|
- Für Implementierungen, bei denen der Zugriff auf das Administrationsprogramm auf bestimmte Bereiche des Webs, typisch auf das Intranet einer Organisation, eingeschränkt werden soll, unterstützt die Publikationsdatenbank drei unterschiedliche Mechanismen zur Unterscheidung zwischen Bereichen, aus denen ein Zugriff auf das Administrationsprogramm zulässig ist, und solchen, für die das nicht der Fall ist:
- Standard- und Secure HTTP (HTTPS): In diesem Fall wird man sinnvoller Weise Zugriffe auf das Administrationsprogramm nur unter Secure HTTP zulassen. Das Default-Verhalten der Publikationsdatenbank ist, bei Vorhandensein von Secure HTTP in der Implementierung beim Login jedenfalls auf Secure HTTP umzuschalten. Ein Ausblenden des Administrationsprogramms außerhalb des eigenen Intranets kann dadurch erfolgen, dass über Firewall- oder Proxy-Einstellungen der Zugriff auf Document Root des Secure HTTP-Servers nur aus dem Intranet erfolgen kann, und unter Standard-HTTP die Links auf die Login-Seiten ausgeblendet sind. Zugriffe auf das Administrationsprogramm unter Standard-HTTP lösen eine Sicherheitsverletzungs-Fehlermeldung aus. Da zwei getrennte Verzeichnisbäume für Standard- und Secure HTTP verwendet werden, können bestimmte Verzeichnisse in einem der beiden Verzeichnisbäume weggelassen werden (z.B. das Verzeichnis für "verborgene" Dateien).
- Einschränkung auf bestimmte IP-Bereiche: Ein Zugriff auf das Administrationsprogramm ist nur aus einem bestimmten IP-Bereich heraus möglich. Für Zugriffe aus anderen IP-Bereichen sind die Links auf die Login-Seiten ausgeblendet. Zugriffe auf das Administrationsprogramm aus einem nicht zugelassenen IP-Bereich lösen eine Sicherheitsverletzungs-Fehlermeldung aus. Hier existiert nur ein Verzeichnisbaum; es ist daher nicht möglich, einzelne Verzeichnisse auszublenden.
- Verwendung zweier unterschiedlicher virtueller Webserver mit unterschiedlichen Document Root-Verzeichnissen: Für die Verwendung im Intranet und für externe Zugriffe können zwei unterschiedliche virtuelle Webserver vorgesehen werden, die zwar aus Implementierungs-Gründen den gleichen IP-Namen aufweisen müssen, aber am Publikationsdatenbank-Server auf unterschiedliche Sockets (typisch auf unterschiedliche Ports, gegebenenfalls aber auch auf unterschiedliche IP-Adressen) abgebildet werden. Über geeignete Firewall- oder Proxy-Einstellungen kann für das Intranet und die "Außenwelt" der Zugriff auf jeweils nur einen der beiden virtuellen Webserver freigegeben werden. Im Document Tree des für die "Außenwelt" zugänglichen Webservers kann über einen Konfigurationsparameter der Zugriff auf das Administrationsprogramm gesperrt werden: Die Links auf das Administrationsprogramms werden ausgeblendet, und alle Zugriffe auf das Administrationsprogramm lösen eine Sicherheitsverletzungs-Fehlermeldung aus. Da zwei getrennte Verzeichnisbäume verwendet werden, können bestimmte Verzeichnisse in einem der beiden Verzeichnisbäume weggelassen werden (z.B. das Verzeichnis für "verborgene" Dateien).
