WoltLab Suite 5.4: Vor dem Update ist nach dem Update

    Zitat von TimWolla

    Aus einem einzelnen Satz innerhalb einer solchen Ankündigung zu schließen, dass dann ja wohl zwangsläufig die Online-Liste kaputt geht, ist … bemerkenswert. Mich hat da gar nicht so sehr dieser Fehlschluss gestört, sondern eher die Formulierung, weil diese entweder Inkompetenz oder Böswilligkeit unterstellt.

    Vielleicht war dies für dich missverständlich formuliert, dennoch war es als Frage formuliert. Ich würde mir wünschen das eure Ankündigungen etwas detaillierter würden, so das diese auch von einem Lein zu verstehen sind. Dann wären missverständliche Deutungen kaum mehr möglich. Entschuldige bitte wenn meine Nachfrage dich gestört oder irritiert hat. Danke das du trotzdem meine Fragen beantwortet hast, so das auch ich "Dumchen" das verstanden habe.

    Zitat von TimWolla

    Auch werde ich wohl nie verstehen, warum man sich über ein unerwartetes Verhalten („Benutzer sind dauerhaft online“) ärgert, das dann aber nur beiläufig auf Drittseiten erwähnt anstatt einfach mal einen Bug zu melden.

    Definiere doch einmal bitte die subjektive Empfindung "Ärgert" und "Störend"? Das, was mich etwas stört ist etwas anderes als das worüber ich mich ärgere. Und Letzteres ist keines Falls "Ärger".

    Aber so ganz Unbekannt ist das Problem nicht. Was ich noch finden konnte ist dieser Beitrag.

    Benutzer dauerhaft online - Wie ausloggen?

    Meines Wissens nach war das Problem aber schon beim WBB 3.0/3.1 bekannt. Und natürlich ist es doch auch kein Ding, wenn sich das Problem nicht als Fehler entpuppt. Wo ich dir ein wenig Recht geben muss ist schon, das ich den letzten Vorfall in meinem Forum vor 3 Wochen hätte melden sollen.

    Auch wenn sich deine Erklärung zu dem Umstand, das ein Benutzer sich länger als die eigentlich eingestellt Zeit in der Onlineliste befindet sehr plausibel scheint, so frage ich mich dennoch was bei einer "Aktivitätsüberwachung" dann überwacht wird? Könntest du - wenn es dir nicht zu viel Mühe macht einmal erklären was überwacht wird. Ich stelle mir da vielleicht etwas anderes vor als es in Wirklichkeit ist. Zum Beispiel denke ich - wenn ich mir die "Aktivitätsüberwachung" vorstelle, das damit das öffnen von Beiträgen/Themen (lesen), schreiben usw. mit gemeint ist. Ist das so, oder was wird da überwacht?

    Hallo,

    Zitat von Perikles

    Ich würde mir wünschen das eure Ankündigungen etwas detaillierter würden, so das diese auch von einem Lein zu verstehen sind.

    Derartige Ankündigungen sind kein Handbuch und sollen es auch nicht sein. Ziel des Ganzen ist es, eine repräsentative Übersicht über die Änderungen zu geben, ohne den Leser mit irrelevanten Details zu erschlagen, weil der Leser dann irgendwann mitten drin aussteigt. Der Laie interessiert sich nämlich nicht dafür, wie das genau funktioniert, sondern nur, dass es funktioniert. Um das „wie genau“ kümmern sich die Experten. Falls du mehr Details in einzelnen Punkten wünschst, dann wären die Kommentare unter dem Artikel der korrekte Ort, dort profitieren auch Kunden, die Drittseiten nicht besuchen, davon.

    Zitat von Perikles

    Definiere doch einmal bitte die subjektive Empfindung "Ärgert" und "Störend"? Das, was mich etwas stört ist etwas anderes als das worüber ich mich ärgere. Und Letzteres ist keines Falls "Ärger".

    Das Adjektiv halte ich an der Stelle für beliebig mit anderen negativen Adjektiven austauschbar. Wenn du magst, dann kannst du statt „ärgert“ auch „stört“einsetzen, es würde an dem was ich sagen möchte nichts ändern. Das eigentlich relevante war nämlich, dass etwaige Fehler nur dann behoben werden können, wenn diese auch gemeldet werden. Und das Melden erfolgt in expliziten, separaten Fehler-Themen und nicht versteckt in einem „Hilfe“-Thema oder gar auf Drittseiten. Nur Fehler in Fehler-Themen können sinnvoll getrackt werden.

    Zitat von Perikles

    Auch wenn sich deine Erklärung zu dem Umstand, das ein Benutzer sich länger als die eigentlich eingestellt Zeit in der Onlineliste befindet sehr plausibel scheint, so frage ich mich dennoch was bei einer "Aktivitätsüberwachung" dann überwacht wird? Könntest du - wenn es dir nicht zu viel Mühe macht einmal erklären was überwacht wird. Ich stelle mir da vielleicht etwas anderes vor als es in Wirklichkeit ist. Zum Beispiel denke ich - wenn ich mir die "Aktivitätsüberwachung" vorstelle, das damit das öffnen von Beiträgen/Themen (lesen), schreiben usw. mit gemeint ist. Ist das so, oder was wird da überwacht?

