programme oder rechtswidrige Vermoegensvorteile bitte. Unbefunge Verwendung von Daten erkenne ich auch keine und ein Webseitenbesuch ist gluecklichweise auch nie unbefugt, es sei denn, du hast wirksame Massnahmen zum Schutz vor einem Besuch der Seite, was bei einem oeffentlichen Blog meist nicht vorliegt.

Bin zugegeben selten bis gar nicht im Heise-Forum unterwegs. Wenn du den Paragraphen in seinen Einzelteilen liest: "durch unbefugte Verwendung oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt" (selbst wenn es die "Simulation" eines großes Besucheransturms ist, liegt tatsächlich eine Einwirkung vor, die den Ablauf beeinflusst... Allein das reicht als Tatsache völlig aus, es muss nicht der gesamte Paragraph erfüllt sein.
Nichtsdestotrotz ist diese Diskussion genauso Korinthenkackerei wie der Rest. Für einige relevant aber für die "kritische Masse" bislang völlig unerheblich.

Du kannst es drehen und wenden, aber es faellt nicht in die Kategorie "Computerbetrug", weil es einfach kein Betrug ist. Und wenn ich ehrlich sein soll, bekomme ich grad ein anders interpretiertes "China-Syndrom": Ich ueberlege wirklich, ob ich die Kommentare hier grad mal alle zensiere.

Ich habe es jetzt lange still mitgelesen aber irgendwie muss ich den Kommentar mal loswerden:

Was regt ihr euch hier eigentlich so auf? Das Niveau kommt langsam unterhalb des Heise-Forums an. Gratulation, das schafft man nur sehr schwer. Mag bitte jeder seine Meinung haben wie er mag aber seid froh, dass ihr in einem _kurzen_ Test gemerkt habt wo das Problem liegt. 500 Anfragen sind jetzt mal wirklich nicht viel wenn ich mir Werbekampagnen anschaue die mehrere Millionen Zugriffe am Tag produzieren. Natürlich muss euer kleiner Blog das nicht aushalten. Verlangt gar keiner. Aber seid froh, dass Ihr so erfahrt wo eure Grenzen liegen.

Und ja ich schreibe auch als "betroffener". Martin hat den selben Test auch bei mir laufen lassen. Nur meine Sicherheitsvorkehrungen waren so vernünftig aufgestellt, dass der - um euch zu zitieren - "Angriff" ins Leere lief. Selbst wenn der Test voll getroffen hätte: Ich hätte mich dem angenommen und es behoben. Sicher es ist eine gute Idee zu euerm Anwalt zu rennen und jeden zu verklagen, der öfter als 10 mal eure Webseite aufruft. Ich freue mich auf eure Antworten, wenn euch euer Anwalt fragt, wie ihr den entstandenen Schaden beziffert. "Ja ähm... hmm... weiß auch nicht..."

Behebt das Problem (Ja Lösungen fliegen dafür genug im Netz rum und viele dauern weniger als 5 Minuten!) und spart euch die Zeit, die Ihr hier mit flamen verbracht habt, für eure Familien / Hobbies / das Heise-Forum.

Und mal ganz nebenbei: Ich hoffe mal alle, die hier so klug Rechtsbelehrungen und Hinweise verteilen sind Anwälte. Das hat einen Grund, dass das ein separates Studium ist.

Damit jetzt niemand auf blöde Gedanken kommt: Ich bin _kein_ Anwalt und mein Kommentar ist nicht als Rechtsbelehrung o.Ä. sondern als persönliche Meinung zu verstehen.

@knut "Was regt ihr euch hier eigentlich so auf?" Sind die, die Transparenz fordern nicht sonst auch die, die mit Paragraphen und sog. "Gerechtigkeit" winken, gerade wenn du dich öffentlich zu den Piraten bekennst, auch ein Pirat ist an das StgB gebunden..
Ich bin sicherlich kein Jurist (Gott sei dank) aber ich habe mich über genau das Thema (anderer Hintergrund) heute mit einem Juristen unterhalten...
"aber seid froh, dass ihr in einem _kurzen_ Test gemerkt habt wo das Problem liegt. " um ehrlich zu sein, habe ich das "Problem" nicht gesehen bzw. bemerkt... und um ehrlich zu sein ist es für mich privat auch völlig irrelevant. Ich weiß sehr wohl bescheid über die Schwachstellen eines 0815 Hosters aber was soll es mich interessieren? Nicht die Bohne... von daher völlig irrelevant.

Meine "Diskussion" (wenn man es so nennen kann) gin in die Richtung welchen ROI bringt es einem Unternehmen, sagen wir klassischer Mittelstand, in der Cloud zu hosten, völlig skalierbar, vlt. ready for >5000 unique visits per minute.. was hat der Unternehmer davon? Wie hoch ist sein roi?

Klar können wir technisch zum Mond fliegen aber es bringt uns recht wenig...

@crieger Jetzt versteh ich erst, warum du dich aufregst. Ich will doch gar nicht, dass die Leute ihre Blogs dringend in die Cloud legen müssen. Das würde mit Wordpress auch gar nicht gehen, da das System gar nicht skalieren kann. Ich will nur, dass die Leute endlich mal ihr Gehirn einschalten und an zwei Einstellungen drehen, damit sie einem NORMALEN Ansturm gewachsen sind. Meine Fresse, wenn man etwas falsch verstehen will, dann schafft man das auch.

Andere Sache, die ich in meinem Leben gelernt hab: Ein Anwalt ist ein Wirtschaftsunternehmer. Er vertritt zwar seinen Mandanten, aber arbeitet für sein eigenes Portemonnaie. Er erzählt dir immer erstmal das, was du hören willst (natürlich im Rahmen) und immer so, was man probieren kann, wenn man jemanden verklagt. Dass das nicht immer alles so funktioniert, sieht man dann bei entsprechenden Rechtsprechungen. Mit der Vorsicht muss man solche Aussagen genießen.

Und auch der ROI sollte hier kein Bestandteil der Diskussion sein. Ich kenne sogar Blogger mit vielen Besuchern, die ihre Kosten nicht wieder rein bekommen. Mal abgesehen davon, dass die Cloud beim richtigen Provider deutlich günstiger sein kann, als ein blöder Hoster. Aber für viele besteht die Cloud eh nur aus Amazon oder Google.

@crieger: Natürlich bin ich als Pirat an das StgB gebunden. Ich habe nie etwas anderes behauptet, da es nicht der Realität entspräche.

Ich wollte damit eigentlich nur zum Ausdruck bringen, dass es völlig unnötig ist hier schon wieder mit Rechtsmitteln zu drohen. Genau solche Lappalien sind es, die unser Rechtssystem so verstopfen, dass eine sinnvolle Rechtsprechung an den Stellen wo es wirklich Sinn macht, nicht mehr möglich ist.

Außerdem ist nicht dein Hoster schuld an einer schlecht programmierten Software, so fern er denn nicht den Auftrag hat diese für solche Fälle abzusichern. (Was natürlich extra Kosten mit sich zieht.) Du hast die Software installiert, also bist du dafür verantwortlich Schaden vom Server abzuwenden. So oder Ähnlich steht es bei den meisten Hostern sogar in den AGB. Ergo wenn du deine Software (auch wenn sie nicht von dir geschrieben wurde) nicht unter Kontrolle hast ist das keine Schwachstelle des Hosters.

Mir wird ewig ein Rätsel bleiben, warum sich so viele eine eigene Wordpress-Installation antun, statt einen Hosted Service zu nutzen.