ThWboard Support-Forum (Archiv)

Ort: / Boardübersicht / Announcements / Thwboard Beta 2.83


Seite 1 von 3 – nächste Seite >>

theDon schrieb am 10.11.2003 um 22:24 Uhr

Beta 2.83
========

Bug: Alle User wurden auf der Teampage aufgeführt. (theDon)
Bug: Es konnten keine Gruppenrechte für bestimmte Boards festgelegt werden. (theDon)
Bug: diverse Notices und andere Fehler. (theDon)

Änderung: PHP-Fehler werden nur noch für Admins angezeigt. (theDon)
Änderung: Die IP-Überprüfung bei den Sessions ist jetzt für bestimmte User abschaltbar. Dies kann für den jeweiligen User ein Sicherheitsrisiko bedeuten, behebt jedoch Probleme mit AOL. (theDon)

Neuinstallationen
Das komplette thwb/ Verzeichnis aus dem Archiv uploaden, dann per Browser die Datei admin/install.php aufrufen. Ab hier geht alles automatisch.


[b]Update[/b]
Der Update Vorgang ist hier beschrieben. Besitzer von 2.82 müssen lediglich alle Dateien überschreiben und das Update thwb_282_283.update mit dem Update script ausführen.

Wichtiger Hinweis: Während des Update Vorgangs sollte das Forum geschlossen werden.


Download
Sourceforge


Viel Spaß!
Maximilian "theDon" Marx

compact74 schrieb am 10.11.2003 um 22:41 Uhr

Verstehe ich das richtig, dass ich nun für jeden User der AOL als Provider hat extra bearbeiten muss und die Überprüfung der IP abschalten muss?
Was bedeutet das, dass es dann für den User unsicherer ist, wenn man das abschaltet?

Luki schrieb am 11.11.2003 um 10:07 Uhr

theDon postete
Änderung: Die IP-Überprüfung bei den Sessions ist jetzt für bestimmte User abschaltbar. Dies kann für den jeweiligen User ein Sicherheitsrisiko bedeuten, behebt jedoch Probleme mit AOL. (theDon)

Sorry aber ist das eine Lösung??
- User die Login Probleme haben verlassen das Board!
- riesen Sicherheitsrisiko: Referrer erlaubt sehr einfaches Account Hijacking
- großer Aufwand für Admins Problemuser (wenn die sich überhaupt melden) manuell zu bearbeiten!

wie ist sowas den bei anderen Boards gelöst?
Bitte unbedingt nachbessern, das wäre wirklich ein zu großes Manko für ein sonst so gutes Board!

Der DJ schrieb am 11.11.2003 um 13:08 Uhr

Das Problem liegt bei der Überprüfung Session UND IP. AOL hat die Eigenschaft, dass für einen User gerne zwischendurch mal die IP gewechselt wird (ohne, dass die Verbindung zum Provider getrennt wird!). Das ist nur zu lösen, indem man entweder Sessions ODER IP nimmt. Wenn ich eine Session mit der IP-Nummer verknüpfe, gibbet bei AOL halt große Probleme...

Tendor schrieb am 11.11.2003 um 13:25 Uhr

Man könnte es auch so lösen, dass man auf den Seiten, wo keine Session Pflicht ist, einfach auch bei einem IP-Mismatch stillschweigend per COokie wieder eingeloggt wird.
Ich weiß nicht, ob die IPs bei AOL ständig wechseln, oder nur alle paar Minuten...
im zweiten Fall würde das obige das Problem wohl lösen.

Luki schrieb am 11.11.2003 um 13:56 Uhr

die Meldung IP Mismatch habe ich bisher noch auf keinem Board der Welt bekommen - nur beim THWB werden User mit dieser Meldung konfrontiert! - Also wie ist das sonst gelöst?

die aktuelle Version ist auf jeden Fall definitiv keine Lösung!!

agapanthus schrieb am 11.11.2003 um 13:58 Uhr

Hi

Der DJ postete
AOL hat die Eigenschaft, dass für einen User gerne zwischendurch mal die IP gewechselt wird

gleiches gilt für alle, die sich aus einem Firmennetz einloggen, in dem die Verbindung in Internet über mehrere Proxies realisiert ist und das Routing dynamisch passiert (Lastsharing). Und für alle, die ihre Internetverbindung automaisch auf- und abbauen lassen, z.B. durch einen DSL-Router.

