Glossar

Domain Name System

Das „Telefonbuch des Internets“: übersetzt menschenlesbare Domainnamen (z. B. example.com) in IP-Adressen, die Computer zur Kommunikation benötigen.

DNS-Eintrag, der einen Domainnamen auf eine IPv4-Adresse abbildet.

DNS-Eintrag, der einen Domainnamen auf eine IPv6-Adresse abbildet.

Canonical Name

Alias-Eintrag, der einen Domainnamen auf einen anderen Domainnamen verweist statt auf eine IP-Adresse.

Mail Exchange

DNS-Eintrag, der angibt, welche Mailserver für den Empfang von E-Mails einer Domain zuständig sind, inklusive Prioritäten.

Freitext-DNS-Eintrag, häufig für Verifizierungen und E-Mail-Authentifizierung (SPF, DKIM, DMARC) genutzt.

Start of Authority

Zentraler DNS-Eintrag einer Zone mit Verwaltungsangaben wie primärem Nameserver, Seriennummer und Aktualisierungsintervallen.

Name Server

Gibt die autoritativen Nameserver an, die für eine Domain zuständig sind. Balou Tools prüft deren Konsistenz.

Certification Authority Authorization

DNS-Eintrag, der festlegt, welche Zertifizierungsstellen (CAs) Zertifikate für eine Domain ausstellen dürfen.

DNS Security Extensions

Erweiterung, die DNS-Antworten kryptografisch signiert und so vor Manipulation (Spoofing/Cache-Poisoning) schützt.

DNS-based Authentication of Named Entities

Bindet TLS-Zertifikate per DNS (TLSA-Record, durch DNSSEC abgesichert) an eine Domain, um Vertrauen unabhängig von CAs zu schaffen.

Pointer / Reverse DNS

Reverse-DNS-Eintrag, der eine IP-Adresse zurück auf einen Hostnamen abbildet – wichtig für die E-Mail-Reputation.

Delegation Signer

Beim Parent (TLD) hinterlegter Hash des DNSKEY, der die DNSSEC-Vertrauenskette von der übergeordneten Zone zur Domain verankert.

Service Binding

Moderne DNS-Record-Typen, die Verbindungsparameter (z. B. ALPN/HTTP-Version, Ports, ECH) schon vor dem Verbindungsaufbau bereitstellen.

Time To Live

Gültigkeitsdauer (in Sekunden) eines DNS-Eintrags im Cache, bevor er neu abgefragt werden muss.

Zeitraum, in dem sich DNS-Änderungen weltweit über die Resolver verbreiten. Balou Tools prüft dies über mehrere Resolver (8.8.8.8/1.1.1.1/9.9.9.9) parallel.

Sender Policy Framework

E-Mail-Authentifizierung, die per TXT-Record festlegt, welche Server für eine Domain Mails versenden dürfen. Begrenzt auf max. 10 DNS-Lookups.

DomainKeys Identified Mail

Verfahren, das ausgehende E-Mails mit einer digitalen Signatur versieht; der öffentliche Schlüssel liegt als DNS-Eintrag unter einem Selektor.

Domain-based Message Authentication, Reporting & Conformance

Richtlinie, die auf SPF und DKIM aufbaut und vorgibt, wie mit nicht authentifizierten Mails verfahren wird (none/quarantine/reject) – inkl. Reporting.

Brand Indicators for Message Identification

Standard, der bei authentifizierten Mails das Markenlogo des Absenders im Postfach anzeigt.

Mail Transfer Agent Strict Transport Security

Mechanismus, der den verschlüsselten (TLS-)Transport von E-Mails zwischen Servern erzwingt und Downgrade-Angriffe verhindert.

TLS Reporting

Mechanismus, der Berichte über Fehler beim verschlüsselten E-Mail-Transport (z. B. fehlgeschlagene TLS-Verbindungen) sendet.

Registration Data Access Protocol

Protokolle zum Abruf von Registrierungsdaten einer Domain (Inhaber, Registrar, Ablaufdatum). RDAP ist der moderne, strukturierte Nachfolger von WHOIS.

