WebsiteBaker Support (2.8.x) > Diskussion über WB (closed)

WebsiteBaker 2.8.2 RC - Tests und Vorschläge

<< < (26/32) > >>

Stefek:

--- Quote from: ruebenwurzel on January 27, 2011, 07:06:37 PM ---
1.) Eine Funktion die einem vor Verlassen einer Seite daran erinnert, dass man die Änderungen speichern sollte, ist längst überfällig und sollte auch zeitnah umgesetzt werden.

2.) Eine Funktion, die einem bei jedem Verlassen einer Seite oder einer Section mit ner Meldung nervt, das man doch bitte die Änderungen speichern sollte, obwohl man nix geändert hat, und die noch dazu nicht richtig dargestellt wird, braucht kein Mensch.

--- End quote ---

Ich stimme mit Matthias überein.

Aber es gibt noch mehr dazu.
Vor allem, wenn es sich um die WYSIWYG Abschnitte handelt, gibt es gewiß eine bessere Lösung.

Das gegenwärtige (2.8.1 und kleiner) Szenario ist, dass wenn ich eine Seite mit mehreren WYSIWYG Abschnitten habe und in den Editiermodus der Seite mit den Abschnitten gehe, alle Abschnitte OFFEN stehen. Soll heißen -> alle Wysiwyg Abschnitte zeigen ihren Editor, den Save und den Cancel Button.
Das ist eine Quelle für mehr Ärger als dass man mal nicht Speichert und woanders hingeht.
Weil - die User geben hier und da mal was ein, drücken auf einen der [Speichern] Buttons und nur dieser wird gespeichert.

Eine einfache Abhilfe hat bereits vor etwa 2 Jahren ein User mit dem Namen lousou76
https://forum.WebsiteBaker.org/index.php/topic,12988.0.html

Die von ihm gestartete Umfrage sagt eigentlich alles.

Und das einzubauen ist nun wirklich kein Hexenwerk.

Und, wenn dann eine der WYSIWYG Sections "AUF" ist, kann keine weitere geöffnet werden, bis sie geschloßen wurde und dann macht die Notification, "Please save before... blabla" auch Sinn, sobald eine der Sections offen ist.

Gut, für andere Module weiß ich nicht.
Aber bei denen gibts ja meistens keine direkten Eingabefelder in der modify.php

Übrigens, die oben verlinkte Lösung hat zusätzlich den Vorteil, dass die ganzen Editoren nicht sofort geladen werden, was die Ladezeit sparsamer gestaltet.
Hat mir schon damals gefallen das Ding und ich fand es schade, dass es "irgendwie untergegangen" war.

Gruß,
Stefek

ruebenwurzel:
Hallo,

-offtopic-


--- Quote from: maverik on January 27, 2011, 07:55:29 PM ---Also wenn ich das richtig im Ohr habe sollte die 2.8.2 ein reines Bugfix-Release ohne neue Funktionen / Features sein.
Die hier angesprochene Meldungsfunktion wäre aber doch ein neues Feature oder nicht? ;-)

--- End quote ---

Muss da Maverik Recht geben. Entweder hält man sich dran, dass 2.8.2 keine neuen features enthält oder nicht. Jahrelang wurde hier in der communitiy gemeckert, dass es keine klaren Richtlinen bezüglich der Weiterentwicklung von WB gibt. Jetzt gibt es welche (bitte jetzt hier keine Grundsatzdiskussion starten, threadthema bitte beachten), da sollte man sich dann auch dran halten.


--- Quote from: Stefek on January 27, 2011, 08:32:30 PM ---.. Eine einfache Abhilfe hat bereits vor etwa 2 Jahren ein User mit dem Namen lousou76
https://forum.WebsiteBaker.org/index.php/topic,12988.0.html ...

--- End quote ---

Beides zusammen, dass man nur eine section bearbeiten kann + der Hinweis beim Verlassen das Speichern nicht zu vergessen, das wär richtig gut. Bin auch einer der geschädigten, die auf Seiten mit mehreren section schon gemachte Änderungen verloren haben, weil sie den verkehrten speichern Button gedrückt haben. Das Ganze ist wohl aber eher was für 2.9 und hat deswegen in diesem thread eigentlich nix mehr verloren.

-offtopic Ende-

Happy Baking

Matthias

testör:

--- Quote from: ruebenwurzel on January 28, 2011, 06:56:00 AM ---Muss da Maverik Recht geben. Entweder hält man sich dran, dass 2.8.2 keine neuen features enthält oder nicht. Jahrelang wurde hier in der communitiy gemeckert, dass es keine klaren Richtlinen bezüglich der Weiterentwicklung von WB gibt.