    Das Wort „Aktivitätsüberwachung“ musst du ggf. erklären. Meinst du damit schlicht das Aktualisieren der letzten Aktivität? Dann ist deine Frage ganz einfach damit zu beantworten, dass (nahezu) jede Anfrage an den Server die letzte Aktivität aktualisiert. Das kann der Aufruf der Startseite, das Aufrufen eines Themas, der bereits genannte Abruf der Benachrichtigungen, das Absenden eines Beitrags oder auch das Laden bzw. Senden von Nachrichten in einer Shoutbox sein.

    Was passiert eigentlich, wenn ich den PC 365 Tage, 24/ an habe, das WL-System in 9 von 10 Tab offen habe, dort aber die Wer ist Online Liste anzeigen lasse die sich alle 60 Sekunden aktualisiert? Dann werde ich wohl 365 Tage 24/7 angezeigt? Wen interessiert das denn? Niemanden, oder?


    Ich verstehe gerade nicht euren Streit hier! Muss man seitenlang aneinander vorbei reden? Manches ist offensichtlich auch von mir als Laie nicht zu verstehen!

    Zitat von TimWolla

    Meinst du damit schlicht das Aktualisieren der letzten Aktivität? Dann ist deine Frage ganz einfach damit zu beantworten, dass (nahezu) jede Anfrage an den Server die letzte Aktivität aktualisiert. Das kann der Aufruf der Startseite, das Aufrufen eines Themas, der bereits genannte Abruf der Benachrichtigungen, das Absenden eines Beitrags oder auch das Laden bzw. Senden von Nachrichten in einer Shoutbox sein.

    Danke, das wollte ich wissen.


    Zitat von TimWolla

    Nur Fehler in Fehler-Themen können sinnvoll getrackt werden.

    Alles klar.

    TimWolla beim Upgrade von 5.3 auf 5.4 kommt aktuell übrigens bei 35% ein Ihre Sitzung ist abgelaufen, bitte laden Sie die Seite neu.

    Ist es so schlau während der Installation am Session-Cookie bzw. SECRET_TOKEN rum zu spielen? :P

    #Edit:

    Um genau zu sein übrigens der Request zur Ausführung vom Script update_com.woltlab.wcf_5.4_session_4_drop_virtual.php.

    Hallo,

    Zitat von MysteryCode

    Ist es so schlau während der Installation am Session-Cookie bzw. SECRET_TOKEN rum zu spielen? :P

    Das ist unvermeidlich, weil das Cookieformat bzw. das Format des XSRF-Tokens zwischen 5.3 und 5.4 inkompatibel sind. Ich habe mittlerweile schon sicherlich ein Dutzend Testupgrades durchgeführt, bislang waren die immer erfolgreich.


    Ich sehe aber eine Möglichkeit, wie das ganze schief gehen kann: Nämlich genau dann wenn du ein gültiges XSRF-Token-Cookie hast, die Daten in der "Legacy-Sitzung" aber nicht übereinstimmen, dann wird nämlich das SECURITY_TOKEN im JavaScript nicht gehijacked (Check XSRF-Token Cookie against `t` parameter in update_com.woltlab.wcf_5.4_session_1_cookies.php · Issue #4052 · WoltLab/WCF (github.com)), aber ...

    Zitat von MysteryCode

    Um genau zu sein übrigens der Request zur Ausführung vom Script update_com.woltlab.wcf_5.4_session_4_drop_virtual.php.

    ... zu diesem Zeitpunkt ist das neue Session-SitzungHandling längst deployed. Es hätte dann eigentlich schon in diesem Schritt knallen müssen: WCF/package.xml at master · WoltLab/WCF (github.com). Deine Symptome sind für mich so jetzt leider nicht erklärbar.


    Hast du ein paar zusätzliche Informationen für mich? Gerne auch per PN, Ticket oder Issue.

    nvm, ich war einfach dumm und habe beim Packen mal wieder die options.inc.php übersehen, die im Repo vorhanden ist und dann kommt murks bei raus. :D

    Du warst leider zu schnell am Lesen, ich wollte meinen Beitrag gerade editieren. Wobei ich nicht ganz verstehe, warum es erst nach dem options-PIP knallt; da müssten ja eigentlich die Options frisch aus der DB gelesen und neu geschrieben werden, oder hab ich das falsch im Kopf?

    Hallo,


    (Tom: Verschieb unsere Beiträge gerne hier raus, wenn die zu sehr abschweifen)

    Zitat von MysteryCode

    nvm, ich war einfach dumm und habe beim Packen mal wieder die options.inc.php übersehen, die im Repo vorhanden ist und dann kommt murks bei raus. :D

    du meinst, dass du die versehentlich mit in das .tar-Archiv integriert hast? Dann finde ich aber zumindest spannend, dass es ein simples "Sitzung abgelaufen" und keine Exception anderer Art war.

