MyTischtennis-Relaunch: Technik & API

[Topspin Brudi]

Ich habe mir die Seite mytischtennis.de nach den Berichten der "Hacker-Angriffe" in den letzten Tagen etwas genauer angesehen und möchte hier kurz meine Beobachtungen teilen.

Als ich hörte, dass mytischtennis.de in neuem Gewand erscheint, war ich zunächst in freudiger Erwartung. Man könnte dem alten System zugutehalten (”never change a running system”), dass es funktioniert(e) – wenn auch aus meiner Sicht nicht mehr zeitgemäß. Die Darstellung für mobile Endgeräte wurde damals mit der Brechstange hinzugefügt, und irgendwann sind solche Systeme einfach zu alt. Hier neu anzusetzen, ist folgerichtig.

Verwundert war ich jedoch über den gewählten Zeitpunkt des Relaunches kurz vor Saisonstart. Deadlines solcher Projekte, eng bemessen an der nächsten erwartbaren Lastspitze, sind oft ein Zeichen für hektische Projektplanung, und das Ergebnis unterstreicht dies leider. Die mobile Darstellung war zu Beginn ein Trauerspiel – auch wenn nun Stück für Stück nachjustiert wird. Fehlende Links und eine teils unintuitive Navigation innerhalb der Seiten lassen vermuten, dass keine wirklichen User-Tests vor dem Live-Gang oder in der Konzeptionsphase stattgefunden haben.

Weiterhin haben sich viele URLs der Seiten im Zuge des Relaunches verändert, Weiterleitungen wurden aber konzeptionell offenbar nicht ausreichend berücksichtigt. Ruft man "die alten" gelernten URLs auf, landet man oft immer noch auf 404-Seiten (”Die Seite, die du suchst, existiert nicht.”). (Beispiel: https://www.mytischtennis.de/clicktt/home)

Das hat nicht nur Auswirkungen auf die Erfahrung für Nutzende, sondern auch für die Positionierung in Suchmaschinen wie Google, was schlussendlich dann auch Auswirkungen auf die Werbeeinnahmen haben dürfte. O.g. Seite ist laut dem SEO-Tool “Sistrix” immer noch die elfterfolgreichste Seite bei Google für die Domain – das dürfte sich bald ändern. Da diese Seiten immer noch nicht funktionieren, ist davon auszugehen, dass das Monitoring des Systems ausbaufähig ist oder die "Learnings" daraus nicht zur Anwendung kommen. Bei Seiten dieser Größe beobachtet man i.d.R. die Menge an auflaufenden 404-Fehlern und schafft Lösungen (bspw. Redirects) für die Seiten mit den meisten Aufrufen.

Ein Fehlermonitoring der Seite mittels des Dienstes “Sentry” scheint implementiert zu sein. Rund um die Lastspitzen ließ sich aber auslesen, dass zu viele Anfragen an Sentry geschickt wurden – teilweise konnte man den Fehlermeldungen entnehmen, dass das abgeschlossene Service-Paket bei Sentry sein Limit erreicht hatte und weitere Events verworfen wurden. Im Übrigen sind Dienste wie Sentry aus meiner Sicht zwingend in der Datenschutzerklärung von MyTischtennis zu nennen. Dies passiert – Stand jetzt – nicht. Ich gehe davon aus, dass die Datenschutzerklärung länger nicht mehr angefasst wurde.

Kommunikation & "Angriffe"

MyTischtennis glänzte in der Vergangenheit nicht immer durch Transparenz. Umso schöner fand ich es, dass augenscheinlich – auch unter steigendem Druck – die Kommunikation rund um Updates und Probleme auf der Seite gestartet wurde.

Bei Aussagen wie: “Die Herausforderung bleibt: ungewöhnlich hohe Last durch automatisierte Zugriffe, vor allem aus dem Ausland. Das vergangene Wochenende hatte 26,5 Millionen Seitenaufrufe [...].” (Quelle) kommen mir jedoch Zweifel. Zum einen ist der Begriff "Seitenaufruf" hier technisch vermutlich irreführend; es sollte eher von Anfragen bzw. Requests gesprochen werden. Ich gehe nicht davon aus, dass wirklich 26,5 Millionen Page Views im klassischen Sinne stattgefunden haben. Zum anderen ist die Platzierung des Captchas aus meiner Sicht fragwürdig – zumindest, um hiermit Bot-"Angriffe" abzuwehren. Ich mag mich täuschen, gehe aber ohne weitere Insights zunächst davon aus, dass es sich um klassische DDoS-Attacken handelt (oder schlichte Überlast). Hierbei ist der Login für die angreifenden Bots meist uninteressant. Es geht darum, die Seite durch massenhafte Aufrufe lahmzulegen, die auf öffentlich erreichbare Adressen durchgeführt werden. Das Captcha hilft nur dabei, Zugriffe auf eingeloggte Inhalte ggf. frühzeitig zu blocken oder Brute-Force-Logins zu verhindern – davon ist in den Mitteilungen aber wenig zu lesen.

