2023 - c't <webdev>

Smartere SPAs bauen mit offlinefähigen KI-Funktionen

Künstliche Intelligenz (KI) hat sich zu einem bedeutenden Trend in der IT entwickelt. Zeit, KI-Funktionen auch in unsere Single-Page Apps (SPAs) einzubauen: Christian Liebel von Thinktecture zeigt Ihnen, wie Sie Large-Language- und Stable-Diffussion-Modelle offlinefähig in Ihre Anwendungen integrieren können. Ermöglicht wird dies durch WebGPU, eine hochmoderne Webtechnologie, die nicht nur ein noch besseres Rendering von 3‑D-Anwendungen im Web erlaubt, sondern auch die Ausführung von Machine-Learning-Modellen direkt im Browser. Das funktioniert auch dann, wenn der Anwender keine Internetverbindung hat, was für eine höhere Anwendungsperformance und geringere Kosten sorgen kann. Wie bei jeder neuen Technologie gibt es auch hier Herausforderungen, wie ein hoher Bandbreitenverbrauch, begrenzte Browserunterstützung und geringere Genauigkeit. Neben den Vor- und Nachteilen werden auch Alternativen vorgestellt, sodass Sie nach diesem Vortrag entscheiden können, ob und wie Sie KI-Funktionen in Ihre SPA einbauen wollen.

Migrating from JavaScript to TypeScript

If your company’s JavaScript projects frequently encounter the notorious ‘undefined is not a function’ errors, then transitioning to TypeScript seems like a natural progression, right? Such a step would enhance your JavaScript experience and improve your code quality. But how do you actually get it done? Katja will give you examples from her projects.

Fullstack React-Anwendungen mit Next.JS

Pünktlich zum zehnjährigen Jubiläum von React Mitte des Jahres veröffentlichte das React-Team eine überarbeitete Dokumentation. Für Aufsehen und Kontroverse sorgte darin die Empfehlung, künftig für React-Anwendungen ein “Fullstack-Framework” wie Next.JS oder Remix einzusetzen. Denn nur damit könne man neueste React-Features wie Server Components in der eigenen Anwendung nutzen. Sind damit die Tage der klassischen Single-Page-Anwendung gezählt?

In dieser Session möchte ich Euch exemplarisch Next.js vorstellen und daran zeigen, was Server Components sind, was Fullstack-Entwicklung damit bedeutet und wie sich deren Einsatz auf Entwicklung, Architektur und Betrieb eurer Anwendungen auswirkt.

Vue-Apps mit Playwright und JSON-Server End-to-End testen

Entwickelnde möchten Fehler in Frontend-Applikationen erkennen, bevor sie der Nutzer in Produktion findet. Dafür helfen neben Komponententests auch End-to-End Tests, die einen Nutzer simulieren. Um beim Testen nicht auf die Verfügbarkeit von Backend-Schnittstellen angewiesen zu sein, können diese gemockt werden. In diesem Talk wird anhand eines praktischen Beispiels gezeigt, wie Nutzer-Interaktionen mit Playwright simuliert und APIs mit JSON-Server gemockt werden können.

Lazy Loading: Die Superkraft der Performanz in Angular

Viele Angular Anwendungen setzen Lazy Loading ein. Leider wird oft das Konzept ’nur’ auf Angular Module eingeschränkt, was die Performanz eingeschränkt verbessert. Über diesen Anwendungsfall hinweg könnte man mehr mit Lazy Loading erreichen, erweitert auf Bilder, Komponenten, Services, Skripte oder auch CSS Dateien. Mit diesem Vortrag gebe ich dir einen Überblick am Beispiel der Implementierung einiger Anwendungsfällen über weitere Implementierungsarten der Lazy Loading in Angular.

Modulare Flutter Apps — oder: Wie erweitere ich meine App, ohne die App anzufassen?

Oft wird davon gesprochen, dass Mobile Apps reaktiv sein, und viele Qualitätseigenschaften wie Wartbarkeit und Testbarkeit aufweisen müssen. Unter die Wartbarkeit und Testbarkeit fällt noch die Modularität.
Kleine, in sich geschlossene Module lassen sich einfacher testen als ein großes Modul. Und weniger Code ist in der Regel einfacher zu warten als viel Code.

Im Backend gibt es als Antwort Microservices, im Frontend arbeitet man mit Microfrontends.

Wie sieht es bei Flutter aus? Diese Frage möchte ich in diesem Talk anhand eines handlichen Beispiels näher beleuchten und mit einem möglichen Lösungsweg beantworten.

