Google IO 2014 streames live fra Trollweb i Stavanger

google-io-extended-stavanger-verticalTrollweb er Google IO Extended partner, og streamer tech-konferansen Google IO live fra kontorene på Forus utenfor Stavanger og Sandnes onsdag- og torsdag 25.-26.juni 2014.

Google IO er spekket med topp kvalitets foredrag om avansert webutvikling, design og mye mer.

Se Google+ Event siden for mer detaljer og gratis påmelding. Begrenset antall plasser.

Det blir servert enkel mat og drikke, samt en og annen overraskelse til de som kommer.

Lynrask Magento nettbutikk

google pagespeed magentoHastighet er som vi alle vet veldig viktig – både for salg og den generelle kundeopplevelsen, og vi jobber hele tiden med å få til best mulig performance på de mange hundre Magento nettbutikkene vi drifter.

Magento er en tung web-applikasjon med store mengder funksjonalitet som må tas hensyn til når man skal jobbe med performance, og raske snarveier for å øke hastigheten fungerer derfor sjelden bra i lengden.

De siste månedene har vi uansett fokusert ekstra mye på performance, og ruller nå ut en rekke tekniske forbedringer som gir vesentlige hastighetsforbedringer i Magento.

Disse løsningene inkluderer alt fra enda mer optimaliserte og raskere servere (hardware) til avanserte tekniske løsninger som Google mod_pagespeed (software).

Raskere enn Amazon

Et eksempel på en nettbutikk som har fått disse nye funksjonene er http://www.barbershop.no/, som oppnådde en score på over 90 poeng på Google Pagespeed sin måling av hastighet/performance (Amazon ligger på rundt 80-85 poeng). De fleste butikkene vi har optimalisert har havnet på rundt 85-92 poeng på Google sin hastighetsmåling.

Varnish + Magento = Enda raskere

Kunder av oss som kjører Varnish på Magento har en enda raskere hastighet ut mot gjestekundene (kunder som ikke er logget inn) – på helt nede i +/- 50 millisekund lastetid, som er ekstremt raskt – spesielt når man vet at Amazon og de store sier en nettside bør lastes innen ca 1 sekund (som er 1000 millisekunder) for at den skal oppleves raskt.

Varnish kan implementeres på alle Magento nettbutikker, og det er allerede implementert i et 50-tall butikker. Varnish gir et ekstra lag med kompleksitet som nettbutikk-eieren også må forholde seg til så dette er ikke noe som implementeres uten at det er avtalt og avklart på forhånd.

Ta kontakt for å få fart på din Magento nettbutikk

Responderer ikke din Magento nettbutikk raskt nok? Ta kontakt med en av våre Magento-spesialister som vil kjøre en analyse på nettbutikken og finne hvor flaskehalsene er, og deretter få implementert de riktige tekniske forbedringene som sikrer at også din nettbutikk er lynrask.

Såfremt det ikke trengs noe ekstern software eller liknende så er dette helt gratis.

 

OpenSSL Heartbleed

heartbleedDet har vært veldig mye oppmerksomhet rundt sikkerhetshullet kalt “Heartbleed” de siste dagene. Vi prøver her å gi en forklaring på dette, selv om dette er relativt kompliserte greier.

Merk først av alt at alle våre webservere er patchet og sikret mot dette svært alvorlige sikkerhetshullet.

Først, hva er det som egentlig har skjedd?

Mandag 7.april ble det spredt informasjon ut på nettet om at et svært alvorlig sikkerhetshull i OpenSSL/TLS var blitt oppdaget av et finsk sikkerhetsselskap samt en sikkerhetsingeniør ansatt i Google.

OpenSSL er en programvare som gjør at man kan bruke såkalte SSL-sertifikater på nettsidene sine, slik at man får https:// foran adressen – som igjen betyr at alt som skjer mellom nettleseren din og webserveren/nettsiden du besøker er kryptert, dvs at ingen andre skal kunne lese dette.

Alle nettbanker, epost-tjenester samt en mengde andre nettsider bruker SSL/https til dette formålet, og det ville vært svært alvorlig dersom noen kunne komme seg forbi denne sikkerheten og lese alt dette (passord, kontoutskrifter, epostinnhold, osv).

Det som skjedde var nettopp det. Og enda verre at dette sikkerhetshullet har vært åpent i lang tid, uten at noen (forhåpentligvis) har visst om det.

Hvor mange- og hvilke nettsteder er påvirket?

OpenSSL kjøres normalt oppå en webserver-programvare, som Apache, og som brukes til å kjøre millioner av nettsider rundt i verden. Av disse igjen er det en relativt liten andel som bruker kryptering  (med SSL) – og det er kun de som bruker OpenSSL som er påvirket (de som ikke bruker OpenSSL eller alternativ SSL-programvare kjører allerede helt ukryptert trafikk, men har muligens ikke sett behovet for kryptering av dataene mellom nettleseren (brukeren) og webserveren (nettsiden).

Hva er egentlig denne Heartbleed bug`en? Hvordan kan man bruke den til å lese den krypterte trafikken?