In jedem der drei genannten Fälle kann es aber wünschenswert sein, für ausgewählte und hinreichend zuverlässige User eine "Hintertür" zum Administrationsprogramm auch aus einem Bereich des Internets, von dem aus das Administrationsprogramm normalerweise nicht zugänglich ist, vorzusehen. Eine derartige "Hintertür" wurde nun folgendermaßen implementiert:
- Die Login-Seite, die aus der Startseite der Gesamt- oder einer virtuellen Einzel-Datenbank im Falle einer Einschränkung nicht über einen Link erreichbar (aber nach wie vor physikalisch vorhanden) ist, wird direkt und unter Angabe eines zusätzlichen Aufrufsparameters aufgerufen. Der Wert dieses zusätzlichen Aufrufparameters kann (in Grenzen) beliebig komplex gewählt werden, so dass er von einem Außenstehenden nicht ohne Weiteres erraten werden kann. User, die dieses Feature verwenden können sollen, können den Aufruf in ihren Favoriten oder Lesezeichen speichern. Dies stellt kein besonderes Sicherheitsrisiko dar, weil das Lesezeichen zwar den Zugriff auf die Login-Seite erlaubt, aber nach wie vor ein reguläres Login mit Benutzername und Passwort erforderlich ist, um im Administrationsprogramm arbeiten zu können.
- Bei einem Zugriff auf eine mit einem der oben beschriebenen Mechanismen ausgeblendete Login-Seite wird wie folgt verfahren:
- Erfolgt der Aufruf ohne die Angabe des zusätzlichen Aufrufparameters, wird im Fall der Verwendung von Standard- und Secure HTTP die Login-Seite unter Secure HTTP neu geladen. Wenn die Secure HTTP-Seiten für den User nicht zugänglich sind, "hängt" der Browser in einem Timeout, dessen Dauer von der Konfiguration des Firewalls oder Proxys abhängt. Im Fall der beiden anderen Mechanismen wird - je nach Aufruf - die Startseite der Gesamt- oder einer virtuellen Einzel-Datenbank angezeigt.
- Wurde der zusätzliche Aufrufparameter mit seinem korrekten Wert angegeben, läuft das Login genau so ab, wie bei einem Aufruf der Login-Seite aus einem "berechtigten" Netzwerk.
- Wurde der zusätzliche Aufrufparameter angegeben, aber sein Wert entspricht nicht dem erwarteten, liegt möglicherweise ein Hack-Versuch vor. In diesem Fall reagiert das Administrationsprogramm mit der Meldung einer Sicherheitsverletzung und einer Mail an den Administrator.
- Bei einem erfolgreichen Login im Administrationsprogramm wird im Browser des Users ein Cookie mit einem nur für die aktuelle Publikationsdatenbank-Session gültigen Wert gespeichert. Sowohl bei einem Logout aus der Datenbank als auch beim Schließen des Browsers wird dieses Cookie ungültig bzw. verschwindet ganz. Nur dann, wenn das Cookie mit dem erwarteten Wert präsentiert wird, können Seiten des Administrationsprogramms aufgerufen und ausgeführt werden; anderenfalls wird eine Sicherheitsverletzung gemeldet.
- Sowohl die Session-ID der Publikationsdatenbank als auch die Cookies verwenden jeweils 128-Bit-Codes. Nachdem beide für einen Zugriff auf das Administrationsprogramm von "Außen" korrekt gesetzt sein müssen, also 256 Bits den erwarteten Wert aufweisen müssen, liegt die Wahrscheinlichkeit, dass ein Schlüsselwert erraten oder "gecrackt" werden kann, bei etwa 10-77 (2-256), im Gegensatz zur "normalen" Sicherheit von etwa 3*10-38 (2-128).
Es sollte allerdings darauf hingewiesen werden, dass dieses Feature nur besonders vertrauenswürdigen Usern vorbehalten bleiben sollte: Eine unkontrollierte Weitergabe des Aufrufparameters für die Login-Seite (typisch ein 128- oder 256-Bit-Schlüssel), die Verwendung "schwacher" Passworte und ein Arbeiten über dubiose Netzwerke (z.B. über einen öffentlichen WLAN-Zugang), wo eine Standard-HTTP-Kommunikation "abgehört" werden könnte, sind einige, von mündigen Usern aber leicht vermeidbare, Schwachstellen. Allerdings ist dem Autor der Publikationsdatenbank unter den zahlreichen (und erfolglosen) Crack-Versuchen, mit denen die Publikationsdatenbank der TU Wien bisher konfrontiert war, kein einziger untergekommen, bei dem jemand systematisch versucht hätte, über ein "getürktes" Login ins Administrationsprogramm "einzubrechen".
