pflichtenheft.md

@@ -70,9 +70,16 @@
 ## Allgemeine Anforderunge
 
 *Phase 2: Schülerzugang braucht mehr Nutzer…. Zugriffe / Tag steigen auch.*
-
-| **300 aktuellen Nutzern**  <br>Das System muss mindestens 300 aktuelle Benutzer unterstützen, die das System administrieren, bearbeiten und nutzen können. Nicht jeder Benutzer benötigt ein eigenes Profil. | HW-1 |
+Um den nachfolgenden Anforderungen gerecht zu werden, nutzen wir:
+| Produkt | Preis |
 | --- | --- |
+| 2* Hetzner CX22 | 3.79€ / Montat / Server |
+| Domain (easyname.at) | 35€ / Jahr |
+| Mailservice (Brevo) | 0€ / Jahr |
+
+|Anforderung|ID|
+| --- | --- |
+| **300 aktuellen Nutzern**  <br>Das System muss mindestens 300 aktuelle Benutzer unterstützen, die das System administrieren, bearbeiten und nutzen können. Nicht jeder Benutzer benötigt ein eigenes Profil. | HW-1 |
 | **ca. 50 Zugriffe / Tag**  <br>Das System muss in der Lage sein, ca. 50 aktive Benutzer pro Tag (tendenziell steigend) zu unterstützen, ohne dass die Systemleistung beeinträchtigt wird. Die Systemressourcen sollten ausreichend dimensioniert sein, um eine reibungslose und effiziente Nutzung durch die Benutzer zu gewährleisten. | HW-2 |
 | **Einfach skalierbar**  <br>Das System muss einfach skaliert werden können, um aufsteigende Anforderungen und Benutzerzahlen reagieren zu können. Dies sollte ohne wesentliche Änderungen an der Systemarchitektur oder -Infrastruktur möglich sein, um eine flexible und kosteneffiziente Anpassung an zukünftige Bedürfnisse zu ermöglichen. | HW-3 |
 
@@ -80,7 +87,12 @@
 
 Phase 2: Schülerzugang braucht mehr Nutzer…. Zugriffe / Tag steigen auch.
 
-<table><tbody><tr><th><p><strong>Die Anwendung wird auf einem Cloud-Server betrieben, der skalierbar ist, um den Anforderungen eines wachsenden Benutzerstamms gerecht zu werden.</strong></p></th><th><p>HW-4</p></th></tr><tr><td><p><strong>Hochverfügbar: 99.5%</strong></p><p>Das System muss eine Verfügbarkeit von mindestens 99,5% aufweisen. Dies bedeutet, dass das System innerhalb eines Jahres höchstens 43,8 Stunden (0,5% von 8760 Stunden) nicht verfügbar sein darf.</p></td><td><p>HW-5</p></td></tr><tr><td><p><strong>Datenbank und Anwendung muss redundant und gegen Ausfall eines Servers gesichert sein.</strong></p><p>Die Datenbank und die Anwendung müssen redundant und gegen Ausfälle gesichert sein, um Datenverluste und Systemausfälle zu vermeiden. Dies umfasst die Implementierung von:</p><ul><li>Datenbankreplikation</li><li>Regelmäßige Backups und Datenwiederherstellung</li></ul></td><td><p>HW-6</p></td></tr><tr><td><p><strong>.Net Runtime muss unterstützt werden</strong><br>Die Anwendung muss die .NET Runtime unterstützen, um eine reibungslose Ausführung von .NET-basierten Anwendungen zu ermöglichen.</p></td><td><p>HW-7</p></td></tr><tr><td><p><strong>Sicherheit und administrativer Zugriff:</strong></p><p>Der Zugriff auf die Anwendung und die Infrastruktur muss jederzeit gegeben sein. Dies kann durch die Implementierung von:</p><ul><li>SSH-Zugriff für Administratoren</li><li>VPN-Verbindung (Virtual Private Network) für eine sichere und verschlüsselte Verbindung</li><li>Zugriffskontrolle und Authentifizierung, um den Zugriff auf autorisierte Personen zu beschränken</li></ul><p>erreicht werden.</p></td><td><p>HW-8</p></td></tr></tbody></table>
+|Anforderung|ID|
+| --- | --- |
+| **Die Anwendung wird auf einem Cloud-Server betrieben, der skalierbar ist, um den Anforderungen eines wachsenden Benutzerstamms gerecht zu werden.** | HW-4 |
+| **Hochverfügbar: 99.5%** <br>Damit diese Anforderung auch im Falle eines gröberen Ausfalls eingehalten werden kann, muss es diverse Dokumentation und Anleitungen zum Wiederherstellungsprozesses geben. Es wird ein eigenes Desaster Recovery Handbuch geben. Damit diverse Probleme schnell erkannt werden, wird es ein rudimentäres Logging geben. (Wie viele Requests? Ressourcenverbrauch? Durchschnittliche antwortzeit des Servers...) Sollte einer dieser Werte auffällig weit aus der Norm fallen, wird der Absolventenverein, sowie diese Diplomarbeitsgruppe automatisch benachrichtigt, damit mit untersuchungen / gegenmaßnahmen in angriff genommen.<br> *Das System muss eine Verfügbarkeit von mindestens 99,5% aufweisen. Dies bedeutet, dass das System innerhalb eines Jahres höchstens 43,8 Stunden (0,5% von 8760 Stunden) nicht verfügbar sein darf.* | HW-5 |
+| **.Net Runtime muss unterstützt werden** <br> Die Anwendung muss die .NET Runtime unterstützen, um eine reibungslose Ausführung von .NET-basierten Anwendungen zu ermöglichen. | HW-6 |
+| **Wiederherstellungszeitraum**<br><br> Die Wiederherstellung des Servers im Falle eines Ausfalls (des Rechenzentrums) muss innerhalb von **einem Tag** gewährleistet sein. Also nach 24 Stunden muss das System wieder in einen benutzbaren Zustand gebracht werden | HW-7 |
 