Remix & Request-Menge

Der Relaunch wurde u.a. mit dem modernen JavaScript-Framework Remix umgesetzt. Ein solches Framework nutzt man, wenn die Seite interaktiv erlebbarer werden soll ("Single Page App"-Feeling). Man erkennt das oft daran, dass man bspw. Filteransichten anpasst, dies aber nicht zum kompletten Neuladen der Seite führt, sondern Inhalte sich dynamisch ändern. Durchaus sinnvoll, hier modern zu arbeiten – man darf aber nicht vergessen, dass dadurch die Anzahl der Requests (Anfragen an den Server) extrem in die Höhe schießen kann. Eine Seite wird oft nicht mehr als ein einziges HTML-Dokument geladen. Stattdessen werden beim Navigieren ("Client-Side Routing") Daten oft als JSON-Pakete nachgeladen und im Browser zusammengesetzt. Die Anzahl der Requests dürfte also allein durch die neue Architektur auf ganz natürliche Art und Weise gestiegen sein. Wenn hier Konfigurationen falsch anliegen oder es beispielsweise zu Weiterleitungsketten bei der Abfrage von internen Ressourcen kommt, ist das Problem schnell hausgemacht. Das heißt nicht, dass ich den "Botangriff" nur als Beifang der eigenen Infrastruktur abstempeln möchte – aber die Architektur muss hier Thema sein. Denn:

API & Daten

Remix holt sich die Daten oft über sogenannte Loader. Das bedeutet: Es braucht für das Frontend zwingend eine Schnittstelle (API), um mit den Inhalten zu interagieren. Nun wissen wir alle aus der Vergangenheit, dass MyTischtennis nichts von der öffentlichen Bereitstellung solcher APIs hält. Communityprojekte wie MyTTPy, die eine Art API simulieren wollten, mussten die alte Webseite aufwändig "scrapen" (auslesen) und Werte transformieren. Das Speichern dieser Inhalte ist nach Auffassung von MyTischtennis nicht rechtens und wurde in der Vergangenheit bis runter in die kleinsten Communities abgemahnt. (Beispiel: https://www.tt-tsvgomaringen.de/news/view.php?sid=589)

Ein ziemliches "G'schmäckle" hat es daher, dass durch die gewählte Umsetzung von mytischtennis.de nun technisch bedingt eine API "out-of-the-box" geliefert wird, mit der sich aktuell so gut wie alle Daten in strukturierter Form abrufen lassen. Teils sogar detaillierter, als sie auf der Website sichtbar sind. So lassen sich Tabellen, Spielpläne, Bilanzen und Q-TTR ohne Authentifizierung abholen. Mit Authentifizierung auch TTR-Daten und mehr. Ein Vögelchen hat mir gezwitschert, dass es zu dieser API sogar eine (inoffizielle) Dokumentation gibt. Was dort fehlt, kann ergänzt werden – das nur als kleiner Hinweis für die Techies unter euch. Link: https://notmycupofteetee.github.io/mytt-api/

Captcha & Performance

Die aktuell verbaute Captcha-Lösung sorgt bei vielen für Unmut. Merkbar sind gerade bei älteren Geräten die langen Wartezeiten. Das liegt daran, dass die verwendete Lösung "PrivateCaptcha" auf eine sogenannte Proof-of-Work Validierung setzt.

Positiv hervorzuheben ist: Keine nervigen Puzzle-Bilder ("Auf welchem Bild ist ein Bus zu sehen?"). Negativ ist: Das Lösen des Captchas wird auf das jeweilige Endgerät ausgelagert. Dein PC oder Smartphone bekommt Rechenaufgaben gestellt, die es zu lösen hat. Durch die Komplexität der Aufgaben kommen gerade ältere Geräte schneller ins Schwitzen – dies resultiert in Wartezeit und hoher CPU-Last. Das Auslagern dieser Prüfung spart MyTischtennis schlussendlich Kapazitäten. Man muss hier aber fairerweise anerkennen, dass die IP-Adresse so nicht an große Datenkraken kommuniziert wird, wie es bei Lösungen wie ReCaptcha der Fall wäre.

Wie funktioniert der Login technisch?

