Bronies.de Verbesserungsvorschläge

[Rapti]

Im Ernst, welcher Hacker ist an so einem Monsteraufwand interessiert, um ein Konto in einem Forum über bunte Pferde zu knacken? Hier hast du doch echt keine sensiblen oder wertvollen Informationen und wenn doch, dann sind die eh öffentlich in irgendeinem Beitrag einsehbar.
Da ist es meiner Meinung nach auch komplett überflüssig, sich explizit auszuloggen, wenn man in einem fremden Netzwerk war, solange man ein eigenes Gerät benutzt hat.

[404compliant]

(09.06.2015)Rapti schrieb:  Im Ernst, welcher Hacker ist an so einem Monsteraufwand interessiert, um ein Konto in einem Forum über bunte Pferde zu knacken?

Keiner, selbst wenn es ein Moderatoren- oder Admin-Account ist. Genauso wenig wäre jemand daran interessiert, ein Forum über bunte Pferde per DDoS anzugreifen. Oh, moment...

Und sich auf einem Meetup im WLAN auf die Lauer zu legen, ist nicht schwer. Muss nicht mal ein unverschlüsseltes WLAN sein, reicht, wenn man den Schlüssel auch kennt. Von daher hätte ich beim Team eigentlich am ehesten Interesse dafür erwartet, als User ist es sicher nicht ganz so wichtig. Auch wenn Identitäts-Diebstahl kein Kavaliers-Delikt ist, und man den Ruf von jemanden damit schwer schaden kann.

[elitecat]

(14.03.2015)JP Hyper schrieb:  Kann es nicht möglich sein, dass seine IP oder seine E-Mail Adresse von jemand anderem genutzt wurde und deswegen ständig gebannt wird?  

Das könnte bei mobile sticks der fall sein. ich nutze einen um ins netz zu kommen habe jedes mal eine andere ip wenn jemand auch ein stick nutzt wie ich könnte er auch mal meine alte ip haben . ich habe auch gehört das mobile anbieter gerne mal wleche doppelt und dreifach mit einer ip im net surften lassen

[Yavos]

(09.06.2015)404compliant schrieb:  als User ist es sicher nicht ganz so wichtig.

Ich möchte mal anmerken, dass es durchaus auch User geben soll, die die selbe Name-Passwort-Kombination an mehreren Stellen nutzen und das durchaus auch auf Seiten, wo man mehr Informationen oder sonstiges herbekommen kann.

Im Cookie wird zwar nur die Session ID übertragen, aber das Passwort wird, wie uns bereits mitgeteilt wurde, ja auch unverschlüsselt übertragen...

[Evenprime]

(09.06.2015)404compliant schrieb:  

(09.06.2015)Rapti schrieb:  Im Ernst, welcher Hacker ist an so einem Monsteraufwand interessiert, um ein Konto in einem Forum über bunte Pferde zu knacken?

Keiner, selbst wenn es ein Moderatoren- oder Admin-Account ist. Genauso wenig wäre jemand daran interessiert, ein Forum über bunte Pferde per DDoS anzugreifen. Oh, moment...

Und sich auf einem Meetup im WLAN auf die Lauer zu legen, ist nicht schwer. Muss nicht mal ein unverschlüsseltes WLAN sein, reicht, wenn man den Schlüssel auch kennt. Von daher hätte ich beim Team eigentlich am ehesten Interesse dafür erwartet, als User ist es sicher nicht ganz so wichtig. Auch wenn Identitäts-Diebstahl kein Kavaliers-Delikt ist, und man den Ruf von jemanden damit schwer schaden kann.

Interesse besteht schon, zumindest bei mir. Aber StartSSL ist nunmal keine Alternative derzeit, da weder mutlidomain noch wildcard Zertifikate dort kostenlos ist. Und Support für mehrere einzelne Zertifikate unter der selben IP ist nicht bei allen Endnutzern gegeben (möchte gar nicht wissen, wieviele noch mit Windows XP oder älteren Mobilgeräten am Weg sind, welche das einfach nicht können). Einige würden dann einfach nicht mehr ins Forum kommen können, was natürlich nicht optimal ist.