- Beim Start des Administrationsprogramms werden wie bisher aus der vorherigen Session stammende Einschränkungen der Publikationsauswahl zurückgesetzt. Für die Zurücksetzung der Auswahl der Organisationseinheit gelten jetzt aber die folgenden Regeln:
- Die in der letzten Session zuletzt gewählte Fakultät bleibt nach dem nächsten Login gewählt (betrifft nur User mit Login-Rechten in mehr als einer Fakultät bei globalem Login).
- Ist die gewählte Fakultät die eigene, also die Fakultät des aktuellen Users, werden "Institut", "Gruppe" und "Person" auf die Daten des aktuellen Users gesetzt und auf jenen Bereich eingeschränkt, der dem Berechtigungs-Niveau des Users entspricht (also z.B. auf "Institut" bei Usern mit Editierrechten für Einträge des eigenen Instituts). Dies ist das Szenario, das auf praktisch alle nicht-administrativen Benutzerinnen und Benutzer zutrifft.
- In allen anderen Fällen (die wohl nur Administratorinnen und Administratoren betreffen), wird die Auswahl von Publikationen auf "Alle für die nachstehend gewählte Fakultät eingetragenen Publikationen" bzw. "Publikationen der gesamten Datenbank" eingestellt.
Die Einstellungen vom Ende der vergangenen Session können wie bisher mit "Letzte Einstellungen" zurückgeholt werden.
- Die Umstände wurden überarbeitet, unter denen eine Warnung im Hauptmenü des Administrationsprogramms ausgegeben wird, dass eine Einschränkung der Publikationsauswahl vorliege: Da für reguläre Benutzerinnen und Benutzer, also solche ohne Administrator-Rechte, beim Start des Administrationsprogramms seit Version 3.00 die Auswahl auf den Bereich ihrer Berechtigungen eingeschränkt ist (also z.B. bei Usern mit Editierrechten für Einträge des eigenen Instituts auf "Institut"), erfolgte beim ersten Aufruf einer Publikations-bezogenen Funktion des Administrationsprogramm unter V.3.00 immer eine Warnung. Solche Warnungen werden jetzt nur mehr dann generiert, wenn eine engere Einschränkung gewählt wurde, als dem Umfang der Editierrechte des Users entspricht, also z.B. auf "Gruppe" für User mit Editierrechten für Einträge des eigenen Instituts. Wie bisher werden Warnungen beim Aufruf einer Publikations-bezogenen Seite dann nicht ausgegeben, wenn der letzte Aufruf einer Funktion des Administrationsprogramms weniger als 10 Minuten zurück liegt oder unmittelbar vor dem Aufruf eine neue Einschränkung gesetzt wurde.
- Publikationen, die als "Herausgabe einer Buchreihe" eingetragen waren, werden jetzt nicht nur in der Publikationsliste der Buchreihen-Herausgeberin / des Buchreihen-Herausgebers angezeigt, sondern auch in den Publikationslisten aller Autorinnen und Autoren. In Evaluierungen werden diese Publikationen gegebenenfalls auch für ihre Autorinnen und Autoren als Buch-Publikationen (in gleicher Form wie "Monographie - Erstauflage") gezählt.
- Die Publikationstype "Diplomarbeit" wurde in "Diplom- oder Master-Arbeit" ("Diploma or Master Thesis") umbenannt.
