Gehackt und zum Spamversand missbraucht …

Dienstag, 8:15 Uhr:

Menno, die Schulhomepage ist ja wieder schneckenlahm. Joomla ist doch einfach Mist. Jetzt aber los zur Beratung zweier Schulen.

Dienstag, 14:42 Uhr:

Boah ey, immer noch. Ich rufe da gleich mal im Rechenzentrum an. Das Ding ist zwar gesponsort, aber so … Hm. Zur Sicherheit guckst du dir wohl besser nochmal die Sache von der Konsole aus an.

Dienstag, 14:53 Uhr:

Über 50 aktive postfix-Prozesse, Load bei 22, vieles bounce-Prozesse – komisch, sind wir wieder mal auf irgendeiner Blacklist gelandet? Aber wir verschicken über diesen Server doch gar keine Mails.

Dienstag, 15:01 Uhr:

Arrrgh. 46531 Mails in der Queue. Alle mit einer Domain, die gar nicht als aktive Maildomain genutzt wird. Und: Wir sind so ziemlich auf allen Blacklists gelandet. Besser mal das Mailsystem herunterfahren. Puh. Load normalisiert sich.

Dienstag, 15:13 Uhr:

Erstmal ist Ruhe – zumindest geht nichts mehr raus, aber die Mailqueue füllt sich wieder Stück für Stück mit ca. 3 Mails / Sekunde und wartet auf Auslieferung. Damit ist zumindest der Mailserver schonmal sauber. Kommt der Kram über den Webserver rein? Ooops. Dessen Log ist ja leer?

Dienstag, 15:42 Uhr:

Joah. Der Mist kommt über Apache rein und irgendein Script setzt dessen Log auf Null. Aber: Es gibt ja noch weitere Logs an Orten, die der Wurm so nicht vorhersehen konnte. Aber welches ist das Richtige? Auf dem Server liegen unzähligen Homepages von Schulen und auch Testinstallationen.

Dienstag, 16:25 Uhr:

Ein Log ist besonders groß. Dank tail mal die letzten 50 Zeilen ausgeben. Treffer! Ein WordPressplugin, aktuellste Version, trotzdem offenbar verwundbar. Viele nette verschlüsselte PHP-Scripts als Payload. Alles säuberlich im Customlog als Pfadangabe.

Dienstag, 16:48 Uhr:

Wartungsseite setzen, Installation hinter .htaccess-Schutz verstecken, Mailserver anfahren, warten.

Dienstag, 17:03 Uhr:

Mailserver bleibt unauffällig. Verseuchte Installation reinigen und wieder online stellen. Da es ein Kalenderplugin war, gibt es leider einiges an Datenverlust.

Dienstag, 18:15 Uhr:

Seufz. Dann man die IP von dem Spamlisten delisten (lassen). Mails an t-online hängen immer noch :o(…

Tage, an denen es besser wäre, einfach nur Lehrer zu sein. Heise kam just zum Zeitpunkt meiner Suche mit der entsprechenden Warnung raus – während ich schon suchte. Und natürlich war dann ein Ableger eines von mir eingesetzten Plugins auf der entsprechenden Liste. Tja. Es ist halt nicht immer gut, unter den ersten zu sein.

RAMBO (Riecken Arbeitet Mit Blogs Online) – Folge 6

Ich begleite in diesem Jahr einen Deutschkurs auf erhöhtem Niveau. Da in dem Unterrichtsraum ein SMART-Board (und keine weitere Tafel) vorhanden ist, lag es nahe, meine bisherigen Versuche, mit Blogs zu arbeiten (hier, hier, hier, hier und hier) etwas konsequenter auszuweiten und explizit durch GoogleDocs zu flankieren. Es geht dabei nicht primär um freie Unterrichtsformen – dafür sind die Vorgaben für das Fach Deutsch im neuen Kerncurriculum einfach zu umfassend – dort wird zwar von Kompetenzorientierung an jeder Ecke mit Buzzwords gefaselt – die zu bearbeitende Stofffülle in teilweise „interessanten“ Kombinationen lässt das de facto jedoch kaum zu.  Was passiert in diesem Blog:

