Hi,

warum muss ich mich auf der Hauptseite jedesmal 2x einloggen?

Nutzername und Passwort werden vom Firefox (Version 2.0.0.11) automatisch in die Felder eingetragen. Dann klicke ich noch die Checkbox für 30 Tage an (was irgendwie auch nicht wirkt, weil ich mich jedesmal wieder einloggen muss) und anschliessend "Einloggen".
Dann kommt die Seite wieder und ich muss nochmals (!) "Einloggen" anklicken, und erst jetzt - also beim 2. Mal - bin ich dann tatsächlich eingeloggt.

Wo ist denn das Problem?

Gruß
void-de

» Hi,
»
» warum muss ich mich auf der Hauptseite jedesmal 2x einloggen?
»

Hi,

ich kann den Fehler leider weder mit dem Fuchs noch mit IE reproduzieren. Hat noch wer dieses Problem?

Gruß,
Rene

Hallo René,

» » warum muss ich mich auf der Hauptseite jedesmal 2x einloggen?
»
» ich kann den Fehler leider weder mit dem Fuchs noch mit IE reproduzieren.
» Hat noch wer dieses Problem?

Mit dem Opera funktioniert es auch problemlos. Zumindest bei mir.

Mir ist ein ähnliches Problem bekannt, wenn man (versehentlich) eine Seite
über einen anderen Hostname aufruft (z.B. 1000steine.com statt 1000steine.de).
In dem Fall merkt sich der Browser die Authentisierung nur für den ersten
Host, wird dann aber auf den anderen redirected und muss daher erneut
authentisiert werden. Ich weiß aber nicht, ob das bei 1000steine auch der
Fall ist; ich hab's nicht ausprobiert (ich gehe grundsätzlich über dieselbe
URL darauf). Wäre aber vielleicht ein Anhaltspunkt.

Viele Grüße
Oliver

Hallo!


» Entschuldige bitte meinen Sarkasmus:
» » Wo ist denn das Problem?
» Das Problem liegt darin, daß manche Menschen einfach nicht warten können,
» bis die Scripte einwandfrei laufen. Gerade in der Zeit der
» Umstrukturierung des Portals (viele neue Features und Gimmicks), kann es
» zu vereinzelten Störungen kommen.

Die sarkastische Bemerkung halte ich hier eigentlich für unangebracht. Wenn irgendwo ein Fehler im Script ist und keiner merkt’s, kann man ja ewig warten, bis er behoben wird. Es ist doch nichts verkehrt daran, auf (mögliche) Fehler hinzuweisen. In diesem Fall liegt es vielleicht nicht am Script – bei mir tritt der beschriebene Fehler auch nicht auf –, aber wie soll man das denn herausfinden, wenn nicht durch Fragen?


Tschüß
Jojo

» » Hi,
» »
» » warum muss ich mich auf der Hauptseite jedesmal 2x einloggen?
» »
»
» Hi,
»
» ich kann den Fehler leider weder mit dem Fuchs noch mit IE reproduzieren.
» Hat noch wer dieses Problem?
»
» Gruß,
» Rene
Jetzt habe ich es mal bewusst ausprobiert und es klappt alles beim ersten Mal :confused:. Wenn ich herausfinde, wie ich es reproduzieren kann, dann poste ich es. Ob das Problem auch im IE Auftritt kann ich nicht sagen, da ich ausschliesslich den Firefox nutze.

Hallo.

Da ist was dran. Cookies werden ja grundsätzlich Domain-bezogen gesetzt. Deshalb habe ich das mal durchgetestet.

Tatsächlich blieb bei mir beim ersten Aufruf von www.1000steine.com eben diese Adresse in der Adresszeile stehen, während die Startseite angezeigt wurde. Ein erster Login führte zu folgendem Phänomen: links erschien der Link zum Benutzerkonto, was bedeutet, dass ich eingeloggt wurde. Oben rechts jedoch erschien wieder der Block zum Einloggen. Dies ließ siuch beliebig oft wiederholen.