Ich habe die entsprechenden Zeilen in header.inc.php (Version 2.82) auskommentiert. Mir ist noch nicht klar, wo der Vorteil des Verküpfens der IP-Adresse mit der SessionId ist. Ist die SessionId nicht eindeutig?

Gruß Frank

Der DJ schrieb am 11.11.2003 um 14:00 Uhr

Die SessionID ist eindeutig. Wenn ich aber deine SessionID kenne würde, könnte ich in dem Moment, in dem du die ID benützt, dem Server zu verstehen gebe, dass ich du bin... Darum wird die ID mit der IP verknüpft. Da sollte es aber noch eine andere möglichkeit geben. Da die Sache mit der IP ja nun doch ziemlich wackelig ist...

[Party-Worms] Jürgen schrieb am 11.11.2003 um 14:12 Uhr

wie wäre es, einfach die sessions nochmal rauszunehmen und in aller ruhe für das nächste release zu planen?

compact74 schrieb am 11.11.2003 um 14:21 Uhr

klasse Idee :D

Luki schrieb am 11.11.2003 um 15:49 Uhr

[Party-Worms] Jürgen postete
wie wäre es, einfach die sessions nochmal rauszunehmen und in aller ruhe für das nächste release zu planen?

mmmh dann wären wieder einige Bugs da die durch das Sessionsystem gelöst werden! Da das Sessionsystem eigentlich schon ganz gut ausschaut bis auf halt die Bindung an die IP sollte man das IP Match Feature vieleicht zumindest bei Leuten die Cookies aktiviert haben deaktivieren.
Cookie + SID reichen als Sicherheit!

und ansonsten einfach nur SID, die ja sowieso nach einiger Zeit ein Timeout hat! - oder wie das halt in anderen Forensystemen gelöst ist (3x) ;)

[Party-Worms] Jürgen schrieb am 11.11.2003 um 19:03 Uhr

was ist mit php-sessions?

rebugger schrieb am 12.11.2003 um 07:21 Uhr

baut bitte php-sessions ein !
1. Sicherer
2. Einfacher zum einbauen
3. Schneller
4. gibts weniger Fehler

[Party-Worms] Jürgen schrieb am 12.11.2003 um 16:02 Uhr

also ich hab auch derbe probs, ich will in einen thread posten und dann kommt das ich mich einloggen muss und dann das der text zu kurz ist.

ist ein bereich der nur einer group gilt und die anderen nicht einsehen können

col7 schrieb am 12.11.2003 um 23:22 Uhr

hi,

bei mir geht auch fast nichts ... es haben sich heute 20 man angemeldet und nicht einer hat es geschafft etwa zu posten ... nur böse mails an mich, tu bitte etwas!

anty schrieb am 13.11.2003 um 13:00 Uhr

Same Probs as Jürgen :(

es hat einen grund warum im Support forum noch die 2.81 Version läuft ;)

Bitte fixed das!

MrNase schrieb am 13.11.2003 um 13:29 Uhr

...ich habe vorgeschlagen die 2.82 erstmal hier laufen zu lassen aber leider wurde da nix raus :(

Raoul schrieb am 13.11.2003 um 21:03 Uhr

Wann kommt denn eine Version die funktioniert?

Jürgen S. schrieb am 14.11.2003 um 12:03 Uhr

Anfrage an die Programmierer!
Spricht was dagegen, die cookies ganz rauszunehmen? Ich probiers hier bei meiner (im moment noch localen ) Version. Ich denke, die meisten Probleme kommen durch das Fehlerhafte zusammenspiel von Cookies und Session!
Das Cookie hat zB. eine Laufzeit von 1 Jahr und die Session von "einigen" Minuten. Manche Abfragen sind nur mit Cookie möglich und bei anderen wird unbedingst die aktuelle Session gebraucht. Das ist unlogisch!

