Blödsinn. Als Plugin geht sowas aber als Integration nicht . Mhh sehr komisch .
Naja bin auch nur nen Noob., 
Liebe Grüße
WoltLab Suite 5.4: Vor dem Update ist nach dem Update
-
-
Glaubst du wirklich, dass das im Rahmen der Entwicklung nicht berücksichtigt wurde? Die Online-Liste ist von den tatsächlichen Sitzungen entkoppelt und verhält sich wie gewohnt. Der einzige Unterschied ist, dass die maximale Anzeigedauer in der Online-Liste jetzt fest auf 2 Stunden nach der letzten Aktivität beschränkt ist, aber das dürfte in der Praxis wohl eher weniger relevant sein, da die meisten Betreiber den Wert auf 15 Minuten konfiguriert haben dürften.
Es geht nicht darum was ich glaube Tim, es geht viel mehr darum das es in fast allen Version schon oft genug vorgekommen ist, das Benutzer über mehrere Tage und sogar Wochen in der "Wer ist Online" Tag und Nacht als Online angezeigt wurden. Ich wäre schon Froh und Dankbar wenn dies der Vergangenheit angehören würde. Wenn ich aber lese, das es den Benutzer immer mehr Dinge überlassen werden, die sonst vom System geregelt werden, ist ein gesundes Misstrauen schon berechtigt, oder? In dieser durch aus wichtigen Neuerung finde ich es sehr Gut das der Benutzer die Kontrolle darüber erhalten wird. Meine Zweifel sind nur dahingehend, ob der Benutzer wie Angesprochen, dauerhaft in der WWO bzw. WIO stehen bleibt oder korrekt nach der eingestellt Zeit abgemeldet und aus den Listen verschwindet. Du darfst mir glauben, das ich das sehr genau beobachten werde und euch auf die Finger haue wenn sich meine Befürchtung gegensätzlich deiner Aussage erfüllt.
die maximale Anzeigedauer in der Online-Liste jetzt fest auf 2 Stunden nach der letzten Aktivität beschränkt
Warum wird das auf 2 Stunden hoch geschraubt? Wenn die letzte Aktivität überwacht wird, warum sind 2 Stunden akzeptabel?
Ein Benutzer loggt sich in das Forum ein, liest einen Beitrag und verlässt die Seite nach 10 Minuten wieder. Das heißt das der Benutzer noch 1 Stunde und 50 Minuten in der WIO-Liste angezeigt würde. Korrekt wäre die Zeitdarstellung dann allerdings nicht.
-
Hallo,
hier möchte ich gerne auf diesen Beitrag von Alexander verweisen: https://community.woltlab.com/…ostID=1825371#post1825371.
Ich hoffe ihr beachtet auch den Beitrag unter dem verlinkten
#Nachtdesign
Also ich brauche es nicht, habe ja selbst ein paar. Aber die Woltlab Seite könnte echt mal was dunkles vertragen
-
Was haltet ihr von den Sicherheitsfeatures in einem Forum? Braucht man das unbedingt?
Die Neuerung mit 2FA sollte hoffentlich nicht nur das einzige für 5.4 sein.
Ich persönlich denke das für kleine Foren, oder Foren ohne relevate Daten die Option komplett deaktiviert werden kann. Ich hoffe sie bauen eine Deaktivierung mit ein.
Ich denke außerdem, dass es wieder eine Fehlerquelle mehr ist und außerdem unbedarfte User da schnell an ihre Grenzen kommen und die Admin somit mehr Arbeit haben.
Aber schauen wir mal wie es dann in der Praxis wirklich ist und hoffenlich funktionieren deine Stile dann noch.
-
Hallo,
Blödsinn. Als Plugin geht sowas aber als Integration nicht . Mhh sehr komisch .
Keine Sorge, du musst mir nicht erklären, dass sowas als Plugin umgesetzt werden kann. Ich hab damals™ schließlich selbst das erste Mehrfaktor-Plugin für das (damalige) WoltLab Community Framework entwickelt: https://pluginstore.woltlab.co…2-wege-authentifizierung/. Genau aus diesem Grund weiß ich auch genau, warum ich das Plugin nicht weiter entwickelt bzw. nicht weiter angepasst habe: Weil sowohl die Benutzerexperience, als auch die Sicherheit zu kurz gekommen ist. Genau die Nachteile, die ich damals festgestellt habe, plagen auch das Plugin von Hanashi.