Secure Sockets Layer / Transport Layer Security

Protokolle zur verschlüsselten Übertragung von Daten im Netz. TLS ist der moderne Nachfolger von SSL; „SSL“ wird umgangssprachlich oft weiterverwendet.

Kombination kryptografischer Algorithmen (Schlüsselaustausch, Authentifizierung, Verschlüsselung, MAC), die eine TLS-Verbindung absichert. Schwache Suiten (RC4, 3DES, MD5) werden abgewertet.

Aushandlungsphase zu Beginn einer TLS-Verbindung, in der sich Client und Server auf Protokollversion, Cipher-Suite und Schlüssel einigen.

Server Name Indication

TLS-Erweiterung, mit der der Client beim Handshake den gewünschten Hostnamen mitteilt – ermöglicht mehrere Zertifikate pro IP-Adresse.

Chain of Trust

Lückenlose Kette vom Server-Zertifikat über Zwischenzertifikate bis zu einer vertrauenswürdigen Root-CA. Balou Tools prüft Vollständigkeit und Vertrauenswürdigkeit.

Certificate Authority

Zertifizierungsstelle, die digitale Zertifikate ausstellt und deren Echtheit bestätigt.

Certificate Signing Request

Antrag zur Ausstellung eines Zertifikats, der den öffentlichen Schlüssel und Antragstellerdaten enthält. Balou Tools erzeugt RSA-, ECDSA- und Ed25519-CSRs clientseitig.

Subject Alternative Name

Zertifikatsfeld, das zusätzliche Hostnamen/Domains auflistet, für die ein Zertifikat gültig ist.

Online Certificate Status Protocol

Verfahren, bei dem der Server einen aktuellen Gültigkeitsnachweis seines Zertifikats direkt mitliefert, statt dass der Client die CA befragen muss.

Kostenlose, automatisierte Zertifizierungsstelle (Let's Encrypt) und das zugehörige Tool (Certbot), das TLS-Zertifikate per ACME-Protokoll ausstellt und automatisch erneuert.

Certificate Transparency / Signed Certificate Timestamp

Öffentliche, prüfbare Logs aller ausgestellten Zertifikate. Ein SCT belegt, dass ein Zertifikat in solchen Logs eingetragen wurde.

Rivest–Shamir–Adleman

Etabliertes asymmetrisches Verschlüsselungs- und Signaturverfahren. Schlüssel unter 2048 Bit gelten als unsicher.

Elliptic Curve Digital Signature Algorithm

Moderne signaturverfahren auf Basis elliptischer Kurven – kürzere Schlüssel bei gleicher Sicherheit gegenüber RSA.

Einwegfunktion, die Daten auf einen Wert fester Länge abbildet (z. B. SHA-256). Aus dem Hash lässt sich der Ursprung nicht rekonstruieren.

Hash-based Message Authentication Code

Verfahren, das einen Hash mit einem geheimen Schlüssel kombiniert, um Integrität und Authentizität einer Nachricht zu prüfen.

Bewusst langsame Hash-Verfahren zum sicheren Speichern von Passwörtern; erschweren Brute-Force-Angriffe.

JSON Web Token

Kompaktes, signiertes Token-Format zum sicheren Austausch von Claims (z. B. Identität), bestehend aus Header, Payload und Signatur.

JSON Web Key Set

Per URL veröffentlichte Sammlung öffentlicher Schlüssel, mit denen JWT-Signaturen verifiziert werden können.

Web Cryptography API

Browser-Schnittstelle für kryptografische Operationen. Balou Tools nutzt sie für 100 % clientseitige Krypto-Tools.

Langer, zufällig wirkender Wert mit hoher Zeichenvielfalt. Solche Werte sind oft API-Keys, Session-Tokens oder andere Secrets und sollten maskiert und rotiert werden.

Hypertext Transfer Protocol (Secure)

Protokoll zur Übertragung von Webseiten. HTTPS ist die per TLS verschlüsselte Variante von HTTP.