  1. Alle Arbeitsmaterialien und Stundenergebnisse stehen darin zur Verfügung, bzw. sind in den jeweiligen Stundenprotokollen verlinkt
  2. Jede Stunde wird ein Protokoll von einem Schüler bzw. einer Schülerin verfasst und in der Kategorie „Protokolle“ abgelegt (nachdem der Chef, äh Lernbegleiter kontrolliert hat…)
  3. Längere Hausaufgaben z.B. zur Klausurvorbereitung werden im Blog erledigt
  4. Jeder Artikel kann für diejenigen, die die Sicherheit brauchen, über das Plugin arcticle2pdf auch als PDF heruntergeladen werden
  5. Es gibt Dreierteams, die jeweils drei Texte von Mitschülern sichten und nach Regeln kommentieren, die wir im Prozess gerade noch erarbeiten.
  6. Die Schülerinnen und Schüler bestimmen über das Plugin Member Access selbst, wie die Sichtbarkeit ihres Artikels gestaltet ist: Nur Lehrer, Lerngruppe, Welt
  7. Die Schülerinnen und Schüler haben volle Einsicht in meine Unterrichtsvorbereitung (GoogleDocs-Dokument), ja theoretisch auch schon vor der Stunde…
  8. Unterrichtsergebnisse werden in GoogleDocs notiert – dort stehen sie z.B. zum Verfassen der Protokolle zur Verfügung

Ganz neu:

Alle Schülerinnen und Schüler haben ein Pseudonym erhalten – ich möchte nämlich, dass nach Rücksprache mit dem jeweiligen Autorin, dem jeweiligen Autor eine Veröffentlichung für die „Welt“ möglich wird, ohne dass die mit einem Realname assoziiert ist. Für das gegenseitige Kommentieren (Peer-Review) dient diese Tabelle, die über eine Kategrie „Organisatorisches“ per Klick erreichbar ist:

Diese Personen sind zuständig für
Team 1 T1a T1b T1c T2a T3b T4c
Team 2 T2a T2b T2c T3a T4b T5c
Team 3 T3a T3b T3c T4a T5b T6c
Team 4 T4a T4b T4c T5a T6b T1c
Team 5 T5a T5b T5c T6a T1b T2c
Team 6 T6a T6b T6c T1a T2b T3c

Die Teams sind nach verschiedenen Stärken (Sprache, Struktur, Formales usw.) gebildet. Die Zuteilung von Personen zu einem Team ist ganz einfach: Man beginnt mit dem Namen, der unter dem des ersten Teammitglieds steht und geht dann diagonal nach unten rechts (am Beispiel von Team 1 grün markiert) – so kommt man nicht durch den Tüdder. Damit die Texte der einzelnen Personen leicht auffindbar sind, ist das Authors Widget sehr praktisch.

Probleme:

  1. Die SuS haben keine digitalen Endgeräte, d.h. ich muss noch immer mit Zetteln (= Medienbrüchen) arbeiten.
  2. Schön wäre es, wenn Schüler vom Platz aus selbst Beiträge in das GoogleDocs-Dokument vornähmen, z.B. um das „Tafelbild“ zu ergänzen – leider gilt hier Punkt 1. Jede billige Android-Klitsche wäre dafür geeignet. Fundraising – vier Geräte würden erstmal reichen, aber ich habe da schon eine Idee, wo ich die herbekomme…
  3. Das Notebook für das SMART-Board steht bei uns an der Wand direkt daneben – wenn ich dort tippe, sehen meine SuS den Lernbegleiter von hinten – meine Lösung ist schon unterwegs. Das Ding kann ich auch mit in die Gruppe geben…

Zwischenfazit:

Der Anfang ist gar nicht so einfach. Allmählich verselbstständigen sich jetzt bestimmte Prozesse – ein derartiges Setting ist für beide Seiten erstmal ungewohnt. Der nächsten Schritte wäre dann der an die Öffentlichkeit, d.h. ausgewählte Texte „worldreadable“ zu machen. Auch wäre es schön, wenn sich die SuS das Blog noch selbst erobern – das hat mit einer 8. Klasse schon ganz gut geklappt – zeitweise. Der technische Aufwand ist begrenzt – man muss lediglich sein WordPress installiert bekommen und mit den Plugins versehen. Das geht bei vielen Hostern schon per One-Click-Installation. Mir macht es Spaß… Den Spaßfaktor bei den SuS werde ich vielleicht noch evaluieren.