    Zitat von MysteryCode

    Wobei ich nicht ganz verstehe, warum es erst nach dem options-PIP knallt; da müssten ja eigentlich die Options frisch aus der DB gelesen und neu geschrieben werden, oder hab ich das falsch im Kopf?

    Das bekommt ein vorsichtiges ja, aber im Paketsystem bin ich nicht im Detail drin.


    PS: Deine Templates sind veraltet und daher das JavaScript kaputt.

    Zitat von TimWolla

    du meinst, dass du die versehentlich mit in das .tar-Archiv integriert hast? Dann finde ich aber zumindest spannend, dass es ein simples "Sitzung abgelaufen" und keine Exception anderer Art war.

    Korrekt. Beim Neu-Laden kam dann der alt-bekannte Fatal Error bezüglich CAPTCHA-TYPE. Bis zum Neu-Laden ist aber nichts weiter passiert, als, dass der entsprechende Request entsprechend unauthorisiert zurück kam.

    Nachdem mir das options-PIP aufgefallen ist, hab ich die Datei aus dem Archiv gelöscht und es erneut probiert und dann ging es. Ich habe das tar-Archiv noch im Papierkorb, falls es dich/euch näher interessieren sollte.


    Zitat von TimWolla

    PS: Deine Templates sind veraltet und daher das JavaScript kaputt.

    Ich bin dabei. Hätte ich dich hier nicht geteasert, wäre es wohl niemandem aufgefallen. :D


    Übrigens ich weiß nicht, ob das an einer mangelnden Anpassung liegt oder sonst was, aber ich sehe das neue Passwort ein/ausblenden-Feld bei den Modulen oben drüber.


    Die Sicherheits-Sektion ist übrigens ganz schön geworden; uns ist bisher lediglich die Notation ins Auge gestochen; siehe https://community.woltlab.com/…ostID=1841934#post1841934

    Mit TypeScript seid ihr weiter gekommen, als ich erwartet hätte wie man sieht. :D

    Die Anzeige beim ACP-Login finde ich relativ unsinnige Zeitverschwendung; vielleicht vertue ich mich da auch einfach nicht oft genug. ^^


    Übrigens: Wäre es möglich die OTP-Mail erst zu verschicken, wenn sie die einzige Option ist oder man explizit auf den Tab klickt? JayOnRails meinte es wird so oder so eine Mail verschickt; ich hatte leider nicht genau darauf geachtet. So könnte man den Mailserver entlasten und Spam bei voll erhaltener Funktionsfähigkeit vermeiden.

    Ah, ich sehe gerade ich habe keine zwei Mails bekommen, scheint als habt ihr das eh schon so gemacht.


    WebAuthn steht mir leider ja nicht zur Verfügung. ;)

    Hallo,

    Zitat von MysteryCode

    Ich habe das tar-Archiv noch im Papierkorb, falls es dich/euch näher interessieren sollte.

    ja, gern. Schaden kann es nicht.

    Zitat von MysteryCode

    Übrigens ich weiß nicht, ob das an einer mangelnden Anpassung liegt oder sonst was, aber ich sehe das neue Passwort ein/ausblenden-Feld bei den Modulen oben drüber.

    https://github.com/WoltLab/WCF/issues/4040

    Zitat von MysteryCode

    Die Sicherheits-Sektion ist übrigens ganz schön geworden; uns ist bisher lediglich die Notation ins Auge gestochen; siehe https://community.woltlab.com/…ostID=1841934#post1841934

    Verdammt, jetzt hast du mich in das Thema gezwungen, sodass ich drauf antworten musste, bevor ich es morgen vergesse :D. Wer ist eigentlich "uns"?

    Zitat von MysteryCode

    Mit TypeScript seid ihr weiter gekommen, als ich erwartet hätte wie man sieht. :D

    Was hast du denn erwartet (bzw.: hast du die Erwartungen irgendwo zuvor mitgeteilt)?

    Zitat von MysteryCode

    Die Anzeige beim ACP-Login finde ich relativ unsinnige Zeitverschwendung; vielleicht vertue ich mich da auch einfach nicht oft genug. ^^

    Bezieht sich das auf die Re-Authentifizierung? Das hatte tiefgreifendere (UX-)Gründe, siehe Punkt (2) hier: Merge Frontend and ACP sessions by TimWolla · Pull Request #3858 · WoltLab/WCF (github.com)

    Zitat von MysteryCode

    Übrigens: Wäre es möglich die OTP-Mail erst zu verschicken, wenn sie die einzige Option ist oder man explizit auf den Tab klickt? jacboy meinte es wird so oder so eine Mail verschickt; ich hatte leider nicht genau darauf geachtet. So könnte man den Mailserver entlasten und Spam bei voll erhaltener Funktionsfähigkeit vermeiden.

    Das bezieht sich auf MFA durch E-Mail-Bestätigung? Die E-Mail geht genau dann raus, wenn auch das Formular gerendert wird: WCF/EmailMultifactorMethod.class.php at master · WoltLab/WCF (github.com)