Moderne HTTP-Versionen. HTTP/2 multiplext Anfragen über eine Verbindung; HTTP/3 setzt auf QUIC (UDP) für geringere Latenz.

Quick UDP Internet Connections

Transportprotokoll auf UDP-Basis, das HTTP/3 zugrunde liegt – schnellerer Verbindungsaufbau und integrierte Verschlüsselung.

Application-Layer Protocol Negotiation

TLS-Erweiterung, mit der Client und Server beim Handshake das Anwendungsprotokoll (z. B. h2, http/1.1) aushandeln.

Zero Round Trip Time

TLS-1.3/QUIC-Funktion, die Daten bereits beim Verbindungsaufbau ohne zusätzliche Roundtrips sendet – schneller, aber anfällig für Replay-Angriffe.

HTTP Strict Transport Security

Sicherheits-Header, der Browser zwingt, eine Domain ausschließlich über HTTPS aufzurufen. Optionen: max-age, includeSubDomains, preload.

Content Security Policy

Sicherheits-Header, der erlaubte Quellen für Skripte, Stile etc. festlegt und so XSS-Angriffe eindämmt. Balou Tools erkennt Wildcard-/Allowlist-Bypässe.

Cross-Site Scripting

Angriff, bei dem Schadcode (meist JavaScript) in eine Webseite eingeschleust und im Browser anderer Nutzer ausgeführt wird.

HTTP-Header, der das Einbetten einer Seite in Frames steuert und so Clickjacking verhindert.

HTTP-Header (Wert nosniff), der verhindert, dass Browser den Inhaltstyp erraten („MIME-Sniffing“).

HTTP-Header, der steuert, wie viel Referrer-Information beim Wechsel zu anderen Seiten übermittelt wird.

HTTP-Header, der den Zugriff auf Browser-Funktionen (Kamera, Mikrofon, Geolocation etc.) je Seite reguliert.

COOP / COEP / CORP

Header-Trio, das ein Dokument von fremden Ursprüngen isoliert (Cross-Origin-Opener/Embedder/Resource-Policy) – Schutz gegen Spectre und Voraussetzung für leistungsfähige Browser-APIs.

Weit verbreitetes Kompressionsverfahren, das Text-Antworten (HTML/CSS/JS) vor der Übertragung verkleinert und so die Ladezeit reduziert.

Modernes Kompressionsverfahren von Google, das bei Text-Inhalten meist eine höhere Kompressionsrate als Gzip erreicht; Browser fallen automatisch auf Gzip zurück.

CSP-Direktive, die vertrauten Skripten (per Nonce/Hash) erlaubt, weitere Skripte zu laden – ohne explizite Allowlist.

Mechanismen, um einzelne Inline-Skripte gezielt zu erlauben: ein einmaliger Zufallswert (Nonce) oder ein Prüfwert des Skriptinhalts (Hash).

Server-Side Request Forgery

Angriff, bei dem ein Server dazu gebracht wird, Anfragen an interne/unerlaubte Ziele zu senden. Balou Tools schützt via UrlSafetyValidator jeden Redirect-Hop.

HTTP-Weiterleitung (3xx) von einer URL zur nächsten. Jeder Schritt heißt „Hop“; Balou Tools misst Latenz, Cookies und HSTS pro Hop.

Unsichere HTTP-Ressourcen, die in eine HTTPS-Seite eingebunden werden – untergraben die Verschlüsselung und werden von Browsern blockiert.

Regular Expression Denial of Service

Angriff, der mit speziell konstruierten Eingaben ineffiziente reguläre Ausdrücke zu extremer Laufzeit zwingt. Der Regex-Tester warnt davor.

Performance-Bewertung einer Webseite (0–100) über die Google PageSpeed Insights API; Balou Tools bildet das Mittel aus Mobil- und Desktop-Messung.

Zugangsdaten direkt in einer URI, z. B. postgres://user:pass@host/db. Praktisch, aber riskant, weil sie leicht in Logs, Screenshots oder Repositorys landen.

