computerwoche.de

Archiv

Open-Source-Software/Das nichtkommerzielle Angebot muß den Vergleich nicht scheuen

Programme für Electronic Commerce nach Open-Source-Software- Regeln

12.02.1999
Von Lars Eilebrecht E-Commerce hat im wesentlichen zwei Aufgabengebiete: die Stärkung der Geschäftsbeziehung zwischen Anbieter und Konsument sowie die Regelung des Geschäftsverkehrs zwischen Unternehmen. Die Erschließung neuer Wege zum Verbraucher ist zur Zeit besonders in der Diskussion. Hierzu gibt es Open-Source-Produkte.

Das Hauptproblem beim elektronischen Handel mit Endkonsumenten ist deren Akzeptanz des Vertriebswegs Internet. Attraktive Produkte nutzen kaum etwas, wenn der Kunde die Waren nur auf umständliche Weise bezahlen kann oder gar zusätzliche Gebühren anfallen, zum Beispiel bei einer Nachnahmesendung. Es gibt zwar schon seit einiger Zeit verschiedene Standards und Ansätze für elektronische Zahlungssysteme, beispielsweise Secure Electronic Transaction (SET), de facto ist aber immer noch die Kreditkarte das bevorzugte Zahlungsmittel im Internet.

Um zu gewährleisten, daß Unbefugte keine Kunden- oder Kreditkartendaten via Internet in Erfahrung bringen können, muß die Übertragung zwischen Web-Browser und Server gesichert respektive verschlüsselt werden. Zu diesem Zweck entwickelte Net- scape 1995 das Secure-Sockets-Layer-Protokoll (SSL), das mittlerweile alle gängigen Browser und Web-Server unterstützen.

In der COMPUTERWOCHE 34/98, Seite 46, wurde bereits der frei verfügbare Apache-Web-Server vorgestellt, der mit einer Verbreitung von derzeit 58 Prozent weit vor den Konkurrenzprodukten von Microsoft mit 23 und Netscape mit sechs Prozent liegt. Aufgrund der US-Exportrestriktionen gegen kryptografische Software bietet die Standardversion von Apache keinerlei SSL-Unterstützung. Diese läßt sich jedoch durch ein zusätzliches Modul "mod_ssl" leicht nachrüsten. Dies Modul ist ebenso wie Apache frei verfügbar und verwendet die Open-SSL- Bibliothek, um die SSL-Funktionalität in den Web-Server zu integrieren.

Bis vor kurzem fand noch die "SSLeay"-Bibliothek Anwendung, die jedoch nicht mehr weiterentwickelt wird. Eben aus diesem Grund hat die Firma C2Net das "Open-SSL"-Projekt ins Leben gerufen, das - wie der Name schon andeutet - ein Open-Source-Projekt ist. Mit Open-SSL ist man der Entwicklung bereits einen Schritt voraus, denn abgesehen von den SSL-Versionen 2 und 3 wird bereits das Protokoll Transport Layer Security (TLS) unterstützt. An den Entwicklungen und Spezifikationen ist maßgeblich die Internet Engineering Task Force (IETF) beteiligt. Bisher unterstützen weder die Netscape- noch die Microsoft-Browser dieses Protokoll, aber das dürfte nur noch eine Frage der Zeit sein.

Da Open-SSL außerhalb der USA entwickelt wird, entsteht zudem der Vorteil, daß eine starke Verschlüsselung - die High-grade Encryption nach 128-Bit-RC4 oder 168-Bit-Triple-DES - unterstützt wird. Web-Server von Netscape oder Microsoft sind auf 40 beziehungsweise 56 Bit beschränkt, was bei der heute verfügbaren Rechenleistung keinen hinreichenden Schutz mehr bietet.

Doch auch die SSL-Variante des Apache, mit der Möglichkeit zur starken Verschlüsselung, nutzt einem zunächst wenig. Weil der Web- Browser ebenfalls den US-Exportrestriktionen unterliegt, was beim Netscape Communicator und Microsoft Internet Explorer der Fall ist, läßt sich auch nur eine Verbindung mit schwacher Verschlüsselung zum Web-Server aufbauen. Abhilfe schafft hier ein Programm namens "Fortify", das für private und nichtkommerzielle Nutzung frei verwendet werden darf und für die kommerzielle Verwendung zu günstigen Konditionen zu bekommen ist.

Im Prinzip unterstützen alle Versionen des Netscape-Browser starke Verschlüsselung; in der Exportversion ist jedoch die Verwendung der kryptografisch starken Verschlüsselungsalgorithmen deaktiviert. Mittels Fortify kann der Netscape-Browser nun so modifiziert werden, daß diese wieder zur Verfügung stehen, das heißt, er verhält sich nach der Modifikation wie die US- Nichtexport-Version.

Die Anwendung von Fortify obliegt jedoch dem Nutzer. Das bedeutet, als Server-Betreiber kann man ihm durch einen entsprechenden Web- Server lediglich die Verwendung starker Verschlüsselung ermöglichen, jedoch selbst kaum Einfluß darauf nehmen. Allenfalls bei einem geschlossenen Anwenderkreis, beispielsweise innerhalb eines Firmennetzes, ließe sich die allgemeine Verwendung von Fortify durchsetzen.

Für Unternehmen aus der Finanzbranche gibt es mittlerweile eine Alternative. Sie können eine sogenannte Global Server ID von Verisign oder der Microsoft-Zertifizierungsinstanz bekommen. Die aktuellen Versionen der Netscape- und Microsoft-Browser schalten bei einem solchen Server-Zertifikat automatisch auf starke Verschlüsselung um. Mit 695 Dollar liegt der Preis dafür jedoch deutlich höher als für ein normales Zertifikat. Von Thawte Consulting ist dieses beispielsweise schon für 125 Dollar zu bekommen.