 ## Anforderungen an den Bedienrechner / das mobile Endgerät
 
@@ -91,10 +103,10 @@ Phase 2: Schülerzugang braucht mehr Nutzer…. Zugriffe / Tag steigen auch.
 
 ## Anforderungen an das Backup, Recovery und Desaster-Recovery
 
-| **Automatisierte Datensicherung**<br><br>Zur Erhöhung der Datensicherheit soll über das Komplettsystem eine automatisierte Datensicherung erfolgen. (Versionen / Binaries der Anwendungen, Konfigurationsdateien und Nutzerdaten) | HW-12 |
+| Anforderung | ID |
 | --- | --- |
-| **Wiederherstellungszeitraum**<br><br>Die Wiederherstellung des Servers im Falle eines Ausfalls (des Rechenzentrums) muss innerhalb von **einem Tag** gewährleistet sein. Also nach 24 Stunden muss das System wieder in einen benutzbaren Zustand gebracht werden | HW-13 |
-| **Dokumentation zum Wiederherstellungsverfahren muss vorhanden sein.**<br><br>Schritt für Schritt Anweisungen zum Wiederherstellen des Systems | HW-14 |
+| **Automatisierte Datensicherung**<br>Zur Erhöhung der Datensicherheit soll über das Komplettsystem eine automatisierte Datensicherung erfolgen. Versionen / Binaries der Anwendungen, Konfigurationsdateien und Nutzerdaten, die Datenbank... Diese Dateien werdenauf einem unbhängigen File Server gelagert. Die Binaries sollen nur bei Updates unserer Software ausgetauscht werden, Konfigurationen bei Änderung erneuert gesichert und die Datenbank mit Nutzerdaten in einem regelmäßigen Zeitfenster. (Vielleicht misbrauchen wir einfach ein Git Repository, das ist vorallem für die Versionierung und Automatisierung dieser Backups sehr gut geeignet) | HW-12 |
+| **Dokumentation zum Wiederherstellungsverfahren muss vorhanden sein.**<br><br>Schritt für Schritt Anweisungen zum Wiederherstellen des Systems. Skriptgestützte Automatische Wiederherstellung mit einer Dokumentation/Tutorial, um dieses Disaster-Recovery auch ohne Skript durchführen zu können. | HW-13 |
 
 ## Anforderungen an Redundanz und Verfügbarkeit
 
@@ -102,16 +114,15 @@ Phase 2: Schülerzugang braucht mehr Nutzer…. Zugriffe / Tag steigen auch.
 
 Redundanzeigenschaften Bespr. Mit Hr. Prof. Gürth
 
-|     | RED-1 |
+| Anforderung | ID |
 | --- | --- |
-|     | RED-2 |
-|     | RED-3 |
+| **Datenbank und Anwendung muss redundant und gegen Ausfall eines Servers gesichert sein.** <br> Die Datenbank wird auf beiden Servern repliziert vorhanden sein. Ob das ein warm-standby, hot-standby, oder gar eine Multi-Master Replizierung wird, muss noch entschieden werden. Im Falle eines Ausfalls einer der beiden DBs, soll die andere automatisch zum neuen Master "promoted" werden, wodurch die Anwendung ohne einen groß Merkbaren ausfall direkt weiter ausgeführt werden kann. <br> Außerdem soll regelmäßig ein Backup von der gesamten Datenbank gemacht werden, welches auf einem unabhängigen File Server/Provider gelagert wird, um im Falle eines Datenverlustes die DB wiederher zu stellen. *<br> Die Datenbank und die Anwendung müssen redundant und gegen Ausfälle gesichert sein, um Datenverluste und Systemausfälle zu vermeiden. Dies umfasst die Implementierung von:</p><ul><li>Datenbankreplikation</li><li>Regelmäßige Backups und Datenwiederherstellung</li></ul>* | RED-1 |
 