Neben deinen Feldern (E-Mail und Passwort) muss zum erfolgreichen Login das Captcha gelöst werden. Das Ergebnis der Captcha-Berechnung wird inkl. E-Mail, Passwort und dem Hinweis darauf, dass das Captcha geklickt wurde (captcha_clicked=true) an den Login-Endpunkt übermittelt. Man bekommt im Anschluss einen Cookie (sb-10-auth-token) gesetzt. Ist dieser gesetzt und nicht abgelaufen, kannst du durch die Seite navigieren und wirst als eingeloggter User erkannt.

Aha. Und warum jetzt dieser Roman hier?

Gute Frage. Ich finde es höchstgradig bedenklich, wie sehr der (Amateur-)Sport hier in Abhängigkeit von Unternehmen steht – bedenkt man doch, dass wir es sind, die diese Daten überhaupt erst erzeugen. Ein Versuch, sämtliche Unternehmensgeflechte aufzuschlüsseln, ist – zumindest mir – nicht möglich. Wurde das Projekt "mytischtennis.de" eigentlich auf offiziellem Wege neu ausgeschrieben? Ich konnte dazu nichts finden.

Am Ende möchte ich, dass Public Data – so würde ich "unsere" Spielergebnisse begreifen – für alle bereitsteht. Wenn dadurch auf einer Website Werbeeinnahmen erzielt werden und das dem Sport zugutekommt, ist dagegen erst mal nichts zu sagen. Wenn die Seite gut umgesetzt ist, hilft sie dabei, den Sport nach draußen zu tragen. Die Menschen, die im Hintergrund ihre Freizeit investieren, sollten aber in der Lage sein, ihre eigenen Daten ebenfalls so zu verarbeiten, dass daraus spannende Projekte entstehen können, die uns dann wiederum weiterbringen. Der Vereinssport ist eine Open Community, daher sollte der technische Part ebenfalls als zugänglich begriffen werden. Auch gegen abfragelimitierte APIs, bei denen man sich bei Stark-Nutzung an den Kosten beteiligt, wäre wenig zu sagen.

Disclaimer: Ich bin einfaches Vereinsmitglied und habe keinen Einblick in Kosten- und Lizenzstrukturen der Softwarenutzung oder die Vertragsgegenstände der unterschiedlichen Parteien (bspw. MyTischtennis GmbH, nu Datenautomaten GmbH). Ob das nun an meiner mangelnden Recherche liegt, weiß ich nicht. Die Geschäftsberichte, die sich über Google und Co. finden lassen, konnten meine Fragen jedenfalls nicht beantworten. Auch hier habe ich das Gefühl, auf höchstgradig intransparente Strukturen zu blicken.

Sollte ich mich hier – sowie in allem oben Genannten – täuschen, freue ich mich auf Feedback und weiterführende Informationen.

Ein Blick nach vorn

Es wäre jetzt genau der richtige Zeitpunkt, aus der Not eine Tugend zu machen. Statt die Schotten dichtzumachen, sollte MyTischtennis.de die Chance nutzen, klare Verhältnisse bei den Datennutzungsrechten zu schaffen und eine sinnhafte, offiziell dokumentierte API anzubieten. Die technischen Voraussetzungen sind – unfreiwillig oder nicht – bereits da: Die nötigen Endpunkte scheinen vorhanden, liegen aktuell nur etwas kryptisch als Middleware für das Remix-Framework vor.

Das Potenzial ist riesig: Viele Menschen aus der Community könnten damit großartige Projekte realisieren. Gerade mit Hinblick auf die digitalen Zählgeräte steht hier ohnehin die nächste große "Daten-Baustelle" in den Startlöchern. Eine offene Schnittstelle wäre hier ein Segen für die Integration. Die Alternative? Man versucht, das bestehende System wieder komplett abzudichten – was mit Blick auf die aktuelle Architektur kaum ohne gehörigen Aufwand und erneute Instabilität möglich sein dürfte. Deshalb mein Appell: Öffnet euch.

Keep in mind: Sharing is caring.

So oder so – danke fürs Lesen, falls du bis hierhin durchgehalten hast. Euch eine schöne Zeit an der Platte! <3

[ulim]

Danke für diese fundierte Analyse. Ich wäre durchaus bereit mich in einer Community zu engagieren, die eine offene Lösung für alle Tischtennisspieler baut. Du wahrscheinlich auch und einige andere mehr. Es hilft uns nur nichts, wenn wir die Daten nicht bekommen.

[Matousek]

Wenn man IT`ler ist, kann man das Ganze vllt nachvollziehen. Aber wer ist schon ein IT`ler. Ich zumindest nicht. Daher ist es für mich wichtig, wie einfach ist das Ganze zu handhaben, wie unterstützt mich das in einer meiner ehrenamtlichen Tätigkeit, z.B. FW Esp Jugend auf Bezirksebene. Das Design interessiert mich nur am Rande.

