[UPDATED! Limesurvey 192plus]

Als LimeSurvey Entwickler werde ich (nicht nur ich, aber auch) immer wieder gefragt wie man LimeSurvey den auf dem eigenen Desktop-Rechner (am besten auch noch Windows) installiert.

Leider oder vielleicht auch zum Glück, verstehen und beherrschen längst nicht alle Nutzer des Internets die zugrundeliegende Technik von Webservern und Datenbanken.

Also habe ich mich in meiner Freizeit mal hingesetzt und ein Paket zusammen geschnürt, welches einem unbedarften Anweder keine Schwierigkeiten machen sollte.

Als Grundlage dient der xampplite (Webserver mit PHP und MySQL Datenbank) von den Apache Friends. So lässt sich Limesurvey auch von technisch unversierten Anwendern lokal ausprobieren.

Installation:

Die .exe Datei ist ein selbstentpackendes Archiv. Es entpackt einen Ordner xampplite in dem Limesurvey bereits enthalten ist.
Im entpackten Ordner xampplite, findet man 3 xampp fremde Dateien.
 

• LS_install_and_start.bat (Sollte beim ersten Start von Limesurvey benutzt werden. Konfiguriert xampplite, startet den Webserver, installiert die LimeSurvey Datenbank und öffnet anschließend den InternetExplorer auf der loginSeite des jetzt installierten Limesurveys)
• LS_start.bat (wenn LimeSurvey bereits installiert wurde sollte diese Datei genutzt werden. Startet xampplite, öffnet den InternetExplorer auf der Loginseite von LimeSurvey.)
• LS_stop.bat (Zum Stoppen von xampplite.)

Login ist der Standard Login
login: admin
pass: password

Download:

Xampp mit Limesurvey 192 und neuer gibt es direkt bei limesurvey zum Download: http://www.limesurvey.org/en/stable-release

xampplite171_Limesurvey191plus.exe
(old) xampplite171_Limesurvey190plus.exe
(old) xampplite171_Limesurvey187plus.exe
(old) xampplite171_Limesurvey186.exe

Englische Re

Spammer verbreiten seit Jahren Ihren Werbe- oder Datenmüll hoch automatisiert.

Mein Blog war in seiner ersten Version auch anfällig für sogenannte Spambots, die keine Probleme damit hatten Kommentare zu posten.

Als Reaktion baute ich eine Captcha Abfrage ein, also ein Bild was eine zufällige Folge von Zeichen darstellt, die ein Benutzer dann eingeben muß. Spambots versagen hier in der Regel wodurch der gewünschte Schutz vor Spam entsteht.

Nun ist diese Variante der Spamabwehr allerdings nutzerunfreundlich. Technisch gesehen ist es eine geringe Hürde, für sehschwache oder gar blinde Internetnutzer ist es allerdings unzumutbar und selbst erfahrene Internetnutzer springen oft genervt ab, wenn sie ein Captcha abtippen sollen, nur um ein Kommentar ab zu geben?!

Viel interessanter ist es, sich das Verhalten der Spambots genauer an zu schauen und aus diesem Verhalten Regeln zur Spamabwehr zu erstellen. Ich konnte einige Regeln erstellen, die jetzt dazu dienen meinen Blog von Spamkommentaren frei zu halten.

1. Bots brauchen nur wenige Sekunden um ein Formular ab zu senden. Eine natürliche Person benötigt mindestens 8 Sekunden um zum Kommentarfeld zu scrollen, einen Namen und ein Kommentar an zu geben (und dann wurde noch nichts gelesen was man kommentieren könnte).

2. Bots füllen meist alle Felder eines Formulars und senden diese an den Server. Selbst wenn diese eigentlich nicht für den Nutzer sichtbar sind.

3. Bots ändern keine Werte in vorbelegten Feldern, besonders nicht in hidden fields.

Aus diesen Verhaltensmustern lassen sich schon gute Regeln erstellen, die Bots ausschließen und normalen Nutzern nicht im Weg stehen.

1. Speichere den timestamp beim anschauen einer Seite und überprüfe beim absenden eines Kommentars ob der Nutzer mindestens x Sekunden von anschauen der Seite bis zum Kommentar gebraucht hat. Wenn es schneller ging, ist es vermutlich ein Spambot.

2. Baue Felder mit den namen "email" und "url" in Dein Formular ein, aber verstecke sie per CSS (Bsp: style="position:absolute; top:-1000px; left:-1000px;") und benenne typische Felder für E-Mail oder Name

I invite you to hack my website... I am surely no security guru, but have hopefully done the basics to secure my website. Nevertheless I would like to know if it is really secure. I guess not for a real pro, but this is the point, I want to know where I have to improve my security skills and learn how to make a website more secure!

So if you are a hacker or security pro, come on! Do it! Change my startpage, inject javascript code in the blog or tell me my login. As long as you don't harm other visitors and point out the issues to me, I will give you credit in my about page if you like.

There is a comment function in the blog, a search input and loginform. I guess these are the most common things to start from.

Have Fun!

/

Ich lade Dich herzlich dazu ein meine Webseite zu "hacken". Ich bin kein Sicherheitsguru, hab aber einiges getan um die Seite sicher zu machen. Trotzdem würde ich gerne wissen ob sie wirklich sicher ist. Vermutlich nicht sicher genug für Profis, aber darum geht es mir: Ich will wissen wo ich mich verbessern muß und wie ich eine Webseite noch sicherer machen kann.

Also wenn Du ein Hacker bist, komm schon! Tu es! Veränder meine Startseite, schleuse Javascript ein oder finde mein Login heraus. Solange Du keine anderen Benutzer gefährdest und mir die Schwachstellen aufzeigst, werde ich Dir im Impressum danke, wenn Du das überhaupt möchtest.

Es gibt eine Kommentarfunktion im Blog, eine Suche und ein Login. Vermutlich die besten Orte um anzufangen.

Viel Spaß!

my new website is up and running smooth under PHP 5.3.

But not that these things can work without problems, no. Thanks to my webhoster I have to deal with the Suhosin Patch which does everything my Framework can do and does normally.

OK, then I disable all the security measures in my Framework, Suhosin does everything. Dare you goneo to ever switching the Suhosin Patch off. That would be fatal.

Of Course not everything is finished. Compared to my old website a guestbook, a galerie and a comment function in the blog is missing. I am going for the last one, but I am not sure if I put a guestbook and galerie back on. I almost never used them and nowadays we have this thing called facebook to share our pictures and personal messages, haven't we? And that is mostly the only new thing for users, beside the minimal dress timwahrendorff.de put on: You can share my blogentries with one click on Facebook! I haven't build in the like button, since there are some privacy issues with that evil like button.

My last days in Southampton are counted. Atm I am sitting in front of my final reports and break my brain, write lots of intelligent stuff and search through resources and books to make my assumtions to proven facts.

Right now my report for mobile development is nearly finished. Only final year project and database report to go...

Btw. I wrote this using my new JavaME blogging app... Nice, eh? I like it...