--- End quote ---
Ach komm Matthias, du weißt doch am Besten, dass immer gemeckert wird, egal was getan wird.
Dann streitet man sich eben drum, was ein Feature ist. Ich sage dann "SecureForm" ist ein Feature und ebenso "[tooltip] in SM2, und schon ist die 2.8.2 tot diskutiert und kommt am St.-Nimmerleinstag heraus.
Und würde man sich streng an einmal gesagte "Richtlinien" halten, dürfte es die 2.8.2er gar nicht geben - es sollte sie ja eine Zeitlang gar nicht geben, sondern nur Patches für die 2.8.1er. Aber jetzt hat man einmal die Chance, wieder die Community nach langer Zeit wieder mit einzubinden und das wird jetzt auch wieder angezweifelt. Manchmal fragt man sich schon, was Statler und Waldorf dazu sagen würden.

Stefek:
Macht fertig die Kiste.

Was fehlt denn da noch?

Am schlimsten finde ich das "Feature", keine mehrere Fenster vom Backend mehr auf haben zu können.

Und ja, gemeckert wird fast immer.
Zu fast jedem Anlass.

Es ist sowie so ein Wunder, dass WB noch lebt :-D

Möge dieses Wunder lange aufrecht erhalten werden.
 :wink:

Stefek

NorHei:
Das CSRF Problem muss auf jeden Fall gelöst werden es kommen immer mehr Hacks raus die genau darauf aufsetzen und die werden zum Teil mit anderen Techniken gemixt so das sie immer unangenehmer werden.

Das ist halt alles nicht so ganz einfach, bei ein paar Gesprächen mit Viper haben wir festgestellt das im Endeffekt 3 Möglichkeiten existieren. 

1. Wir lassen das so wie es ist und erhalten gute Sicherheit aber verlieren eine ziemlich oft benutzte Technik um mit WB komfortabel zu arbeiten. Eventuell gibt es da auch noch Probleme mit Multipage Forms
und dem Back Button.

2. Wir erweitern die Sicherheitsklasse so, das sozusagen eine FTAN Verwaltung eingebaut bekommt die verschiedene TANs für verschiedene Seiten erlaubt und  diese Verwaltet. Dabei müssen aber noch fragen geklärt werden wie: Was passiert wenn ein Fenster lange offen bleibt , oder wenn es geschlossen wird ohne das das Formular versendet wurde.
Diese Variante würde gleiche Sicherheit, aber einen fast vollständig erhaltenen Komfort bedeuten, man würde nur noch Probleme mit dem Back Button haben, und wenn man die gleiche Seite in 2 Fenstern bearbeiten will(man muss sich dann für ein Fenster entscheiden in dem man Änderungen speichert).
Der Nachteil ist das das schon eine Relativ komplexe Lösung ist, die durchaus noch ein wenig Zeit beanspruchen würde.

3. Wir nehmen ein vereinfachtes TAN System bei dem die TANs eine gewisse Lebensdauer haben (12h).
Das hat den Vorteil, das der Komfort voll erhalten bleibt. Aber die Sicherheit wird fragwürdiger.
Um genauer zu sein ist Viper grade dabei das noch mit einigen anderen Sicherheitsexperten zu besprechen. Tatsache ist das andere CMS , z.B. Wordpress das genauso nutzen. Allerdings heißt das natürlich noch lange nicht das es auch sicher ist.
Rein Theoretisch müsste das bei  Angriffen über gefakte Webseiten ausreichen, aber die Angrifsvektoren werden immer bunter. Über Browserlücken, fehlerhafte HTML Anzeigen im Mailprogrammen aller Arten ist es eventuell möglich an die FTAN zu kommen und dann den Angriff zu starten. 
Hier besteht also noch Klärungsbedarf.

Ich denke Wenn die Sicherheitsexperten die Lösung für vertretbar halten währe Lösung 3 das Mittel der Wahl für die 2.8.2  und Lösung 2 währe geeignet für 2.9.0.

Das Problem ist halt das solche Probleme erst auftauchen wenn intensiv getestet wird und dann oft erst mal Forschung betrieben werden muss um andere Lösungsansätze zu finden oder um bestehen auf Ihre Sicherheit hin abzuklopfen. Dazu kommt noch das alleine das Thema CSRF  unglaublich komplex ist und man sich tagelang damit beschäftigen kann, von den weiteren Sicherheitsfragen mal völlig abgesehen. 
   

Navigation

[0] Message Index

[#] Next page

[*] Previous page