Diese Revision nehmen Vanessa und Schepp die Veröffentlichung des diesjährigen Web Almanac zum Anlass, sich ein paar der darin beleuchteten Bereiche heraus zu picken und über die Daten und Erkenntnisse zu reden.
Schaunotizen
- [00:01:00] Der Web Almanac 2021
- Aufgrund des großen Umfangs und der Detailtiefe entscheiden wir uns, uns auf ein paar wenige Themen aus dem Almanac zu beschränken. Unsere Wahl fällt auf JavaScript, Structured Data, Accessibility, Page Weight und CMS. Wir kommen relativ zu Anfang auf das Thema Security zu sprechen und nennen das Audit-Werkzeug Snyk, verweisen auf eine vergangene Revision zum Thema Mutated XSS erinnern uns an Blogposts, die beschreiben, wie man npm-Pakete theoretisch zum Abgreifen von Daten missbrauchen könnte oder wie es praktisch tatsächlich passiert. Schepp lernt nebenbei, dass es einen
SourceMap
-HTTP-Header gibt. Hinsichtlich Accessibility verweisen wir auf eine gar nicht so alte Episode von uns, erwähnen Manuel Matuzovićs Experiment, diversen automatisierten Accessibility-Audits trotz völlig unzugänglicher Webseite perfekte Accessibility-Scores abzutrotzen und dass wir beim Accessibility-Club in einem Vortrag von Karl Groves gelernt haben, was sogenannte Accessibility-Overlays doch für ein Schlangenöl sind. Im Abschnitt CMS sind wir positiv davon überrascht, wie gut TYPO3 im Bereich Performance abschneidet und wir erwähnen auch kurz das Headless CMS Storyblok, dessen Macher vor nicht all zu langer Zeit bei uns waren.
Kommentare
Ingo Steinke #
Geschrieben am 17.12.2021 um 10:05
Vielen Dank für diese ausführliche Workingdraft-Folge!
Abgesehen von eigentlich wenig überraschenden Fakten wie der großen Verbreitung von jQuery auch außerhalb von Code Snippets in StackOverflow-Antworten, spitzte ich erstmals wirklich die Ohren, als der Schepp erklärte dass (und warum) er Source Maps auf Prouction deployed, und dass er das sogar noch um Template Sources (Vue etc) erweitern würde. Von Symfony/Shopware kenne ich das tatsächlich in Form von HTML-Kommentaren (üblicherweise niemals auf Production) und dank Symfony Profiler lässt sich im Dev Build dann auch jede Zeile auf das ursprüngliche Source Template zurückführen.
Interessant bleibt der Gedanke, dass (insbesondere in Deutschland?) dieses übliche „never on production“ tatsächlich eine „Security by Obscurity“ – Strategie ist, die ähnlich wie ein Fahrradschloss vor allem unprofessionelle Gelegenheitstäter abschrecken dürfte. „Hacker brauchen auch DX“ – großartig!
Interessant auch der Aspekt weit verbreiteter Legacy Tools und Libraries, dass solcher Code niemals sicher sein könne, weil beispielsweise Bootstrap Code in data-Atrributen als JavaScript ausführe. Ist das echt so, jetzt, Dezember 2021, nach dem log4shell-Vorfall, immer noch default?!
Passend dazu, außerhalb dieses Podcasts, gestern auf Twitter mehrere Beiträge zu vermeintlich vergangenen Themen gesehen (Quirks Mode?!) die mich zweifeln ließen, ob es wirklich Dezember 2021 ist und ob ich im Fieberwahn der Boosterimpfung meiner Wahrnehmung nicht mehr trauen darf?
So weit, so gut! Einer der letzten Podcasts, die ich auf deutsch höre (abgesehen von der Nachhaltigkeitsreihe der Fabrik für immer, siehe Link zu meinem Blog unter „Website“). Vielen Dank, dass ihr so fleißig und kontinuierlich Content produziert. Nachdem die Themenauswahl im Radio scheinbar immer beschränkter wird, könnte ich tatsächlich zum regelmäßigen Podcast-Hörer werden und nächstes Jahr mal weniger Folgen verpassen. Macht weiter so! Euch allen frohe Feiertage und einen guten Rutsch in ein hoffentlich besseres neues Jahr 2021!
RSS-Feed zu diesem Beitrag