- Der Algorithmus für die automatische Überprüfung, ob eine Zeitschrift in der offiziellen Liste der SCI-, SSCI- und A&HCI-Zeitschriften aufscheint, wurde überarbeitet: Es hatte sich gezeigt, dass nicht nur, wie erwartet, (z.B. neu erschienene) Zeitschriften, die zuvor noch nicht im SCI (oder einem der beiden anderen Indexe) waren, in den SCI aufgenommen werden, sondern auch der umgekehrte Fall eintreten kann, dass also eine zuvor im SCI, SSCI oder A&HCI gelistete Zeitschrift aus ihrem Index wieder "herausfällt". Publikationen, die zu dem Zeitpunkt gemacht wurden, als die Zeitschrift noch in einem der Indexe geführt war, würden bei einer automatischen Rückstufung des Medieneintrags auf "Nicht-SCI- (SSCI-, A&HCI-) Zeitschrift" ungerechtfertigter Weise an Wert verlieren; im umgekehrten Fall würden Nicht-SCI- (SSCI-, A&HCI-) Publikationen plötzlich zu SCI- (SSCI-, A&HCI-) Publikationen. Um diese Entwicklungen korrekt abbilden zu können, wurde folgendermaßen verfahren:
- Die Regeln für die Prüfung auf "Doppelgänger"-Einträge für Publikationsmedien wurden so geändert, dass als "ausgeblendet" markierte Medieneinträge nicht mehr in diese Prüfung einbezogen werden. Es ist also zulässig, innerhalb einer Fakultät bzw. als "globale" und einer Fakultät zugeordnete Medien beliebig viele "ausgeblendete" Medien-Datensätze zu haben, deren Medienbezeichnung und gegebenenfalls ISSN identisch zu den Daten eines aktiven Medien-Datensatzes sind. Die Inhalte "ausgeblendeter" Medien-Datensätze sind nach wie vor gültig; es können ihnen beliebig viele Publikationen zugeordnet sein, aber keine neuen Publikations-Zuordnungen mehr erstellt werden.
- Wenn bei einer erneuten Überprüfung des Datensatzes eines (Zeitschriften-) Publikationsmediums, das bereits eindeutig als SCI- (SSCI-, A&HCI-) Medium oder als Nicht-SCI- (SSCI-, A&HCI-) Medium identifiziert war, eine Änderung des SCI- (SSCI-, A&HCI-) Status festgestellt wird, wird dieser Datensatz "geklont", also ein identischer Medien-Datensatz erstellt, der auf den neuen SCI- (SSCI-, A&HCI-) Status gesetzt wird, während der alte Datensatz als "ausgeblendet" markiert wird. (Die Medientype des neu erstellten Datensatzes wird auf die Default-Type für SCI- (SSCI-, A&HCI-) bzw. Nicht-SCI- (SSCI-, A&HCI-) Medien gesetzt.) Damit haben alle dem alten Datensatz zugeordneten Publikationen nach wie vor den gleichen SCI- (SSCI-, A&HCI-) Status wie bisher; neu eingetragene Publikationen müssen hingegen den neuen Medien-Datensatz verwenden, erhalten daher den aktuellen SCI- (SSCI-, A&HCI-) Status.
- Diese Überprüfung erfolgt automatisch mit der autoritativen Zeitschriftenliste von Thomson Scientific beim Abspeichern eines neu bearbeiteten Medien-Eintrags durch einen beliebigen User oder für die Gesamtheit der Zeitschriften-Medieneinträge mit einem Publikationsdatenbank-Plugin durch einen Administrator.
- Die Status-Werte, die im Zuge dieser Überprüfung einem Zeitschriften-Publikationsmediums-Datensatz zugeordnet werden können, wurden für die Implementierung der obigen Strategie erweitert. Es sind jetzt die folgenden Zustände möglich (in Klammern ist das auf der Seite "Publikationsmedien editieren - Auswahl eines Publikationsmediums" für Administratoren angezeigte Kürzel dargestellt):
- "Eintrag noch nicht überprüft, oder Überprüfung nicht eindeutig möglich": Dieser Status wird allen Publikationsmedien-Datensätzen erteilt, die entweder keine Zeitschriften repräsentieren, oder für Zeitschriften keine ISSN eingetragen haben bzw. über die Bezeichnung des Mediums nicht eindeutig als einer der in den offiziellen Zeitschriftenlisten enthaltenen Einträge identifizierbar sind. In der Auswahlliste auf der Seite "Publikationsmedien editieren - Auswahl eines Publikationsmediums" wird für solche Medien kein Kürzel angezeigt.
- "Eintrag ist kein SCI- (SSCI-, A&HCI-) Medium (NoSCI)": Dieser Medien-Datensatz enthält eine ISSN, die keinem der Einträge in den offiziellen Zeitschriftenlisten entspricht. Die Zeitschrift ist daher definitiv nicht im SCI, SSCI oder A&HCI gelistet.