WebAssembly für Webentwickler – warum Sie damit beginnen sollten

Eine Technologie, die derzeit immer wieder auftaucht – sei es im Webbrowser oder sogar darüber hinaus – ist WebAssembly. Größere Unternehmen wie Amazon, Adobe und Google nutzen zunehmend den kompilierten Bytecode für das Web. Martina Kraus zeigt Ihnen in diesem Vortrag die Vorteile der Integration einer in WebAssembly kompilierten Rust Lib, die in eine Angular-Anwendung eingebettet ist. Tauchen Sie ein in eine codeintensive Session und entdecken Sie gemeinsam mit Martina, warum es sinnvoll ist, gerade jetzt in die Welt von WebAssembly einzusteigen.

Auth 101 — Authorization und Authentication in einer Frontend Anwendung

Das Hinzufügen von Authentifizierung und Autorisierung zu einer Frontend Applikation kann eine Herausforderung darstellen.
Der sichere Umgang mit verschiedenster Authentifizierungs-Techniken und deren Best Practices gestaltet sich gerade zu Beginn sehr schwierig.
Was ist der Verwendungszweck eins ID Tokens, worin unterscheidet sich dieser eigentlich zu einem Access Token und wie kann ich meine Daten vor ungewolten Zugriffen schützen? — Sind Fragen die wir uns hierbei immer wieder stellen
Glücklicherweise bieten bestehende CIAM (Customer Identity Access Management) Lösungen — wie Auth0 — verschiedene JavaScript SDKs an, um diesen Prozess reibungslos zu gestalten. In diesem Talk lernen Sie zusammen mit Google Developer Expert Martina Kraus, wie Sie Benutzern erlauben, sich bei einer Anwendung an- und abzumelden, wie Sie Benutzerattribute anzeigen und wie Sie eine gesicherte API mit einem Zugriffstoken aufrufen können.

Self-Empowered Teams — Utopie oder Realität?

Self-Empowered Teams sind in der Tech-Welt in aller Munde — wer möchte kein Team, das sich selbst organisiert, ohne hierarchische Strukturen arbeitet und Ergebnisse liefert, mit denen sich alle Team-Mitglieder identifizieren? Hierarchien sind out, Selbstorganisation ist in. Aber ist dieser Ansatz in der Realität umsetzbar? Welche Voraussetzungen braucht es, um Verantwortungsdiffusion, Strukturlosigkeit und Angst vor Entscheidungen entgegenzuwirken? Macht bedeutet Verantwortung — und was bedeutet es, wenn diese auf viele Schultern über verschiedene Organisationen hinweg verteilt ist? Ein Bericht zwischen gelebter Realität und optimistischer Hoffnung.

Wie APIs angegriffen werden und wie Entwickler sicher entwickeln – OWASP API Security Top 10 2023

Web-APIs stecken unter der Haube moderner Single-Page-Webanwendungen und mobiler Apps und machen einen großen Teil des Internetverkehrs aus. Sicherheit ist auch hier, beim Entwerfen und Entwickeln von Schnittstellen, ein Thema, das nach wie vor vernachlässigt wird. Dem versucht das Open Web Application Security Project (OWASP) entgegenzuwirken, eine Non-Profit-Organisation es, deren Ziel es ist, die Sicherheit im Web zu verbessern.

Deren wohl bekannteste Veröffentlichung sind die OWASP Top 10, eine Liste der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Weniger geläufig sind die OWASP API Security Top 10, eine Aufzählung der kritischsten und am weitesten verbreiteten Sicherheitslücken in Web-Schnittstellen. Ende 2019 veröffentlichte die „API Security“-Arbeitsgruppe der OWASP eine erste Version, im Juni 2023 erschien eine aktualisierte Version der API-Liste.

Der Vortrag stellt anhand der OWASP API Security Top 10 Angriffe auf Schnittstellen vor, geht den Ursachen auf den Grund und zeigt, was bei der Entwicklung dagegen hilft. Was müssen Architekten und Entwickler bei Mechanismen zur Authentifizierung und Autorisierung beachten? Warum darf man sich nicht auf Standardeinstellungen von Frameworks und Komponenten verlassen? Welche Sicherheitslücken entstehen durch fehlende Eingabevalidierung? Warum ist eine Schutzmaßnahme wie Rate Limiting wichtig, und wodurch kann ein Angreifer sie umgehen?