WoltLab Suite 5.4: Vor dem Update ist nach dem Update

    • Teambeitrag

    Und weiter geht es, die nächste Version trägt die Nummer 5.4 (ich würde Jahreszahlen ja immer noch bevorzugen :eyes:) und es gibt einige interessante Neuerungen:


    Neuerungen in WoltLab Suite 5.4: Sessions und Mehrfaktor-Authentifizierung


    Der größte Umbau betrifft wohl das Sessionsystem. Ich bin damit eigentlich ganz zufrieden so wie es ist, mal sehen das 5.4 da besser macht. Die Mehrfaktor-Authentifizierung ist ein großer Schritt in Richtung Sicherheit. Ich will allerdings nicht hoffen das nun jedes kleine Nischenforum darauf setzt :eyes:


    Das mit dem TOTP-Verfahren, WebAuthn und den Codes hab ich jetzt nicht verstanden, muß ich mir mal in Ruhe ansehen.


    Bin mal gespannt was es für weitere Neuerungen geben wird 8o


    Was haltet ihr von den Sicherheitsfeatures in einem Forum? Braucht man das unbedingt?

    Deine Anfrage wurde nicht beantwortet? Dann bitte einfach noch mal kurz im Thema nachfragen.


    Mein Blog: TwentyMag <- Lesen, Teilen, Liken, Kommentieren, Abonnieren. Ihr wisst bescheid, was labere ich hier groß rum :eyes:

    Gefällt mir 3

    "Die Experten" werden jubeln, was auch nicht anders zu erwarten wäre.


    Zitat von WoltLab

    Über einen neuen Bereich im Kontrollzentrum können Benutzer die Liste der aktiven Sitzungen ihres Kontos einsehen und bei Bedarf einzelne Sitzungen beenden.


    Für mich liest sich das so, als wenn alle Sitzungen immer aktiv sind und eine relativ korrekte Anzeige in der "Wer ist Online" und ggf. "Wer war Online" damit nicht mehr gegeben ist. Lustig, wenn dann keiner sich "Abmeldet" und dauerhaft als "Online" angezeigt würde. Ob man das so möchte? Naja, abwarten wie das dann wirklich wird.

    • Teambeitrag

    Ne glaube ich nicht, aktuell bist du ja auch nicht dauernd online, warum sollte sich das ändern? Ich denke eher das es dann sowas wie zwei Cookies gibt, ein mal für Mobil und ein mal für Desktop. Und mit der Funktion kannst du die dann gezielt löschen so wie du es jetzt ja auch schon im APC machen kannst.


    Scheint kein Diskussionsthema mehr bei WoltLab zu geben?

    Hallo,

    Zitat von Tom

    Ich will allerdings nicht hoffen das nun jedes kleine Nischenforum darauf setzt

    Die Mehrfaktor-Authentifizierung ist Kernfunktionalität und kann als Ganzes nicht deaktiviert werden. Es steht dem Benutzer aber am Ende natürlich frei die Mehrfaktor-Authentifizierung nach eigenem Gutdünken zu aktivieren. Wenn er keine Lust darauf hat, dann kommt er damit auch nicht in Berührung.

    Zitat von Tom

    Was haltet ihr von den Sicherheitsfeatures in einem Forum? Braucht man das unbedingt?

    Mit der WoltLab Suite werden ja nicht ausschließlich Foren betrieben. cls-design hat ja selbst auch einen Shop integriert. Für das Strickforum von Tante Lieselotte ist die Mehrfaktor-Authentifizierung vermutlich weniger interessant, ganz anders sieht es aber womöglich im Mitarbeiter- oder Kunden-Forum eines Unternehmens aus.


    Und zumindest die E-Mail-Bestätigung ist auch für Laien sehr einfach ohne Mehraufwand zu verwenden, da keine separaten Apps oder Sicherheitsschlüssel benötigt werden. Gleichwohl kann die Sicherheit eines Benutzerkontos bereits damit erhöht werden, weil Menschen typischerweise zumindest beim E-Mail-Konto ein wenig vorsichtiger mit ihren Daten sind.

    Zitat von Perikles

    Für mich liest sich das so, als wenn alle Sitzungen immer aktiv sind und eine relativ korrekte Anzeige in der "Wer ist Online" und ggf. "Wer war Online" damit nicht mehr gegeben ist. Lustig, wenn dann keiner sich "Abmeldet" und dauerhaft als "Online" angezeigt würde. Ob man das so möchte? Naja, abwarten wie das dann wirklich wird.

    Glaubst du wirklich, dass das im Rahmen der Entwicklung nicht berücksichtigt wurde? Die Online-Liste ist von den tatsächlichen Sitzungen entkoppelt und verhält sich wie gewohnt. Der einzige Unterschied ist, dass die maximale Anzeigedauer in der Online-Liste jetzt fest auf 2 Stunden nach der letzten Aktivität beschränkt ist, aber das dürfte in der Praxis wohl eher weniger relevant sein, da die meisten Betreiber den Wert auf 15 Minuten konfiguriert haben dürften.

    Zitat von Tom

    Scheint kein Diskussionsthema mehr bei WoltLab zu geben?

    Du kannst die Kommentarfunktion am Artikel nutzen. Unabhängig davon hindert dich natürlich niemand daran selbstständig ein Thema im Feedback-Bereich zu eröffnen :)

    • Teambeitrag

    Ja, aber ich dränge mich da lieber nicht auf 👀

    Zitat von TimWolla

    Und zumindest die E-Mail-Bestätigung ist auch für Laien sehr einfach ohne Mehraufwand zu verwenden…

    Das stimmt. Mehr Sicherheit ist eigentlich auch nie verkehrt. Es ist allerdings auch immer ein zweischneidiges Schwert, wenn jetzt wirklich Gott und die Welt darauf setzt wird man irgendwo auch desensibilisiert und achtet nicht mehr richtig darauf wenn eine Mail eintrifft was man da anklickt. Ich ertappe mich zumindest bei anderen Seiten das ich immer öfters einfach ohne zu lesen bestätige und mich dann jedes mal dann darüber ärgere 🤬


    Sicherheit ist auf jeden Fall ein Thema das mich auch wieder zu einem Update verführen könnte 🤔 Muß ich mir dann mal in der Praxis ansehen.

    Hallo,

    Zitat von Tom

    Es ist allerdings auch immer ein zweischneidiges Schwert, wenn jetzt wirklich Gott und die Welt darauf setzt wird man irgendwo auch desensibilisiert und achtet nicht mehr richtig darauf wenn eine Mail eintrifft was man da anklickt.

    genau aus diesem Grund enthält die E-Mail ganz bewusst keine (Bestätigungs-)Links. Ist auch auf dem Screenshot im Artikel zu sehen: https://www.woltlab.com/articl…r%C3%A4tebest%C3%A4tigung.


    Es muss ein Code aus der E-Mail in ein Eingabefeld überführt werden. Die E-Mail ist dabei so aufgebaut, dass das möglichst bequem möglich ist. Beispielsweise taucht der Code direkt zu Beginn des Betreffs auf, damit man ihn aus einer Push-Benachrichtigung direkt ablesen kann.

    • Teambeitrag

    Oh, da siehste mal wie ich das lese und gucke, aber Hauptsache mitreden wollen 😅 Das mit dem Code gab es in der Form ja schon mal bei Burning Board 4, da waren die Leute ja nicht so begeistert, ich bin gespannt was sich in der Zwischenzeit getan hat und ob die Akzeptanz mittlerweile gestiegen ist. Ich habe das in der Form bisher nur bei einem Trader, habe aber kein Problem damit, funktioniert ja soweit.