 ### Verfügbarkeitsanforderungen
 
-| **99% / Jahr (87.6h)**<br><br>Das System soll weniger als 90 Stunden im Jahr ausfallen. | RED-4 |
+| **99% / Jahr (87.6h)**<br>Durch eine schnelle Wiederherstellungszeit und klar vorgegebene Disaster Recovery Dokumentation und resilienz in der Architektur des Systems, sowie ein Monitoring und Logging zur frühen Erkennung etwaiger Probleme werden die 99% / Jahr eingehalten werden.<br>Das System soll weniger als 90 Stunden im Jahr ausfallen. | RED-4 |
 | --- | --- |
-| **Wiederherstellungszeit: the next business day**<br><br>Das System soll bis zum übernächsten Werktag wieder in einen Nutzbaren zustand bringbar sein. | RED-5 |
+| **Wiederherstellungszeit: the next business day**<br>Durch weitgehende automatisierte Skripte soll der Wiederherstellungsprozess vereinfacht werden. Ein Desaster-Recovery Handbuch liegt bei, um den Benutzer schritt für Schritt durch den Wiederherstellungsprozess zu begleiten.<br>Das System soll bis zum übernächsten Werktag wieder in einen Nutzbaren zustand bringbar sein. | RED-5 |
 |     |     |
 
 ## Schnittstellen
@@ -133,13 +144,12 @@ Redundanzeigenschaften Bespr. Mit Hr. Prof. Gürth
 
 ## Allgemeine Anforderungen
 
+| Anforderung | ID |
+| --- | --- |
 | Die Website oder Webanwendung wird so entwickelt, dass sie in den aktuellen und vorherigen Versionen der gängigsten Webbrowser einwandfrei funktioniert: </p><p> Google Chrome (Desktop und Mobile) <br>Mozilla Firefox (Desktop und Mobile)<br>Safari (macOS und iOS)<br>Microsoft Edge (Chromium-basiert)</p><p> 1. Programmiersprachen und Standards: <br> -Die Entwicklung erfolgt auf Basis moderner Technologien wie HTML5, CSS3 für eine plattformübergreifende Funktionalität.</p><p> 2. Frameworks und Bibliotheken: <br> -Frameworks wie React, Angular oder Vue.js (für die Frontend-Entwicklung) sowie CSS-Frameworks wie Bootstrap oder TailwindCSS können zum Einsatz kommen.</p><p> 3. Build-Tools: <br> -Tools wie Webpack, Vite oder Parcel werden zur Optimierung der Assets (z. B. Minifizierung und Bundling von Dateien) verwendet,um die Performance auf verschiedenen Browsern zu gewährleisten. <br><br> | SW-1 |
-
-
-
 | Barrierefreiheit (WAI-ARIA-Standard) ...</p><p> <b> 1. Verwendung von ARIA-Attributen: </b> <br> -Semantik und Bedienbarkeit durch role, aria-label, aria-expanded, aria-live etc. verbessern.<br>-Dynamische Inhalte und interaktive Elemente mit Attributen wie aria-controls oder aria-describedby ausstatten. </p><p> <b> 2. Technologien und Tools:</b> <br>-Unterstützung durch Frameworks (z. B. React, Angular) und CSS-Frameworks (z. B. Bootstrap). <br>-Einsatz von Tools wie Axe, Lighthouse oder eslint-plugin-jsx-a11y zur Validierung. </p><p> <b> 3. Tastaturbedienbarkeit und Kontraste:</b> <br>-Sicherstellen, dass alle Inhalte per Tastatur erreichbar sind.<br> -Einhalten der Kontrastvorgaben gemäß WCAG 2.1 Stufe AA. <br><br> | SW-2 |
-
 | **CMS**: <br>Das System soll einen redaktionellen Schülerzugagng bieten, damit die Diplomarbeiten von Schülern selbst eingepflegt werden können. | SW-3 |
+| **Sicherheit und administrativer Zugriff:** <br> Der Administrative zugriff auf das System geschieht über eine SSH Verbindung, welche nur duch eine VPN (Wireguard) aufgebaut werden kann. Die Authentifizierung (der VPN und SSH) wird über Schlüsselpaare gemacht, um sicherer gegenüber bruteforce Angriffe zu sein. <br> Der Zugriff auf die Anwendung und die Infrastruktur muss jederzeit gegeben sein. Dies kann durch die Implementierung von:</p><ul><li>SSH-Zugriff für Administratoren</li><li>VPN-Verbindung (Virtual Private Network) für eine sichere und verschlüsselte Verbindung</li><li>Zugriffskontrolle und Authentifizierung, um den Zugriff auf autorisierte Personen zu beschränken</li></ul> erreicht werden. | SW-4 |
 