Heartbeat (altså ikke Heartbleed – som bare er blitt kallenavnet) er en funksjon i nyere versjoner av SSL-protokollen. En bug i denne programvaren gjør at man kan sende et spesielt “hjertebank”-signal til webserveren, som igjen gjør at man får tilgang til å lese ut deler av det 64kB store minnet OpenSSL bruker for å kjøre (og for å kunne kryptere trafikken).

Inni dette minnet ligger også de hemmelige krypteringsnøklene som brukes for å sikre at trafikken går – nettopp, kryptert. Dersom noen får tak i disse kan man i prinsippet lese all kryptert trafikk mellom nettleseren og nettsidene man besøker (som f.eks en nettbank) – selv om det står https med fin grønnfarge og hele pakken.

Litt sånn flyplass sikkerhetskontroll-aktig, der man tror man er dønn sikker men der realiteten er en helt annen.

Man kan lese mer detaljer om bug`en i den offisielle bug-reporten og det finnes også en Wikipedia-artikkel tilgjengelig som inneholder mye informasjon om den for de spesielt interesserte.

Merk forøvrig at man ikke behøver å bruke OpenSSL for å kjøre SSL, og at nettbanker som Skandiabanken kjører en annen SSL-software enn OpenSSL og er dermed ikke berørt.

Hvordan har Trollweb håndtert dette?

Vi har et omfattende sikkerhets- og oppdateringssystem bak alle Magento nettbutikkene som kjører hos oss, der det hver eneste uke blir kjørt automatisk sikkerhetsoppdateringer samt andre ikke-Magento-relaterte oppdateringer, for å blant annet sikre at alle nettbutikkene er så sikre som overhodet mulig.

Våre teknikere følger løpende med på sentrale registre for sikkerhetsoppdateringer, og kun et fåtall av våre mange hundre servere kjørte en av de aktuelle versjonene som hadde dette sikkerhetshullet. De serverne som kjørte en av de “infiserte” versjonene ble oppdatert i løpet av noen timer etter at bug`en ble offentlig kjent.

Vi kjører forøvrig Debian som operativsystem på alle våre servere, og Debian er kjent for å ha sikkerhetsoppdateringer tilgjengelig veldig raskt, normalt i løpet av noen timer.

Betyr det nå at alt er OK?

Alle webserverne våre er patchet og sikret. Det finnes alltid teoretiske muligheter for at noen har fått tak i krypteringsnøklene, og man må få utstedt nye SSL-sertifikater for å sikre seg mot dette. Det er noe vi gjør løpende, og er ikke noe man behøver å tenke på selv.

Merk også at dette kun gjelder de delene av nettbutikken som har SSL-trafikk (https://), som typisk er kassen og kontosiden. Det mest hemmelige som går her er normalt passordet til brukerkontoen når man logger på, og selv om som sagt sjansen for at noen har anskaffet seg krypteringsnøklene til dine nettsider er mikroskopisk så anbefaler vi å vurdere og bytte passord, ihvertfall til Magento kontrollpanelet.

Alle kortdata håndteres hos PSP`en din (Payment Service Provider), som Nets eller DIBS, og de må eventuelt svare på hvordan de har håndtert dette sikkerhetshullet.

Vil dette kunne skje igjen?

Man vil aldri kunne garantere et 100% sikkert internett, og dersom man har dette som krav så må man la være å bevege seg her ute. Internett er svært kompleks, med tusenvis av komponenter som må fungere for at du skal kunne besøke en gitt nettside – og sikkerhet bygges inn stort sett i alle disse komponetene, som gjør ting enda mer kompleks og sårbart.

Sikkerheten på nettet tas like alvorlig som flysikkerheten (ergo veldig alvorlig)

Det jobbes ekstremt mye med sikkerhet på nettet – og normalt skal man kunne føle seg veldig trygg, men sikkerhetsfeil som den som ble oppdaget mandag 7.april er helt klart med og ødelegger noe av den opparbeidede tryggheten, på lik linje som når man leser i nyhetene om at et fly har styrtet – noe som i teorien skulle være umulig.

Nå er det heldigvis slik at man normalt lærer av sine feil – og de fleste datasystemer (og fly) blir derfor sikrere og sikrere hele tiden, dessverre med ett og annet alvorlig tilbakefall.

Har du flere spørsmål knyttet til Heartbleed bug`en anbefaler vi deg å google ordet “heartbleed”.

Nye priser på Magento Enterprise fra 1.april 2014

Magento har normalt en prisøkning hver 18.måned, og neste økning kommer 1.april 2014.

Den nye prisen er USD$17882 pr år for standard Magento Enterprise lisens, som er en økning på ca 15% fra USD $15550.

Det vil være en tilsvarende prisøkning på alle multi-server installasjoner.

Man vil normalt få rabatt ved binding over 3-5 år, som da også binder prisen over alle disse årene.

Ta kontakt med salg@trollweb.no om det er noen spørsmål knyttet til dette.

Ressurser for profesjonelle butikk- og netthandel-eiere.