[alba]

Zitat:

Zitat von Matousek

Wenn man IT`ler ist, kann man das Ganze vllt nachvollziehen. Aber wer ist schon ein IT`ler. Ich zumindest nicht. Daher ist es für mich wichtig, wie einfach ist das Ganze zu handhaben, wie unterstützt mich das in einer meiner ehrenamtlichen Tätigkeit, z.B. FW Esp Jugend auf Bezirksebene. Das Design interessiert mich nur am Rande.

Klar, man möchte auch Autofahren, ohne die Technik im Detail kennen zu müssen. Wenn mytischtennis allerdings darauf vertrauen kann, dass sie aufgrund Desinteresses oder fehlenden Knowhows den Usern ungestraft Märchen erzählen kann, bin ich doch sehr froh, dass es Leute gibt, die sich auskennen und ihr Wissen auch weitergeben.

[Matousek]

Zitat:

Zitat von alba

Klar, man möchte auch Autofahren, ohne die Technik im Detail kennen zu müssen. Wenn mytischtennis allerdings darauf vertrauen kann, dass sie aufgrund Desinteresses oder fehlenden Knowhows den Usern ungestraft Märchen erzählen kann, bin ich doch sehr froh, dass es Leute gibt, die sich auskennen und ihr Wissen auch weitergeben.

Nichts gegen die, die sich auskennen. Nur mit dem Fachchinesisch habe ich halt meine Probleme. Aber wenn die, die sich auskennen, dadurch etwas bewirken soll es mir recht sein. Kann halt leider da nicht mithalten, geb`s zu, das wurmt mich etwas.

[Topspin Brudi]

Zitat:

Zitat von ulim

Danke für diese fundierte Analyse. Ich wäre durchaus bereit mich in einer Community zu engagieren, die eine offene Lösung für alle Tischtennisspieler baut. Du wahrscheinlich auch und einige andere mehr. Es hilft uns nur nichts, wenn wir die Daten nicht bekommen.

Absolut. Theoretisch sind die Daten bereits zugänglich – wenn auch nicht gänzlich schön strukturiert. Die eigentliche Hürde liegt derzeit jedoch in der Verwertung.

[hacko]

Zitat:

Zitat von Matousek

Das Design interessiert mich nur am Rande.

Hier geht es auch eher gar nicht um das Design, was aber zugegebenermaßen echt schlecht ist!

[tomahawk]

Das ist eine echt spannende Analyse, danke dafuer! Aber wie koennte man denn darauf hinwirken, dass myTT sein Datenmonopol verliert und der Zugang zu den click-TT Daten geoeffnet wird?

[ulim]

Zitat:

Zitat von Topspin Brudi

Absolut. Theoretisch sind die Daten bereits zugänglich – wenn auch nicht gänzlich schön strukturiert. Die eigentliche Hürde liegt derzeit jedoch in der Verwertung.

Wenn Du mit Verwertung die juristische Komponente meinst, dann ja natürlich. Man kann nicht prinzipiell von irgendeiner Webpage die Daten abziehen und dann selber vermarkten. Und das ist unabhängig davon, ob man kommerzielle oder altruistische Motive hat.

Ausnahme: es wären Public Domain Daten bzw. Open Data, aber dann dürften keine personenbezogenen Daten enthalten sein. Da zieht immer die DSGVO und ich müsste somit eine Zustimmung aller Benutzer einholen.

Interessant in dem Zusammenhang wäre aber: was passiert wenn ich der Nutzung meiner personenbezogenen Daten durch MyTischtennis widerspreche? Das dürfte das ganze System zum Kippen bringen.

Beim Golfsport steht die Datennutzung auf dem Argument, dass die Handicaps (vergleichbar TTR-Wert) öffentlich sein müssen, damit im Interesse eines fairen Wettbewerbs jeder seine "Peers" kontrollieren kann, ob die nicht schummeln. Es wäre also schlechterdings kein Golfwettspiel möglich ohne öffentliche Handicap-Daten aller Wettbewerber.

Ich bin kein Jurist und will auch keiner werden

[Trillian]

Es gab im Bezirk Ulm einen Spieler, bei dem das der Fall war. Der wurde in Click-tt als N.N. deklariert. Ich habe versucht, ihn im Archiv zu finden, wurde bislang aber nicht fündig. Entweder ich habe im falschen Zeitraum gesucht oder er wird mittlerweile unter seinem richtigen Namen angezeigt. Da wir nie gegen ihn gespielt haben, weiß ich seinen Namen nicht.