Datenschutz und Blog

Alles neu macht der Mai. Ich habe das zum Anlass genommen, sämtliche Plugins zu deaktivieren, die Daten von Besuchern dieser Webseite an Dritte übertragen – und sei es auch nur anonymisiert. Namentlich habe ich die Plugins Akismet (Spamschutz) und WordPress Stats (Websitestatistiken) mit sofortiger Wirkung deaktiviert und durch Pendants ersetzt, deren gesammelte Daten hier auf dem Server verbleiben. Für den Spamschutz verwende ich nunmehr  die Antispam-Bee und für die Statistiken schon länger parallel Piwik mit dem Plugin AnonymizeIP. Letzteres kann innerhalb von Piwik unter

Einstellungen => Plugins

aktiviert werden und sorgt dafür, dass IP-Adressen grundsätzlich gekürzt gespeichert sind. Damit ist eine aussagekräftige Statistik immer noch möglich, ohne dass damit ein potentiell verkettbares individuelles Element verknüpft ist. Dieses Verfahren sieht sogar das ULD als unbedenklich an und es wurde gemeinsam mit den Piwik-Entwicklern erarbeitet.

Bei dem Thema Datenschutz wird meines Erachtens immer gerne vergessen, dass es zwei Arten von Daten gibt: Diejenigen, die ich von mir freiwillig in das Netz einspeise und diejenigen, die ich von Dritten absichtlich und unabsichtlich durch z.B. technische Inkompetenz weitergebe. Für die erste Art mag in meinen Augen die Postprivacy-Debatte mit Berechtigung geführt werden – für Leute, die unwissentlich über z.B. Apps meine persönlichen Daten an Facebook und Co. übermitteln, habe ich kein Verständnis – noch schlimmer, wenn das z.B. mit Schülerdaten passiert – schiefgehen kann immer etwas – aber so ganz regulär ohne vorherige Information, am besten noch unbewusst?

Deswegen erscheint mir dieser nun vollzogene Schritt von mir für mein Blog nur konsequent. Full SSL (https) könnte auch noch irgendwann folgen… Mal sehen. Dagegen sprechen zur Zeit noch die ganzen eingebundenen Objekte externer Seiten, die dann hübsche Warnmeldungen im Browser erzeugen…

Apropros Postprivacy – die Statistikdaten meines Blog sind hier öffentlich einsehbar – alle IPs haben eine schöne 0 im letzten dezimalen Triplett…

RAMBO (Riecken Arbeitet Mit Blogs Online) – Folge 5

Diesmal wurde der inhaltliche Rahmen durch eine Einheit zur Erörterung gebildet. Wesentliche Elemente (Aufbau eines Arguments, Abfolge der Argumente bei steigernden bzw. dialektischen Erörterungen) habe ich klassisch im Unterricht mit Regelhefteinträgen und normalen Schreib- und Bewertungsaufträgen erledigt.

Aber schon für Stoffsammlungen erschien mir der klassische Ansatz (Zettel nehmen, jeder sucht Argumente und ordnet sie nach Gewichtigkeit usw.) nicht mehr zeitgemäß – vor Augen geführt wurde mir das durch eine spontane, kritische Schüleräußerung, die sinngemäß lautete:

„Herr Riecken, wie soll man denn aus sich selbst heraus, nur auf eigene Erfahrungen Bezug nehmend, zu wirklich inhaltlich überzeugenden Argumenten kommen?“

Recht hat er – fand ich. Passend zu den Vorkommnissen in Japan habe ich in einem GoogleDocs-Dokument Argumente pro und contra Atomkraft sammeln und jeweils ausformulieren lassen. Diese durften dann die SuS je nach Geschmack für eigene, steigernde Erörterungen in unserem Blog verwenden. So war ein solche Hausaufgabe auch unter der Woche durch die Vorentlastung einigermaßen zu bewältigen. Anhand der Blogeinträge konnte ich dann gezielt nochmal auf einzelne Herausforderungen im Unterricht eingehen – ein authentisches Arbeitsblatt ist schnell zusammenkopiert.