Es gibt jedoch auch die Möglichkeit, selbst Zertifikate für den Web-Server herzustellen. Das Open-SSL-Paket enthält hierfür alle notwendigen Programme. Einen Haken hat diese Methode jedoch: Wird ein Web-Browser mit einem Zertifikat konfrontiert, das eine ihm unbekannte Zertifizierungsinstanz signiert hat, wird vom Benutzer typischerweise eine manuelle Bestätigung erbeten. Das ist zwar kein größeres Problem, kann jedoch bei unerfahrenen Anwendern zu Verwirrung führen. Zudem hat der Benutzer hierbei keinerlei Kontrolle, ob die Daten des Server-Zertifikats auch wirklich stimmen.

Bei der Wahl des Web-Servers sollte man jedoch auf ein geeignetes Shopping-System Wert legen. Sobald es um mehr als einige wenige Produkte geht, ist ein entsprechendes Warenkorbsystem unerläßlich. Bei den kommerziellen Standardlösungen gelangt man sehr schnell in Preisregionen im sechsstelligen D-Mark-Bereich. Ebenso wie die Preise schwanken auch die Funktionsmöglichkeiten der einzelnen Systeme.

Ein Blick auf Open-Source-Produkte kann hier durchaus hilfreich sein, wobei man früher oder später auf ein Shopping-System namens Minivend stößt, das sich auf allen Unix- und Win32-Systemen mit Perl-Unterstützung einsetzen läßt. Vom Namen sollte man sich allerdings nicht täuschen lassen. Denn bei Minivend handelt es sich keinesfalls um eine Minimallösung, sondern um ein ausgewachsenes Shopping-System, das sich hinter kommerziellen Angeboten nicht zu verstecken braucht.

Eine Vielzahl von Funktionalitäten macht Minivend sowohl für kleinere Anwendungsfälle als auch für den Großeinsatz interessant. Der Anwender kann nahezu beliebig viele unabhängige oder verknüpfte Produktkataloge verwalten, die sich über ein Web-Front- End einrichten und konfigurieren lassen. Durch die Verwendung von Templates ist das System sehr flexibel und nach Belieben an die Struktur der eigenen Web-Site anpaßbar.

Minivend bietet mehrere Möglichkeiten, wenn es darum geht, die Warenregale zu füllen. Eine Variante besteht darin, alle Produktdaten manuell oder durch eine entsprechende Importfunktionalität in die interne Datenbank der Lösung einzutragen. Sind solche Informationen bereits in einer Datenbank gespeichert, lassen sie sich über die SQL- oder über die ODBC- Schnittstelle auch "on the fly", das heißt zum Zeitpunkt einer Kundenabfrage, in die jeweilige Ausgabe integrieren.

Auf umfangreiche Suchfunktionalitäten, ebenfalls mit SQL- Unterstützung, und die gleichzeitige Nutzung von mehreren Warenkörben muß der Kunde dabei nicht verzichten. Die Kalkulation von Versandkosten und eine flexible Preiskonfiguration mit Preisstaffelung, Rabatten etc. sind ebenso selbstverständlich.

Hinzu kommt die Unterstützung von mehrsprachigen Dokumenten. Die Kataloge stehen in verschiedenen Sprachen zur Verfügung, wobei die Preise automatisch in die jeweilige Währung umgerechnet werden können. Weitere kleine Zusatzfunktionen wie die Einbindung von Werbebannern runden das Leistungsspektrum ab.

Das Wichtigste beim Betrieb eines Shopping-Systems sind jedoch die Bestellungen der Kunden. Diese kann Minivend entweder in einer Textdatei oder einer Datenbank speichern oder via E-Mail verschicken. Mittels eingebetteter Perl-Skripte lassen sich auch komplexere Funktionen durchführen, zum Beispiel die Verifikation der Kreditkartendaten und auch die direkte Begleichung des ausstehenden Betrags. Ist bereits ein Warenwirtschaftssystem vorhanden, läßt sich eine entsprechende Anbindung realisieren, was jedoch einige Hand- arbeit erfordert.

Aufgrund der zahlreichen Funktionen und Möglichkeiten kann die Einarbeitung in Minivend und dessen Feinabstimmung auf spezifische Anforderungen einige Zeit dauern. Letztlich wird man aber mit einem sehr flexiblen Shopping-System belohnt, das kaum noch Wünsche offenläßt.

Online-Quellen

Apache-Homepage: http://www.apache.org/

Apache-SSL-Modul: http://www.engelschall.com/sw/mod_ssl/

Open-SSL-Homepage: http://www.openssl.org/

Fortify for Netscape: http://www.fortify.net/

Cryptozilla-Homepage: http://www.cryptozilla.org/

SET-Homepage: http://www.setco.org/

Minivend-Homepage: http://www.minivend.com/

Web-Server-Survey: http://www.netcraft.com/

Angeklickt

Mit Electronic Commerce ist im Grunde die Auslagerung von ganzen Geschäftsprozessen in das Internet möglich. Doch zunächst einmal sind vertrauenswürdige Techniken zur Übertragung sensibler Daten sowie wirkungsvolle Internet-fähige Warenwirtschaftssysteme Voraussetzung. In erster Hinsicht hat der Open-Source-Web-Server Apache die Nase vorn, und die Anwendung "Minivend" ist keinesfalls ein Minimalprodukt, sondern braucht sich vor der Konkurrenz ebenfalls nicht zu verstecken.

Lars Eilebrecht ist Mitglied der Apache Group und Autor des Buchs "Apache Web-Server". Er arbeitet als Internet-Engineer bei der ECRC Network Services GmbH in München.