Die österreichische Post hat in den letzten Jahren digital einiges richtig gemacht. Der Service wurde für Kunden verbessert, eine Usability-technisch zumutbare Website geschaffen und eine App für mobile Devices public gestellt, die durchaus zu empfehlen ist.

Dann hat die Post auch noch ein ziemlich ambitioniertes Projekt vorgestellt: shöpping.at. Ein österreichischer online Shop, der österreichischen Unternehmen aus den Klauen von Amazon, Zalando und Ebay helfen soll. So weit, so optimistisch.

Für ihr ambitioniertes Projekt hat die Post laut Medienberichten rund 30 Mio. Euro budgetiert. – derstandard.at/2000051569868/Post-startet-Amazon-Mitbewerber-shoeppingat-im-April

30 Millionen Euro.

Keine Sorge, ich musste den Satz auch ein zweites Mal lesen. Das ist viel Geld – da sollte technisch auch was ordentliches rausschauen, so zumindest meine Annahme.

Was macht ein Web-Entwickler, wenn er ein neues Produkt sieht? Genau, er sucht sich mal quer durch den Quelltext 🙂 Was sich dort Interessantes finden lässt, will ich euch nicht enthalten!

https:// – gelebte Unsicherheit

Eine Entscheidung, die mich in den ersten 2 Sekunden nach Aufruf der Seite verwundert hat, war die Wahl https nicht zu erzwingen. Es sind beide Versionen möglich – https://www.shoepping.at und http://www.shoepping.at. Warum das ein Problem ist?

Weil News-Seiten nur die http-Version verlinkt haben, hat Google auch nur diese indexiert. Da Nutzer leider überdurchschnittlich oft Domains via Google suchen anstatt diese in die Adresszeile zu tippen, kommen sie automatisch auf die http-Version.

Was dabei noch spannender ist: in der http-Version wird eine Weiterleitung auf www erzwungen, d.h., jeder User, der via http auf die Seite zugreift, wird automatisch auf http://www.shoepping.at weitergeleitet. Logic dictates, dass, wenn ich in der http-Version auf www weitergeleitet werde, auch in der https-Version gleiches Verhalten feststellen kann. Nope.

Your connection is not private“. Chrome & Co. machen also einen auf Gandalf. Aber warum? Developer Tools to the rescue!

Tja. Wenn ein Zertifikat einer anderen Domain (die nebenbei angemerkt auf post.at weiterleitet) angewandt werden soll, wundert mich die Gandalf’sche Reaktion des Browsers herzlichst wenig.

Und was passiert, wenn man trotz aller Warnungen auf https://shoepping.at weiter will? Genau, eine Weiterleitung auf die unsichere http-Version. Fehlerhafte vhost / .htaccess Konfigurationen stehen bei 30 Millionen Euro Projekten also auch noch auf der Tagesordnung. Das kann ja nur gut gehen.

Zugegebenermaßen, auf einer simplen statischen Landing-Page sind die Auswirkungen nicht so groß wie beim Webshop selbst. Trotzdem ist das Bad-Practice. Ganz davon abgesehen, dass verschiedenste Formulare auf der Seite eingebunden sind – und Eingaben somit innerhalb eines Netzwerks (z.B. Public Wlan) wunderbar einfach abgefangen werden können. Da helfen auch die vielen verschiedenen externen Dienste nicht, die auf der Seite eingebunden sind.

// EDIT: nach knapp einer Woche wurde der Redirecting-Fehler behoben.  https wird aber noch immer nicht komplett durchgesetzt.

Was der Quelltext noch alles verrät

Ok, das Schlimmste sei überstanden. Was kann den am Mark-up der Seite großartig schief gehen?

Die ersten Zeilen sind wenig interessant. Doctype und Co., ein wenig Meta-Daten. Umlaute zu kodieren wenn UTF-8 genutzt wird, finde ich ein wenig übertrieben, aber kein Ding. Spannend wird es erst ab dem CSS-Teil. Die Bilder werden über einen CDN-Dienst namens cloudfront  abgewickelt – ein Dienst, der zu Amazon Web Services gehört – dem größten Cloud Computing Anbieter der Welt. Das wäre an und für sich nicht nennenswert – werden CDNs dazu genutzt, um Dateien (Bilder & Co.) schneller an Kunden auszuliefern, wenn diese weitflächig verteilt sind. Glaubt man aber einem User im derStandard-Forum, ist shoepping.at IP locked auf Österreich.