Letsencrypt verspricht noch dieses Jahr sowohl Wildcard als auch multidomain Zertifikate kostenlos anzubieten. Mit denen wäre dann einiges an zu erwartenden technischen Problemen automatisch wegfallen. Wenn der Service dann tatsächlich etwas taugt, werde ich mich bemühen, das Forum noch dieses Jahr auf https zu migireren. Dann aber auch direkt verpflichtend, weil optional ist das ganze nicht sinnvoll, insbesondere weil nicht jeder ständig auf die Adressleiste schaut, ob der letzte Klick auf irgendeinen Link im Forum ihn nicht doch wieder auf eine http-Seite geschickt hat. Oder irgendein Suchergebnis von Google, oder ...

Und spätestens dann gibt es auch keinen Grund mehr Rücksicht zu nehmen auf die Smilie Sidebar usw, denn die Zertifikate von Letsencrypt lassen sich verdammt leicht erstellen und einbinden, selbst wenn man nur geringe Kontrolle über die Inhalte der eigenen Domain hat (im Gegensatz zu der umständlichen Prozedur bei StartSSL, die ich schonmal versucht hatte auszuführen und dann nach 3 Stunden aufgegeben habe, weil die von der Seite ausgestellten Zertifikate von der Seite selbst als ungültig bezeichnet wurden ...)

[404compliant]

(09.06.2015)Yavos schrieb:  Ich möchte mal anmerken, dass es durchaus auch User geben soll, die die selbe Name-Passwort-Kombination an mehreren Stellen nutzen und das durchaus auch auf Seiten, wo man mehr Informationen oder sonstiges herbekommen kann.

Generell eine dumme Idee, aber dieses Problem kann immerhin jeder selbst beheben. Mit einem Passwort-Manager ist das sogar noch halbwegs bequem zu handhaben.

[mrx1983]

(10.06.2015)404compliant schrieb:  

(09.06.2015)Yavos schrieb:  Ich möchte mal anmerken, dass es durchaus auch User geben soll, die die selbe Name-Passwort-Kombination an mehreren Stellen nutzen und das durchaus auch auf Seiten, wo man mehr Informationen oder sonstiges herbekommen kann.

Generell eine dumme Idee, aber dieses Problem kann immerhin jeder selbst beheben. Mit einem Passwort-Manager ist das sogar noch halbwegs bequem zu handhaben.

was auch gut ist, ist so ein extra buechlein, wo man sowas notiert.
hat den vorteil das es nicht so leicht durch datencrash etc. verloren geht.

[Rapti]

Dafür kann so ein Büchlein von jedem geöffnet werden, der es in die Finger bekommt. Bei einem Passwort-Manager gibt es immer noch ein Master-Passwort.

[Whitey]

Ich fände es gut, wenn die Regel über Werbethreads etwas mehr durchgesetzt würde. Es muss imo nicht extra Threads geben wo Leute ihre Livestreams von Spiel XY oder ihren Youtube Account anpreisen.

[Flutterguy96]

Kann sein, dass ich was überlesen hab und das Thema schon dran war... aber ginge es, dass ihr versucht Umfragen von den Erstellern löschbar zu machen? Ich nutze die immer um zu gucken wer zu meinen Treffen kommt und nach diesen Treffen nutzen die dann wenig.... Evtl. wären auch mehrere umfragen parallel geil.

Wär so das einzige manko was mir bisher auffiel.

[MaSc]

Das wird immer und immer wieder vorgeschlagen. Und jedesmal lautet die Antwort gleich: Oftmals haben die Umfragen repräsentativen Charakter. Da der Ersteller ansonsten eventuell unliebsame Ergebnisse manipulieren könnte, können Umfragen nur von Mods editiert oder gelöscht werden. Du kannst dich also jeweils an den Mod deines Vertrauens wenden, wenn du etwas geändert haben möchtest.

[Flutterguy96]

Mache ich ja, auf dauer ist es nur etwas umständlich und sollte ein Mod mal ausfallen wäre es auch organisatorisch ein Problem. Gäbe es alternativen wo ich etwas selbstständiger wäre, ohne, dass jeder extra ne neue antwort posten muss?