- "Eintrag ist ein SCI- (SSCI-, A&HCI-) Medium (SCI)": Dieser Medien-Datensatz wurde entweder aufgrund seiner ISSN oder einer eineindeutigen Übereinstimmung der Medienbezeichnung mit der Bezeichnung einer Zeitschrift in einer der offiziellen Zeitschriftenlisten als SCI-, SSCI- oder A&HCI-Medium identifiziert. (Im letzteren Fall wird im Medieneintrag die ISSN aus der offiziellen Zeitschriftenliste nachgetragen.) Im Fall einer Übereinstimmung der ISSN wird sichergestellt, dass die Bezeichnung des Medieneintrags nach den bei der Suche nach Publikationsmedien angewandten Regeln mit der Bezeichnung des zugehörigen Zeitschriftenlisten-Eintrags übereinstimmt. So wird ein Medieneintrag "Appl.Surf.Sci.", in dem keine ISSN angegeben wurde, zwar nicht als übereinstimmend mit dem "offiziellen" Medium "Applied Surface Science" gefunden; bei Angabe der korrekten ISSN (0169-4332) im Medien-Datensatz werden aber sowohl "Applied Surface Science" als auch "Appl.Surf.Sci." (und alle Varianten der Abkürzung) als eindeutig identifiziert behandelt.
- "Als SCI-Medium eingestufter Eintrag auf Nicht-SCI- (SSCI-, A&HCI-) Status herabgestuft (Set2NoSCI)": Diesen Status erhalten alle Medieneinträge, die bisher noch nicht oder mit nicht eindeutigem Ergebnis überprüft und nun aufgrund ihrer ISSN als eindeutig nicht in einer der offiziellen Zeitschriftenlisten enthalten identifiziert wurden, die aber eine SCI-, SSCI- oder A&HCI-Medientype eingetragen hatten. Ihre Medientype wurde im Zuge des Abgleichs mit den Zeitschriftenlisten auf die Default-Nicht-SCI- (SSCI-, A&HCI-) Medientype heruntergestuft. (In Version 3.00 war dieser Status noch als "NoSCI" bezeichnet worden; der V.3.01-Status "NoSCI" wurde in Version 3.00 noch nicht unterstützt. Die V.3.00-"NoSCI"-Einträge wurden im Zuge der Implementierung von V.3.01 auf "Set2NoSCI" umgesetzt.)
- Zeitschriften-Publikationsmedien-Datensätze werden nur dann automatisch "geklont", wenn einer der folgenden Übergänge erfolgt:
- NoSCI -> SCI
- Set2NoSCI -> SCI
- SCI -> NoSCI
- Die Implementierung dieses Look up-Algorithmus innerhalb der Editierfunktion für Publikationsmedien wurde gegenüber Version 3.00, wo der automatische Abgleich mit den Listen der SCI-, SSCI- und A&HCI-Zeitschriften eingeführt worden war, wesentlich erweitert, um die Treffsicherheit des Abgleichs zu verbessern. In Fällen, in denen eine Interaktion oder zumindest eine Information des menschlichen Users erwünscht ist, erfolgt jetzt beim Abspeichern des Datensatzes eine Rückmeldung an die Benutzerin / den Benutzer. Insbesondere trifft dies auf die in der Praxis relativ häufig auftretende Situation zu, dass die Bezeichnung eines mit ISSN versehenen Publikationsmediums im Medien-Datensatz erheblich von der des Eintrags mit der gleichen ISSN in einer der offiziellen Zeitschriftenlisten abweicht. Während bisher in diesem Fall aus Sicherheitsgründen das Ergebnis der Suche in den Zeitschriftenlisten als nicht schlüssig interpretiert und daher am Medieneintrag nichts verändert wurde, werden nun dem User die beiden Medien-Bezeichnungen angeboten. Wenn - was in den meisten Fällen zutreffen dürfte - die Medienbezeichnung in der offiziellen Liste wirklich dem Medium im Datensatz der Publikationsdatenbank entspricht, kann der User die offizielle Medienbezeichnung in den Datensatz übernehmen. Das erfordert gegebenenfalls eine geringfügige