Die wohl signifikanteste Einschränkung ist, dass man bei beiden Plugins technisch gesehen schon eingeloggt war und das Plugin anschließend versucht hat den Zugriff auf die Seite bestmöglich zu verhindern. Dadurch, dass man aber schon eingeloggt ist, werden bereits Informationen über den Benutzer „geleaked“. Beispielsweise ist die Anzahl der ungelesenen Benachrichtigungen und Konversationen sichtbar und auch etwaige andere Benutzerhinweise werden womöglich schon angezeigt.
Zusätzlich ist es, durch die Tatsache, dass die Sitzungen ablaufen so, dass man die Sitzung nicht nutzen kann, um den Mehrfaktor-Status zu speichern. Stattdessen muss auf ein separates Cookie gesetzt werden. Wenn dieses Cookie „abhanden“ kommt, dann kann ein Angreifer die Mehrfaktor-Authentifizierung umgehen, bis das Cookie abläuft. Deswegen musste man sich bei meinem Plugin regelmäßig erneut mit dem zweiten Faktor authentifizieren, um das Cookie zu verlängern. Das ist auf Dauer unglaublich lästig und führt eher dazu, dass der Benutzer die Mehrfaktor-Authentifizierung wieder deaktiviert.
Insgesamt bieten beide Plugins also einen gewissen Basisschutz mit einer ganz schrecklichen Benutzererfahrung. Der Anspruch, den ich an eine direkt integrierte Funktion stellen würde, ist aber ein anderer. Und um diesem Anspruch gerecht zu werden, waren diese signifikanten Umbauten an der technischen Basis notwendig.
Ich hab im Januar 2020 im Smalltalk-Thema geschätzt, dass man damit einen Entwickler einen Monat lang beschäftigt: https://community.woltlab.com/…ostID=1780289#post1780289. Tatsächlich hat es genau einen Monat von Erstellung des „Pull-Requests“ für die Mehrfaktor-Authentifzierung bis zu dessen „Merge“ gedauert: https://github.com/WoltLab/WCF/pull/3711. Die vorbereitenden Arbeiten und die anschließenden Korrekturen sind da noch nicht inbegriffen.
Es geht nicht darum was ich glaube Tim, es geht viel mehr darum das es in fast allen Version schon oft genug vorgekommen ist, das Benutzer über mehrere Tage und sogar Wochen in der "Wer ist Online" Tag und Nacht als Online angezeigt wurden. Ich wäre schon Froh und Dankbar wenn dies der Vergangenheit angehören würde.
Aus einem einzelnen Satz innerhalb einer solchen Ankündigung zu schließen, dass dann ja wohl zwangsläufig die Online-Liste kaputt geht, ist … bemerkenswert. Mich hat da gar nicht so sehr dieser Fehlschluss gestört, sondern eher die Formulierung, weil diese entweder Inkompetenz oder Böswilligkeit unterstellt. Gleiches war damals zu den Änderungen bezüglich der automatisch benannten Stilordner zu bemerken (Der Chat-Ersatz-Plauder-Thread). Nachdem man sich das im Detail angeschaut hat, wurde festgestellt, dass das ja doch nicht alles so schlimm ist, wie befürchtet.
Auch werde ich wohl nie verstehen, warum man sich über ein unerwartetes Verhalten („Benutzer sind dauerhaft online“) ärgert, das dann aber nur beiläufig auf Drittseiten erwähnt anstatt einfach mal einen Bug zu melden. Das schlimmste was passieren kann ist, dass das geprüft wird und es sich am Ende als „kein Fehler“ herausstellt. Bezüglich des erwähnten Verhaltens zur Online-Liste kann ich dir allerdings direkt sagen, dass das von dir beobachtete Verhalten vermutlich wirklich kein Fehler ist. Es gibt Menschen die ihren Computer Tag- und Nacht laufen lassen. Ein im Hintergrund geöffneter Browser-Tab mit WoltLab Suite sendet regelmäßig Anfragen an den Server, um beispielsweise auf neue Benachrichtigungen zu prüfen und den Benutzer darüber zu informieren. Solange das passiert, ist der Benutzer technisch auf der Seite aktiv und wird entsprechend auch in der Online-Liste angezeigt. Daran wird sich auch zukünftig nichts ändern.