Konkrete Optimierungsempfehlung aus Lighthouse/PageSpeed, z. B. ungenutztes JavaScript reduzieren, Bilder optimieren oder Cache-Header verbessern.

Google-Metriken für Nutzererfahrung: LCP für Ladegeschwindigkeit, CLS für visuelle Stabilität und INP/FID für Reaktionsfähigkeit.

Largest Contentful Paint

Core-Web-Vital-Metrik, die misst, wann der größte sichtbare Inhalt im Viewport geladen ist. Zielwert: möglichst unter 2,5 Sekunden.

Total Blocking Time

Lighthouse-Labormetrik für die Zeit, in der der Main Thread durch lange JavaScript-Aufgaben blockiert ist und Eingaben verzögert werden.

Cumulative Layout Shift

Core-Web-Vital-Metrik für unerwartete Layoutverschiebungen während des Ladens. Niedrige Werte bedeuten eine stabilere Oberfläche.

Angriff, bei dem bereits gesendete Daten erneut abgespielt werden. Bei 0-RTT/Early Data sind nicht-idempotente Requests besonders kritisch.

HTTP-Statuscode, mit dem ein Server riskante Early-Data-Anfragen ablehnen kann, damit der Client sie nach dem vollständigen TLS-Handshake erneut sendet.

Daten, die bei TLS 1.3/QUIC schon vor Abschluss des vollständigen Handshakes gesendet werden. Beschleunigt Wiederbesuche, erfordert aber Replay-Schutz.

Künstliche Intelligenz / Artificial Intelligence

Sammelbegriff für Verfahren, mit denen Maschinen Aufgaben lösen, die menschliche Intelligenz erfordern – hier vor allem Sprachverarbeitung.

Large Language Model

Großes Sprachmodell, das auf riesigen Textmengen trainiert wurde und Texte versteht und generiert. Balou Tools nutzt gemini-2.5-flash-lite.

Retrieval-Augmented Generation

Verfahren, das ein LLM mit gezielt abgerufenem Fachwissen anreichert, bevor es antwortet – für präzisere, belegbare Antworten.

Numerische Vektordarstellung von Text, die dessen Bedeutung erfasst. Balou Tools nutzt gemini-embedding-001 mit 768 Dimensionen.

Datenbank, die Embeddings speichert und nach Ähnlichkeit durchsucht. Hier: PostgreSQL mit der Erweiterung pgvector.

PostgreSQL-Erweiterung für die Speicherung und Ähnlichkeitssuche von Vektoren.

Hierarchical Navigable Small World

Effizienter Index-Algorithmus für die approximative Nächste-Nachbar-Suche in Vektordatenbanken.

Maß für die Ähnlichkeit zweier Vektoren (0.0–1.0). Balou Tools verlangt für relevante Treffer einen Wert ≥ 0.6.

Anzahl der relevantesten Dokument-Chunks, die aus der Vektorsuche abgerufen werden (hier: bis zu 4).

Zerlegen langer Dokumente in überlappende Abschnitte (Chunks), die einzeln eingebettet und durchsucht werden können.

Nachträgliche Neugewichtung der Suchtreffer über zusätzliche Faktoren (Kategorie, Keywords, Sprache, Workspace) zur Verbesserung der Relevanz.

Cache, der bedeutungsähnliche Anfragen erkennt (Cosinus-Ähnlichkeit ≥ 95 %) und gespeicherte Antworten liefert, ohne das LLM erneut aufzurufen.

Automatisches Umformulieren unpräziser Anfragen, um die anschließende Vektorsuche zu verbessern.

Eingabetext bzw. Anweisung, mit der ein LLM gesteuert wird. Balou Tools baut Prompts strukturiert aus System-, Diagnose- und RAG-Kontext zusammen.

Kleinste Verarbeitungseinheit eines LLM (Wortteil/Zeichen). Modellkosten und -limits werden in Tokens gemessen.

Spring-Framework-Modul, das eine einheitliche Abstraktion für LLMs und Vektordatenbanken bietet (hier Version 2.0.0-M8).