Nachbearbeitung der Medienbezeichnung, weil die Bezeichnungen in den offiziellen Listen ausschließlich in Großbuchstaben sind und Umlaute dort durch Vokal-Kombinationen (z.B. "AE" statt "Ä") repräsentiert werden. Zwar werden beim Import der offiziellen Bezeichnung in die Publikationsdatenbank Bezeichnungen, die aus mehr als einem Wort bestehen, automatisch auf Kleinschreibung mit großen Anfangsbuchstaben umgesetzt; allerdings werden dann auch Artikel, Bindeworte u.dgl. mit großem Anfangsbuchstaben wiedergegeben, was eher störend ist. (Bezeichnungen, die aus nur einem Wort bestehen, werden nicht umgesetzt, weil es sich dabei auch um Akronyme handeln könnte.) In jenen Fällen, in denen der alte Medien-Datensatz geklont und als "verborgen" markiert wurde, erfolgt eine informative Mitteilung an den User. In allen diesen Fallen wird der - gegebenenfalls adjustierte - Medien-Datensatz nochmals angezeigt, um der Benutzerin / dem Benutzer die Möglichkeit allfälliger Änderungen zu bieten.
- Wenn das "ISSN"-Feld eines Medien-Eintrags eine gültige ISSN enthält und der Medien-Eintrag entweder eindeutig als SCI-, SSCI- und A&HCI-Zeitschrift oder als Nicht-SCI-, SSCI- und A&HCI-Zeitschrift identifiziert wurde, wird dieses Feld für eine Bearbeitung durch Nicht-Administratoren gesperrt. Die Medienbezeichnung kann hingegen bis zu einer Validierung des Eintrags durch einen Administrator durch den Eigentümer des Medien-Datensatzes oder Personen, innerhalb derer Editierrechte der Eigentümer des Datensatzes liegt, bearbeitet werden. Allerdings wird der Datensatz bei jeder Abspeicherung mit den offiziellen Listen der SCI-, SSCI- und A&HCI-Zeitschriften verglichen; bei signifikanten Abweichungen der im Datensatz enthaltenen Bezeichnung von der offiziellen erfolgt eine Warnung mit der Option, die offizielle Bezeichnung wieder in den Eintrag zu übernehmen.
- Um das Feature des "Klonens" von Medien-Datensätzen auch für andere Medienklassen nutzbar zu machen, wurde in der Editierfunktion für Publikationsmedien eine Schaltfläche "Datensatz klonen" mit analoger Funktionalität vorgesehen, die allerdings zur Vermeidung von Fehlbedienungen und einer Verwirrung der User nur für Spezial-Administratoren angezeigt wird. Damit können auch die Medientypen-Zuordnungen von Verlagen und Veranstaltungen so geändert werden, dass sich für alte Einträge nichts ändert. Dieses Feature kann auch dann sinnvoll sein, wenn sich die Bezeichnung eines Publikationsmediums geändert hat und für alte Publikations-Datensätze die alte, für neue Publikationseinträge hingegen die neue Bezeichnung verwendet werden soll.
- Die ordnungsgemäße Funktion der automatischen SCI- (SSCI-, A&HCI-) Detektion setzt das möglichst "flächendeckende" Vorhandensein von ISSN-Einträgen zumindest für jene Zeitschriften-Medien voraus, die potenziell in einen der Indexe aufgenommen werden könnten, also zumindest für Zeitschriften mit Begutachtungs-System. Es wurden daher beginnend mit Version 3.01 die folgenden Maßnahmen implementiert:
- Für Neu-Einträge, also für alle Medieneinträge, die nach der Implementierung von Version 3.01 erstellt werden, von Zeitschriften, deren Medientype auf eine der Medientypen "mit Begutachtung" gesetzt wurde, wird die Angabe einer ISSN verpflichtend. (Dies ist als Analogie zur verpflichtenden Angabe einer ISBN bei eigenen Buch-Publikationen zu sehen.)