 ## Zugriffsverwaltung
 
@@ -342,11 +352,11 @@ Mehr Prosa (Unterscheidung Phase 1 & 2)
 
 ## Schwarzes Brett (Phase 2)
 
-| **Feed**<br><br>Eine Seite auf den Mitteilungen und Ankündigungen gemacht werden. Hier kann man Events anzeigen lassen, Posts anderer Mitglieder usw. | ScB-1 |
+| **Feed**<br>Es muss ein Interface / eine Schnittstelle für alle Elemente, welche am Schwarzen Brett auftauchen geschaffen werden. Dann muss eine API Route für das Abrufen der einzelnen Einträge geschaffen werden. Die gesammte Entwicklung wird in einem Oqtane Modul geschehen. Der Feed priorisiert die Posts vom Absolventenverein und muss die Sichtbarkeitsstufe des Posts berücksichtigen.<br>Eine Seite auf den Mitteilungen und Ankündigungen gemacht werden. Hier kann man Events anzeigen lassen, Posts anderer Mitglieder usw. | ScB-1 |
 | --- | --- |
-| **Posten**<br><br>Jeder darf posten, solange ihm in der Vergangenheit dieses Privileg nicht weggenommen wurde. Diese Posts werden dann in dem Feed angezeigt. Ein Post kann eine Sichbarkeitsstufe haben (standardmäßig: öffentlich = jeder angemeldete Benutzer) | ScB-2 |
-| **Werbung**<br><br>Firmen können Job Inserate schalten, Diplomarbeitskooperationen anbieten usw. Wir stellen die Schnittstelle für diese Firmen bereit, aber um die Abrechnung muss sich gesondert jemand anderer kümmern | ScB-3 |
-| **Meldungsvorgang**<br><br>Man kann unangemessene Inhalte melden, diese Meldungen werden dann von Hand durchgeschaut, ob diese den Regeln widersprechen, und kann dem Benutzer über eine Rollenänderung das Privileg des Postens / Interagieren mit anderen Nutzern auf der Seite entfernt werden. | ScB-4 |
+| **Posten**<br>Es wird eine neue API Route in dem Modul implementiert, die es ermöglicht eigene Einträge auf dem schwarzen Brett zu posten. Hierfür braucht man nichts wirklich ausgefallenes.<br>Jeder darf posten, solange ihm in der Vergangenheit dieses Privileg nicht weggenommen wurde. Diese Posts werden dann in dem Feed angezeigt. Ein Post kann eine Sichbarkeitsstufe haben (standardmäßig: öffentlich = jeder angemeldete Benutzer) | ScB-2 |
+| **Werbung**<br>Um Werbung auf dem schwarzen Brett anbieten zu können, muss mitgezählt werden, welche Posts geladen / gesehen worden sind. Es wird auch eine "Abrechnungsseite" geben, auf der die Kosten Vorgerechnet werden. Um die Abrechnung muss sich der Absolventen Verein selber kümmern.<br>Firmen können Job Inserate schalten, Diplomarbeitskooperationen anbieten usw. Wir stellen die Schnittstelle für diese Firmen bereit, aber um die Abrechnung muss sich gesondert jemand anderer kümmern | ScB-3 |
+| **Meldungsvorgang**<br>Es werden neue Knöpfe bei den Posts hinzugefügt, mit denen man einen Post melden kann. Optional mit Angabe eines Grundes. Dieser Post wird sofort offline genommen und dann zur Durchsicht von Seiten des Absolventenvereins markiert. Je nach dem, was der AV dann Beschließt, wird dem Benutzer dann das Recht auf Posten entzogen.<br>Man kann unangemessene Inhalte melden, diese Meldungen werden dann von Hand durchgeschaut, ob diese den Regeln widersprechen, und kann dem Benutzer über eine Rollenänderung das Privileg des Postens / Interagieren mit anderen Nutzern auf der Seite entfernt werden. | ScB-4 |
 
 ## Anmeldetool für Treffen