Heute bin ich nach einigen weiteren klassischen Stunden dann völlig verrückt geworden. Hausaufgabe war eine dialektische Erörterung zum Thema „Sollen sich SuS in den Pausen im Schulgebäude aufhalte dürfen?“ (ein authentisches Problem in dieser kälteempfindlichen Klasse) in Form eines Briefes an unsere Schulleitung. Im Blog gab es dazu diese Aufgabe:

  1. Lies dir deinen zugewiesenen Text sorgfältig durch und verfasse einen Kommentar auf Basis der Kriterien aus dem Regelheft!
  2. Wähle je ein Pro- und ein Contraargument aus, von dem du überzeugt bist und kopiere es in dieses GoogleDocs-Dokument.
  3. Schreibe gemeinsam mit deinen Mitschülern die Gelenkstellen in dem GoogleDocs-Dokument – es soll am Schluss der Stunde ein fertiger Brief entstehen.

Die kursiv gedruckten Passagen verlinkten im ersten Fall auf eine GoogleDocs-Tabelle (nur lesender Zugriff), die regelte, wer welchen Text im Blog kommentiert und im zweiten Fall auf ein GoogleDocs-Dokument (anonym, schreibender Zugriff). Die SuS durften in einem Zwischenschritt (von 2 auf 3) noch die einzelnen Argumente durch Hinzufügen von Sternchen bewerten – jeder hatte für pro und contra je fünf Sternchen (*) zu vergeben.  Das Ergebnis haben wir uns angeschaut und dann Aufgaben verteilt –

  • Wer kümmert sich um die Sortierung entsprechend der Sternchenanzahl?
  • Wer formuliert welches Argument inkl. Anschluss an die umgebenden genauer aus?
  • Wer kümmert sich im die Gelenkstelle (Übergang von Antithese auf These)?
  • Wer kümmert sich um die Einleitung?
  • Wer kümmert sich um den Schluss?

Erfahrungen

  1. Eine Doppelstunde reicht für das gesamte Vorhaben nicht
  2. Es gibt Phasen des totalen Chaos – z.B. wurde zwischenzeitlich die schon durch Sternchen bewerteten Argumente für die Antithese versehentlich(?) gelöscht – leider fand Riecken die Versionierung in der konkreten Unterrichtssituation nicht… ( Jetzt weiß ich: Datei => Überarbeitungsverlauf anzeigen )
  3. Natürlich haben einige Witzbolde im Schutz der Anonymität auch Blondinenwitze integriert oder bereits zugewiesene Namen für die Bearbeitung von Textteilen nachträglich verändert
  4. Nach einigem gezielten Geschimpfe kam das Dokument dann doch in die Spur
  5. Der Sinn des Verfahrens erschloss sich den SuS in seinen Vorteilen zur klassischen Heft- oder Zettelklebearbeit erst prozessual
  6. Ich habe für Morgen jetzt genug Material, um den Übergang zwischen Argumenten zu üben (Arbeit am Lexikon und der Sprache)

Mir kamen heute Zweifel, ob gerade die anonyme Nutzung von GoogleDocs auf Dauer wirklich noch Sinn macht, weil das mehr und mehr ein Tool wird, dessen Nutzen von den SuS gesehen und auch anderweitig genutzt wird – hat dazu jemand schon einen Elternbrief entwickelt?

Blog reloaded

Schon vor einiger Zeit habe ich angefangen, Blogs für schulische Zwecke zu nutzen. Damals habe ich das Blog nur für eine Klasse durch ein Plugin (membersonly) verrammelt, sodass niemand außer den registrierten Nutzern darauf zugreifen konnte. Ich hatte dann vor, gemeinsam mit der Klasse besonders herausragende Texte auszuwählen und in einem Extrablog zu veröffentlichen – Schnapsidee.

Erstmal setzt man so ein Extrablog eh nicht nebenbei mal so auf und zweitens wäre es doch viel schöner, wenn der jeweilige Autor selbst über den Grad an Sichtbarkeit entscheidet. Auch dafür gibt es ein Plugin: Member Access. Standardmäßig sehen nur angemeldete Benutzer die Seite. Wer mag, kann seinen Artikel über eine neue Sichtbarkeitsfunktion entweder durch den Admin oder selbst freigeben, sodass der Artikel ganz normal im Blog erscheint und damit weltweit sichtbar ist. Selbst entscheiden finde ich immer gut…

1 2