Dr.HDi schrieb am 14.11.2003 um 13:20 Uhr

Jürgen S. postete
...
Spricht was dagegen, die cookies ganz rauszunehmen?
...

Einfach einen Eintrag in die Registry "Use Sessions ? (*) yes ( ) no" - fertig.
Davon abhängig das Einsetzen der Sessionid in der Klasse Template aufrufen oder nicht. Wenn keine Sessions benutzt werden, dann sollte das Board wieder mit Cookies wie bis 2.81 arbeiten. Ansonsten voll auf Cookies verzichten. Die jetzige Lösung ist leider weder Fisch noch Fleisch :\

Jürgen S. schrieb am 14.11.2003 um 14:43 Uhr

Dr.HDi postete

Jürgen S. postete
...
Spricht was dagegen, die cookies ganz rauszunehmen?
...

Einfach einen Eintrag in die Registry "Use Sessions ? (*) yes ( ) no" - fertig.
Davon abhängig das Einsetzen der Sessionid in der Klasse Template aufrufen oder nicht. Wenn keine Sessions benutzt werden, dann sollte das Board wieder mit Cookies wie bis 2.81 arbeiten. Ansonsten voll auf Cookies verzichten. Die jetzige Lösung ist leider weder Fisch noch Fleisch :\

Ich schrieb davon die Cookies rauszunehmen....

neon schrieb am 14.11.2003 um 15:15 Uhr

Hallo,

habe das Board gerade lokal installiert - läuft super - DANKE!!!

-------
Ich weiß gar nicht so recht was ihr alle gegen Cookies habt, außerdem ist ein Zusammenspiel zwischen Cookies und Session etwas ganz normales, und normalerweise gibt es dabei keine Probleme...

Jürgen S.:
Also unlogisch ist das Benutzen von Cookies UND Session ganz und gar nicht. Manchmal werden eben Informationen abgefragt die in nur in der Session sind und manchmal eben Daten die entweder nur im Cookie sind, oder man sich beim Cookie auf die Korrektheit der Daten besser verlassen kann.
:)



mfg
neon

MrNase schrieb am 14.11.2003 um 16:23 Uhr

So könnte man auch die IP-Überprüfung loswerden :)

Dr.HDi schrieb am 14.11.2003 um 18:01 Uhr

Es gibt ein klares Argument pro Sessionid:

Bei einer redirected URL funzt das mit Cookies nämlich nicht.

Beispiel:
Eine Domain www.meinthwboard.de ist auf meinthwboard.dyndns.org redirected. Der Browser zeigt noch immer die URL www.meinthwboard.de an, obwohl das Cookie von meinthwboard.dyndns.org stammt. Somit ist es für den Browser ungültig und man kann sich so oft einloggen wie man will es klappt nur, wenn man die URL meinthwboard.dyndns.org eingibt.

Jürgen S. schrieb am 14.11.2003 um 18:02 Uhr

neon postete
Jürgen S.:
Also unlogisch ist das Benutzen von Cookies UND Session ganz und gar nicht. Manchmal werden eben Informationen abgefragt die in nur in der Session sind und manchmal eben Daten die entweder nur im Cookie sind, oder man sich beim Cookie auf die Korrektheit der Daten besser verlassen kann.
:)

mfg
neon

Das Problem ist einfach nur, dass es offenbar unterschiedliche Zeitangaben gibt für Cookie und für Session. Wenn du nachschaust, wirst du finden das der Cookie 365 Tage Gültigkeit hat. Die Session, so glaub ich 1800 Sekunden.
Das heißt nach Ablauf der Sessionszeit, kommst du in Verschiedene Bereiche nicht mehr rein - in andere aber doch. Und das führt zu ganz komischen Meldungen. Da bekommt ein eingeloggter (so meint er zumindest) User beim Versuch, PM zu lesen, daß er sich erst anmelden muß.
Das muß geändert werden.

Warum nicht Grundsätzlich Session? Da könnten die Cookies abgeschaltet werden. die Option dafür ist ja da - also, warum nicht Grundsätzlich weg.

Seite 1 von 3 – nächste Seite >>