Der im Browser laufende, sichtbare Teil der Anwendung. Bei Balou Tools auf Basis von Astro und Svelte.

Serverseitiger Teil der Anwendung, der Logik, Diagnose-Checks und APIs bereitstellt. Hier: Spring Boot mit Java.

Web-Framework mit Fokus auf statisch optimierte, schnell ladende Seiten und selektive Interaktivität (Islands).

Reaktives UI-Framework, das Komponenten zur Build-Zeit in effizienten JavaScript-Code kompiliert. Balou Tools nutzt die Runes-API (v5).

Konzept, bei dem nur einzelne interaktive Komponenten („Inseln“) clientseitig JavaScript laden, der Rest bleibt statisches HTML.

Server-Side Rendering / Static Site Generation

SSR rendert Seiten zur Laufzeit auf dem Server, SSG erzeugt statische Seiten zur Build-Zeit – beides verbessert Ladezeit und SEO.

Java-Framework zur schnellen Entwicklung eigenständiger, produktionsreifer Backend-Anwendungen (hier Version 4.0.6).

Leichtgewichtige Threads aus Java 21+/25, die massenhaft blockierende I/O-Operationen effizient parallelisieren – ohne klassischen Thread-Pool-Engpass.

Representational State Transfer

Architekturstil für Web-APIs, der Ressourcen über standardisierte HTTP-Methoden (GET, POST etc.) anspricht.

Server-Sent Events

Technik, bei der der Server fortlaufend Daten an den Browser streamt – hier für die zeichenweise Ausgabe der KI-Antworten.

Vorgeschalteter Server (hier Nginx), der Anfragen entgegennimmt, TLS terminiert und an die Backend-Dienste weiterleitet.

HTTP-Header, mit denen ein Reverse Proxy die ursprüngliche Client-IP an das Backend weitergibt; nginx stellt sie über set_real_ip_from/real_ip_header wieder her (z. B. hinter Cloudflare).

Zwischenspeicherung von Ergebnissen zur Reduktion von Latenz und Kosten. Balou Tools nutzt Caffeine (lokal) und Redis (verteilt).

Sehr schnelle In-Memory-Cache-Bibliothek für Java-Anwendungen.

Schneller, verteilter In-Memory-Datenspeicher, hier als skalierbarer Cache eingesetzt (Port 6379).

Leistungsfähige relationale Open-Source-Datenbank; in Balou Tools zusätzlich als Vektordatenbank (pgvector) genutzt.

Begrenzung der Anfragen pro Zeiteinheit und Client zum Schutz vor Missbrauch und Überlastung.

Mandantenfähigkeit

Betriebsmodell, bei dem mehrere Kunden (Tenants/Workspaces) isoliert dieselbe Anwendung nutzen.

Zustandsloser Dienst, der keine Sitzungsdaten zwischen Anfragen speichert – erleichtert Skalierung und Ausfallsicherheit.

Zentraler, geschützter Speicher für Secrets. Anwendungen beziehen Zugangsdaten zur Laufzeit statt sie in .env-Dateien oder Code zu committen.

Internationalisierung

Vorbereitung einer Anwendung auf mehrere Sprachen und Regionen. Balou Tools nutzt lokalisierte Texte für Deutsch, Englisch und Französisch.

Automatisierte Prüfung auf fest codierte sichtbare Texte in Komponenten. Hilft, fehlende i18n-Keys und inkonsistente Übersetzungen früh zu finden.

Content-Management-Systeme wie WordPress erzeugen Seiten dynamisch und profitieren besonders von Cache, Bildoptimierung, Plugin-Aufräumen und sauberem Asset-Loading.

React-Framework für SSR/SSG, Routing und Optimierungen wie next/image, next/font und ISR. PageSpeed-Fixes unterscheiden sich je nach Server-/Client-Component-Anteil.

JavaScript Object Notation

Leichtgewichtiges, menschenlesbares Datenformat zum Austausch strukturierter Daten.

YAML Ain't Markup Language

Einrückungsbasiertes, gut lesbares Datenformat, häufig für Konfigurationsdateien verwendet.

