Dass der Weihnachtsmann nicht immer lieb ist, haben wir schon als Kinder gelernt, in dem Märchen vom Knecht Ruprecht, der den nicht braven Kindern die Rute bescherte, statt einer schönen Bescherung.

In meinem Olivenölkontor war der Weihnachtsmann seit dem kleinen Relaunch der Webseite gar nicht lieb zu den Besuchern, welche eine Bestellung ausführen wollten. Die bekamen beim Gang zur virtuellen Kasse ein Fenster von ihrem Browser gezeigt, welches auf sichere und unsichere Objekte der Seite hinwies. Ich möchte nicht wissen, zu wie vielen Kaufabbrüchen das geführt hat, ich wäre stinksauer. Nicht auf den Weihnachtsmann, sondern auf mich selbst, der ich nicht genug getestet habe.

Was ist passiert?

Bei der grafischen Anpassung der Seite wurde auch das Hintergrundbild geändert, nämlich jahreszeitlich passend mit dem Weihnachtsmann, der die Besucher lustig lächelnd begrüßen soll. Nun ist es so, dass unser Bestellprozess verschlüsselt über SSL läuft (zu erkennen in der Browserzeile, die Adresse beginnt mit”https”), um Datendiebstahl wirkungsvoll zu verhindern. Unser SSL-Zertifikat ist eine so genannte “Wildcard”. Das bedeutet man könnte jede Seite des Olivenölkontors statt mit “http” auch mit “https” (also verschlüsselt) aufrufen. Da die Seite eine dynamische ist, passiert beim Aufruf Folgendes: Alle Informationen der Seite sind in einer Datenbank gespeichert. Erst wenn ein Besucher auf die Seite surft, werden die Daten aus der Datenbank ausgelesen, und die Seite für den Besucher zusammengebaut. Das geht recht schnell, kein Problem. Auch die Pfade, woher der Browser (Internet Explorer, Firefox, Safari, Chrome und andere) die Bilddaten laden soll, ist angegeben. Liegt ein Bild in dem Verzeichnis “http://www.olivenoelkontor.de/images/stories/bildname.jpg”, dann sucht der Browser danach, und findet es in der Regel auch, wenn der angegebene Pfad stimmt. Nun kommt der Kasus-Knaxus: Der Pfad zum Hintergrundbild ist nicht in der Index-Datei angegeben (hier würde als Pfadangabe “/images/stories/bildname.jpg” reichen, womit es egal ist, ob “http” oder “https” aufgerufen wird), sondern in der CSS-Datei, welche in einem anderen Ordner (also nicht im so genannten Root-Verzeichnis) liegt und somit die komplette Pfadangabe benötigt). Einige Leser wissen jetzt schon,was passiert ist, oder?

In der CSS-Datei, welche die Anweisungen für Typographie und das optische Gerüst der Webseite enthält (wo befindet sich was), war der Pfad zum Weihnachtsmann mit “http” hinterlegt. Das bedeutete, dass der Weihnachtsmann ein unsicheres Objekt während der Bestellung war. Nun erkläre das mal jemand seinen Kindern: der Weihnachtsmann ist ein unsicheres Objekt.

Liebe Webmaster, auch und gerade die designierten: testen, testen, testen …