- Neu-Einträge, die über keine ISSN verfügen, werden auf die höchstwertige Medientype ohne Begutachtung gesetzt.
- Sollte der (nicht sehr wahrscheinliche) Fall eintreten, dass eine Zeitschrift mit nachweislichem Begutachtungsverfahren tatsächlich über keine ISSN verfügt, kann die Medientype der Zeitschrift durch einen Administrator manuell auf eine passende Medientype, z.B. auf "Zeitschrift mit Begutachtung", gesetzt werden.
- Die User werden gegebenenfalls durch Meldungen beim Abspeichern eines Medien-Datensatzes auf diesen Umstand hingewiesen.
- Die mit Version 3.00 eingeführten und mit Version 3.01 erweiterten Features zum automatischen Abgleich der Zeitschriften-Publikationsmedien mit den "offiziellen" Listen der SCI-, SSCI- und A&HCI-Zeitschriften setzen voraus, dass in der Publikationsdatenbank der aktuelle Stand dieser Listen verlässlich verfügbar sein muss. Die seit Version 3.00 implementierte Möglichkeit des automatischen Imports der Zeitschriftenlisten garantiert zwar deren Aktualität; da dieser Import aber typisch in den Nachtstunden, in der Regel an Wochenenden, erfolgt, könnten bei Auftreten irgendeines Fehlers im Import-Vorgang unvollständige oder grob falsche Daten in der Datenbank gespeichert werden, ohne dass dies zunächst auffällt. Fehlerquellen sind einerseits Unterbrechungen bei der Web-Abfrage, die unvollständige Zeitschriftenlisten bewirken könnten, und andererseits Änderungen in der Struktur der Daten (die von einer Seite stammen, die Daten für den Ausdruck von Zeitschriftenlisten bereit stellt). (Wenige Tage vor der Freigabe der Version 3.01 der Publikationsdatenbank hatte es tatsächlich eine solche Änderung gegeben, die aber keine Auswirkungen auf die praktisch verwendeten Felder der Zeitschriftenliste - Bezeichnung der Zeitschrift und ihre ISSN - hatte, aber zum Anlass für ein verbessertes Konzept beim Datenimport genommen wurde.) Ab Version 3.01 wird nun wie folgt vorgegangen:
- Die Inhalte der "offiziellen" Zeitschriftenlisten werden zunächst in eine Hilfs-Tabelle der Publikationsdatenbank übernommen, und erst dann in die aktive Datenbank-Tabelle übernommen, wenn sie als vollständig und korrekt erkannt wurden.
- Während der Übernahme der Listen der SCI-, SSCI- und A&HCI-Zeitschriften aus der temporären in die aktive Tabelle (die nur Sekundenbruchteile in Anspruch nimmt), werden alle Zugriffe auf die aktive Datenbank-Tabelle geblockt. Es ist also nicht möglich, dass eine beispielsweise im SCI geführte Zeitschrift in der Publikationsdatenbank plötzlich auf "Nicht-SCI" zurückgestuft wird, weil ihr zugehöriger Datensatz gerade nicht mehr und noch nicht in der SCI-Tabelle aufscheint.
- Zur Erkennung von signifikanten Struktur-Änderungen werden heuristische Maßnahmen angewendet: Die vom Webserver von Thomson Scientific importierten Daten werden als fehlerhaft erkannt, wenn
- das ISSN-Feld keine Daten mit der Struktur einer ISSN enthält, oder
- die Bezeichnung einer Zeitschrift, von der anzunehmen ist, dass sie mit Sicherheit in einem der Indexe gelistet ist und bleibt, in der Hilfs-Tabelle nicht im Daten-Feld für die Zeitschriftenbezeichnung gefunden werden kann (dafür verwendet wird derzeit "Physical Review Letters").
- Im Falle eines Fehlers bleiben die aktuellen Listen der SCI-, SSCI- und A&HCI-Zeitschriften jedenfalls unverändert erhalten.