Ich muss ehrlich zugeben, dass ich noch nie getestet habe wieviel Unterschied gemessen werden kann, wenn ein User in Wien und ein anderer aus Vorarlberg auf etwas zugreifen will. Schätze den Unterschied aber eher gering ein. Be it as it may – nicht wesentlich.

Was aber mit jeder Zeile im Quellcode offensichtlich wird, ist, dass sehr viele verschiedene externe Dienste genutzt werden, um diese simple Landing-Page zu generieren:

  • Cloudfront – CDN zur Auslieferung von Files =>Amazon
  • Unbounce – Dienst zur Erstellung von Landing-Pages (genutzt um die Seite zu bauen)
  • jQuery von googleapis.com – CDN zur Bereitstellung von jQuery Library => Google (wird – warum auch immer- 2 mal eingebunden)
  • Google Webfonts – CDN zur Bereitstellung von Web-Schriftarten => Google
  • 123contactform – Anbieter zur Bereitstellung von Online-Formularen
  • conversionfox – Tool zur Lead-Generierung
  • hotjar – Tool zur Echtzeit Analyse vom User-Verhalten
  • Google Tag Manager – Tool zur Analyse vom Klickverhalten der User => Google
  • Google Forms – Tool zur Erstellung und Speicherung von Online-Formularen => Google

Ja, jedes dieser Tools ist mächtig. Es steht auch außer Debatte, dass viele dieser Tools das Leben eines Entwicklers leichter machen – ich nutze auf diesem Blog auch Google Analytics; aber nur bis der “How-to Setup PIWIK” Beitrag fertig ist ;). Es muss aber trotzdem angemerkt werden, dass viele dieser Dienste aus Sicht der Privatsphäre alles andere als unproblematisch sind. Mit hotjar können die Mitarbeiter der Post  zusehen, wie Nutzer auf shoepping.at die Seite bedienen. Kino-Feeling, wie der Werbe-Clip verspricht. Wenn sich Händler eintragen wollen, werden sie gezwungen ihre Daten auch gleichermaßen an Google weiterzuleiten – immerhin landen dort alle Daten des Online-Formulars. Wo die Klick-Analysen durch den Google Tag Manager landen, will ich garnicht wissen.

Ganz spannend dabei: Der User wird über die Verwendung von Cookies sowie die bereits aufgezählten Dienste NICHT informiert. Gesetze und so, liebe Post.

Ok, jetzt wissen wir also, dass die Nutzerdaten von shoepping.at auf verschiedensten Diensten landen – keiner davon aus Österreich, die meisten davon nicht mal aus Europa. 

Blenden wir alles vorherige aus. Friede, Freude, Eierkuchen – oder so ähnlich. Besucht man die Seite, fällt eines auf: sie hat viel Whitespace.

Das ist an und für sich auch kein Problem – immerhin kann ich einfach bis zum nächsten Bereich scrollen. Aber was ist, wenn ich aufgrund einer Beeinträchtigung die einzelnen Bereiche nicht sehe, sondern auf einen Screenreader angewiesen bin?

Liebe Post, diese Seite ist durch Screenreader nahezu unbedienbar! Will man sich durch die Seite navigieren, springt man als erste Station auf  den Link “Pressekontakt”. Ja. Pressekontakt. Bei nahezu allen Bildern fehlt der alt-Text. Daher erfährt niemand, um was es eigentlich geht. Der User springt aufwärts – also entgegen der eigentlichen Nutzungsrichtung. Dies alles widerspricht nicht nur unseren  Gesellschaft Grundfesten, den gängigen Gesetzen sondern auch der Business-Logik eines jeden Online-Dienstes.

Zu beheben wäre dieses Problem ziemlich einfach: valides HTML.

Mit 73 Fehlern und 19 Warnungen hat sich irgendwer nicht Mühe gegeben (auch wenn die Seite noch so sehr von einem Generator erstellt wurde). Dabei würde valides HTML nicht “nur” bei Accessibility helfen: die Suchmaschinen-Optimierung steigt wesentlich und der Code ist in Zukunft einfacher wart- und erweiterbar. Quasi drei Fliegen mit einer Klappe.

So sehr ich das Konzept als spannend empfinde, muss ich leider sagen, dass die Seite typisch österreichisch umgesetzt wurde. Von einem 30 Millionen Euro Budget sollte sich auch eine ordentliche Landing-Page finanzieren lassen.

Unabhängig davon habe ich nach über 24 Stunden noch keinen Zugang bekommen – würde man damit Nutzer aktiv ansprechen wollen (unabhängig ob eine Beta Version oder nicht), ist das nicht akzeptabel.

Schade.