Die Anzeige in der Online-Liste ist übrigens bereits jetzt von der tatsächlichen Sitzungsdauer entkoppelt. Online ist man standardmäßig 15 Minuten nach der letzten Aktivität, die Sitzungen leben standardmäßig aber 30 Minuten nach letzter Aktivität. Zukünftig sind's für registrierte Benutzer halt nicht 30 Minuten, sondern 2 Monate. Das ist auch alles kein Geheimnis, sondern so auf GitHub dokumentiert
Wenn ich aber lese, das es den Benutzer immer mehr Dinge überlassen werden, die sonst vom System geregelt werden, ist ein gesundes Misstrauen schon berechtigt, oder?
Das Misstrauen sehe ich an dieser Stelle, wie oberhalb erklärt, nicht als berechtigt an. Die Sitzungen werden übrigens auch weiterhin automatisch verwaltet. Der Benutzer hat lediglich die optionale Möglichkeit die Sitzung zuverlässig frühzeitig zu beenden (etwa weil der Benutzer vergessen hat, sich im Internetcafé oder beim besten Kumpel abzumelden).
Warum wird das auf 2 Stunden hoch geschraubt? Wenn die letzte Aktivität überwacht wird, warum sind 2 Stunden akzeptabel?
Ich hatte gehofft, dass die Formulierung ausreichend präzise ist: „Maximal“ und „beschränkt“ bedeutet, dass der Administrator den Wert technisch nicht auf mehr als 2 Stunden konfigurieren kann (vorher: 24 Stunden). Wenn du möchtest, dass Benutzer lediglich 15 Minuten nach der letzten Aktivität als Online angezeigt werden, dann ist das weiterhin möglich, weil 15 Minuten weniger als 2 Stunden sind. Eine Online-Anzeige von 3 Stunden nach letzter Aktivität geht im Umkehrschluss aber nicht.
#Nachtdesign
https://community.woltlab.com/…f%C3%BCr-dark-light-mode/
Ich persönlich denke das für kleine Foren, oder Foren ohne relevate Daten die Option komplett deaktiviert werden kann. Ich hoffe sie bauen eine Deaktivierung mit ein.
Ich denke außerdem, dass es wieder eine Fehlerquelle mehr ist und außerdem unbedarfte User da schnell an ihre Grenzen kommen und die Admin somit mehr Arbeit haben.
Das habe ich zuvor schon beantwortet.
ich kann mir nicht vorstellen das da was kommt das die Stile komplett unbrauchbar macht.
Ich auch nicht. Man sieht auf den Screenshots ja auch, dass das alles wie gehabt aussieht
-
TimWolla ja das Thema kenne ich, vor einem Jahr auf geplant gesetzt.
Und davor hat Alex das geschrieben
Stil-Deklarationen für Dark/Light-Mode
Das es dann mal in das WSC kommt ist schön und hat auch Zeit.
Aber ich meine die WoltLab Webseite, morgens um 5.30 Uhr beim Aufstehen kann man eure Seite nur mit Sonnenbrille betrachten
Bietet doch unter Profil Allgemein ein zweites Dunkles Design zur Auswahl an, ihr Sitzt doch an der Quelle
https://pluginstore.woltlab.co…ry-file-list/1002-dunkel/
-
Hallo,
Ach, so. Nein, so einfach geht das nicht
Die WoltLab-Webseite soll schlussendlich auch repräsentativ für die angebotenen Produkte sein, ein Stil aus dem Plugin-Store passt da nicht so Recht ins Konzept. Am Ende bin ich für alles was mit Gestaltung zu tun hat aber auch der falsche Ansprechpartner. In der Thematik habe ich zwei linke Hände und so richtig Spaß macht es mir auch nicht 
-
Das Misstrauen sehe ich an dieser Stelle, wie oberhalb erklärt, nicht als berechtigt an. Die Sitzungen werden übrigens auch weiterhin automatisch verwaltet. Der Benutzer hat lediglich die optionale Möglichkeit die Sitzung zuverlässig frühzeitig zu beenden (etwa weil der Benutzer vergessen hat, sich im Internetcafé oder beim besten Kumpel abzumelden).
Ich sehe es eher als Vorteil, wenn WL immer mehr den mündigen selbstverantwortlich handelnden Benutzer in den Vordergrund stellt! Indirekt forder und fördert WL damit ja den 08/15 Nutzer. Wirklich stören kann das ja nur den kleinen Diktator als Foren Admin.
-