- Im praktischen Betrieb der Version 3.00 der Publikationsdatenbank an der TU Wien zeigte sich, dass weitaus mehr Links als erwartet von diversen Websites, vor allem von Instituten, aus auf in Version 3.00 nicht mehr oder nicht mehr an der alten Stelle existierende Dateien verweisen. Grundsätzlich wurden zwar Kompatibilitäts-Features für alle offiziellen und als solche dokumentierten Einstiegsseiten vorgesehen; etliche statische Links verweisen aber auf Seiten, die nicht als Einstiegsseiten vorgesehen und daher auch nicht in den Kompatibilitäts-Features berücksichtigt wurden. Die daraus resultierenden Probleme wurden teils in einer Reihe von Bug-Fixes von Version 3.00 und in der vorliegenden Version 3.01 dadurch behoben, dass die betroffenen Dateien (zusätzlich; in der Regel über Symlinks) an den erwarteten Stellen angeboten werden; wo dies nicht sinnvoll möglich war, wurden die Betreuer von betroffenen Instituts-Websites gebeten, ihre Links zu aktualisieren. (Im Zuge der diesbezüglichen Recherchen zeigte sich, dass etliche der Problem-Links auf Instituts-Seiten auf Seiten der Publikationsdatenbank verweisen, die es bereits seit dem Frühjahr 2005 (!) nicht mehr gibt.) Ein spezielles, eigentlich nicht lösbares Problem stellen Referenzen aus statischen Links oder Suchmaschinen auf hochgeladene Dateien dar, die vor der Einführung von Version 3.00 erstmals und später unter Version 3.x erneut hochgeladen wurden: Der Name einer auf den Publikationsdatenbank-Server hochgeladenen Datei resultiert aus der ID des zugehörigen Publikations-Datensatzes. Die Datensatz-IDs mussten aber bei der Einführung von Version 3.00 geändert werden. Damit ändert sich zwangsläufig der Name einer unter Version 3.x nochmals hochgeladenen Datei. So lange die Referenzen auf die hochgeladene Datei aus dynamisch von der Publikationsdatenbank generierten Seiten stammen, sind sowohl "alte" als auch "neue" Namen kein Problem; statische externe Referenzen auf die hochgeladene Datei werden aber zwangsläufig beim Neu-Hochladen unter Version 3.x ungültig.
- Das Verhalten der strikten Textsuch-Funktionen wurde in der gesamten Datenbank überarbeitet, gleichartig gestaltet und (wieder) der Dokumentation angepasst. (Die Möglichkeit, nach den Zeichen "%" und "_" mit den Suchstrings "\%" bzw. "\_" suchen zu können, war im Zuge der Einführung von Version 2.0 verloren gegangen; sie wurde jetzt wieder hergestellt.) Das Verhalten der folgenden Such-Funktionen wurde konsistent gestaltet; insbesondere wurde die Wirksamkeit der Maßnahmen gegen SQL-Injection erneut verifiziert:
- Globale Suche ("Suche in der Publikationsdatenbank")
- Publikationen der Fakultät
- Auswahl von Publikationen im Hauptmenü des Administrationsprogramms
- Bei allen Funktionen der Option "Publikationseinträge bearbeiten" in den nur für Administrator/innen zugänglichen Seiten des Administrationsprogramms
- Einige weitere Unsauberkeiten in Programmcode und Hilfe-Dateien wurden behoben. Beispielsweise wurde ein Fehler in einer (extrem komplexen) Datenbank-Abfrage behoben, mit der die Berechtigung eines Users zum Bearbeiten eines Namens-Datensatzes überprüft wird. Hier wie in einigen anderen Fällen sei den durch die Fehler betroffenen Benutzerinnen und Benutzern für ihre Kooperationsbereitschaft gedankt, die die Lokalisierung und damit die Behebung des jeweiligen Problems wesentlich erleichterte. Weiters wurde eine potenzielle Sicherheitslücke geschlossen, die unter bestimmten Voraussetzungen ein Ausspähen von Inhalten des Servers ermöglichen hätte können. (Es gibt aber keinerlei Hinweise, dass diese Sicherheitslücke tatsächlich ausgenützt worden wäre.)
|