Kodierung, die Binärdaten in einen ASCII-Text umwandelt, z. B. für die Einbettung in JSON oder URLs.

Regular Expression

Muster zur Suche und Prüfung von Zeichenketten. Der Regex-Tester bietet Match-Highlighting und Capture-Group-Tabelle.

Geklammerter Teil eines regulären Ausdrucks, dessen Treffer separat extrahiert werden kann.

Named Capture Group

Capture-Group mit eigenem Namen ((?<name>…)), deren Treffer über den Namen statt über den Index ausgelesen werden – lesbarer und robuster.

Bedingungen ohne eigenen Treffer (Assertions): Lookahead (?=…)/(?!…) prüft, was folgt, Lookbehind (?<=…)/(?<!…), was vorausgeht – ohne diese Zeichen zu konsumieren.

Verweis (\1 oder \k<name>) auf den bereits getroffenen Inhalt einer vorherigen Gruppe – z. B. um doppelte Wörter zu finden.

g i m s u y

Modifikatoren, die das Verhalten eines Musters ändern: global (g), ignore-case (i), multiline (m), dotAll (s), unicode (u) und sticky (y).

Universally Unique Identifier

128-Bit-Bezeichner, der praktisch eindeutig ist und ohne zentrale Vergabestelle erzeugt werden kann.

Vergleich zweier Texte zur Anzeige von Unterschieden. Balou Tools bietet zeilenbasierten und semantischen JSON-Diff.

Vergleich, der die Bedeutung (z. B. JSON-Struktur) berücksichtigt und Formatierung sowie Schlüsselreihenfolge ignoriert.

Formale Beschreibung der erlaubten Struktur eines JSON-Dokuments, gegen die validiert werden kann.

Kurzer Wert zur Erkennung von Datenfehlern; ein abweichender Wert zeigt eine Veränderung der Daten an.

Künstlich erzeugte Testdaten. Der Generator unterstützt u. a. de-CH-Lokalisierung und SQL-INSERT-Export.

Textbasierte Konfigurationsdatei für Umgebungsvariablen wie API-URLs, Feature-Flags oder lokale Entwicklungswerte. Sie sollte keine produktiven Secrets enthalten.

Kommentar am Ende einer .env-Zeile, typischerweise nach einem Leerzeichen und #. Bei quoted Values gehört # innerhalb der Quotes zum Wert, danach ist es Kommentar.

Konkrete, stack-spezifische Handlungsempfehlung, z. B. für WordPress/CMS, Next.js oder Astro, statt nur generischer Performance-Hinweise.

Datenschutz-Grundverordnung / Datenschutzgesetz

EU- (DSGVO) bzw. Schweizer (DSG) Regelwerke zum Schutz personenbezogener Daten, an denen sich Balou Tools orientiert.

Designprinzip, bei dem sensible Nutzerdaten möglichst gar nicht das Gerät verlassen – viele Tools laufen 100 % clientseitig.

Geheimer, serverseitiger Zusatzwert, der vor dem Hashen an Daten (z. B. IP-Adressen) angehängt wird, um sie zusätzlich abzusichern.

Verfahren, das IP-Adressen nicht im Klartext speichert, sondern (per HMAC-SHA256 mit Pepper) gehasht – datenschutzkonform fürs Rate Limiting.

Schwärzung

Automatisches Unkenntlichmachen sensibler Daten (Passwörter, API-Keys, JWTs) vor der Weitergabe an die KI-Pipeline.

Einwilligung

Aktive Zustimmung des Nutzers zur Datenverarbeitung, Voraussetzung für bestimmte Funktionen (z. B. Lead-/E-Mail-Features).

Eindeutige Kennung, die einem Fehler zugeordnet wird und dem Nutzer statt interner Detailmeldungen gezeigt wird – erleichtert das Debugging ohne Informationsleck.

Unbeabsichtigte Offenlegung sensibler Werte wie API-Keys, Tokens, Passwörter oder Private Keys – etwa durch Commits, Logs oder geteilte Konfigurationsdateien.