[Blue Sparkle]

Außer Mods gibt es ja noch Supermods und Administratoren, die das ebenfalls machen könnte. Also insgesamt 9 Personen, die du fragen kannst. Davon sollte eigentlich immer einer online sein.

[Flutterguy96]

Zwar nicht direkt selbstständigkeit... aber immerhin beruhigend, irgendwie.

[Evenprime]

(14.06.2015)Flutterguy96 schrieb:  Mache ich ja, auf dauer ist es nur etwas umständlich und sollte ein Mod mal ausfallen wäre es auch organisatorisch ein Problem. Gäbe es alternativen wo ich etwas selbstständiger wäre, ohne, dass jeder extra ne neue antwort posten muss?

Alternative zum Anschreiben eines bestimmten Mods ist auch das Melden des Startbeitrags des Threads und als Begründung "Sonstiges" mit Text z.b. "Bitte Umfrage entfernen" möglich. Da hat man den Vorteil, dass alle Mods das sehen und wohl der erstbeste Mod der in dem Bereich Berechtigungen hat (oder S-Mod oder Admin) dann das erledigt.

[Flutterguy96]

(14.06.2015)Evenprime schrieb:  Alternative zum Anschreiben eines bestimmten Mods ist auch das Melden des Startbeitrags des Threads und als Begründung "Sonstiges" mit Text z.b. "Bitte Umfrage entfernen" möglich. Da hat man den Vorteil, dass alle Mods das sehen und wohl der erstbeste Mod der in dem Bereich Berechtigungen hat (oder S-Mod oder Admin) dann das erledigt.

Mir gehts eher darum sowas machen zu können ohne euch allen auf den wecker gehen zu müssen. Ich hab auch mal in nem blog was gemacht wo die rechte ähnlich strickt verteilt waren, am ende hat uns das aber viel zeit gekostet, weshalb ich immer bauchschmerzen hab wenn ich mit allen weh-wehchen zu nem mod muss.... Wenn umfragen zu manipulieren nicht geht weil da unfug möglich ist, was spräche denn gegen parallele umfragen?

[Blue Sparkle]

Also ich wurde in den 2,5 Jahren als Mod und Admin vielleicht zwei dutzend Mal wegen einer Umfrage angeschrieben. Das ist wirklich das geringste Problem im Moderatorenalltag^^

[Evenprime]

(14.06.2015)Flutterguy96 schrieb:  Wenn umfragen zu manipulieren nicht geht weil da unfug möglich ist, was spräche denn gegen parallele umfragen?

Eine Umfrage sowie Antworten auf Umfragen sind technisch direkt an einen Thread gekoppelt. Für mehrere Umfragen in einem einzelnen Thread müsste man das entsprechend selbst programmieren, da das bestehende System einfach nicht darauf ausgelegt ist.

Eventuell wäre es in dem Fall für dich interessant, Umfragen und Abstimmungen z.b. in Doodles, Google Docs oder vergleichbares auszulagern.

[Flutterguy96]

(14.06.2015)Evenprime schrieb:  Eine Umfrage sowie Antworten auf Umfragen sind technisch direkt an einen Thread gekoppelt. Für mehrere Umfragen in einem einzelnen Thread müsste man das entsprechend selbst programmieren, da das bestehende System einfach nicht darauf ausgelegt ist.

Eventuell wäre es in dem Fall für dich interessant, Umfragen und Abstimmungen z.b. in Doodles, Google Docs oder vergleichbares auszulagern.

Doodles?

[Evenprime]

Ja.

Ein kostenloser Service für das schnelle Erstellen von Umfragen, eigentlich eher für Terminabstimmungen gedacht, aber kann auch leicht für beliebige Abstimmungen genutzt werden:

Beispiel: http://doodle.com/uh33bz5eynn5fkbn

Das hat natürlich den Nachteil, dass schwerer nachvollziehbar/nachweisbar ist, ob die abstimmenden Leute wirklich die sind, die sie behaupten. Aber das würde man natürlich bei jedem derartigen externen Service haben.