Über www.1000steine.de war dieses Verhalten nicht zu reproduzieren. Vielmehr trat das oben beschriebene Phänomen nach dem ersten Login auf de auch auf der com Adresse nicht mehr auf. Außerdem wurde ab sofort immer sofort auf festum.de redirected.

Alles in allem ziemlich verwirrend. Setzen die Redirect-Seiten auf com und/oder de eventuell schon Cookies?

Gruß,
Rainer

P.S. Ich würde im übrigen auch einen Teufel tun und die Source Codes offen legen. Dann kann man sich ja gleich ein Schild mit der Aufschrift "Hack my site" umhängen...

» Hi,
»
» warum muss ich mich auf der Hauptseite jedesmal 2x einloggen?
»
» Nutzername und Passwort werden vom Firefox (Version 2.0.0.11) automatisch
» in die Felder eingetragen. Dann klicke ich noch die Checkbox für 30 Tage
» an (was irgendwie auch nicht wirkt, weil ich mich jedesmal wieder
» einloggen muss) und anschliessend "Einloggen".
» Dann kommt die Seite wieder und ich muss nochmals (!) "Einloggen"
» anklicken, und erst jetzt - also beim 2. Mal - bin ich dann tatsächlich
» eingeloggt.
»
» Wo ist denn das Problem?
»
» Gruß
» void-de

Hallo,

ich lasse den Firefox grundsätzlich keine Paßwörter speichern. Entsprechend mußte ich manuell Nutzername und Paßwort eintragen, bleibe dafür aber auch über einen längeren Zeitraum eingeloggt. Bis ich zu lange brauche, um einen Beitrag zu schreiben und zwangsausgeloggt werde. Oder die 30 Tage herum sind, aber das habe ich noch nicht geschafft. Also stell Deinen Browser um, dann ist das Problem gelöst.

Hallo Rainer,

» P.S. Ich würde im übrigen auch einen Teufel tun und die Source Codes offen
» legen. Dann kann man sich ja gleich ein Schild mit der Aufschrift "Hack my
» site" umhängen...

Ich habe nichts dagegen, dass René die Quelltexte für sich behält.

Aber ich hoffe doch sehr, dass er es nicht aus Sicherheitsgründen tut.
Wenn eine Site gut und sicher programmiert ist, dann ist es irrelevant, ob
potentielle Angreifer die Sourcen kennen oder nicht. (Gut, man könnte
jetzt die Frage stellen, ob man in PHP überhaupt grundsätzlich sicher
programmieren kann, aber das ist wieder eine andere Geschichte.)

Sourcen (oder sonstige Implementationsdetails) allein aus Sicherheitsgründen
geheim zu halten nennt man »security by obscurity«. Sicher ist was anderes.

Viele Grüße
Oliver

Hi Rainer,

» Tatsächlich blieb bei mir beim ersten Aufruf von www.1000steine.com
» eben diese Adresse in der Adresszeile stehen,

Leider kann ich selbst das nicht reproduzieren, aber ich gehe natürlich davon aus, dass es bei Dir durchaus der Fall gewesen ist. Und dann:

» angezeigt wurde. Ein erster Login führte zu folgendem Phänomen: links
» erschien der Link zum Benutzerkonto, was bedeutet, dass ich eingeloggt
» wurde. Oben rechts jedoch erschien wieder der Block zum Einloggen. Dies
» ließ siuch beliebig oft wiederholen.

An dieser Stelle wäre es jetzt in der Tat interessant zu wissen, wie der gesetzte Cookie-Name lautet. Oder besser noch: Ob überhaupt ein Cookie gesetzt wurde. Wäre es möglich, dass Du das für mich herausfindest?

Gruß & Danke,
Rene

Hi Oliver,

ich weiß, Du meinst es nicht böse, aber das ist typisch ITler:

» Wenn eine Site gut und sicher programmiert ist, dann ist es irrelevant,
» ob
» potentielle Angreifer die Sourcen kennen oder nicht.

[...]

» Sourcen (oder sonstige Implementationsdetails) allein aus
» Sicherheitsgründen
» geheim zu halten nennt man »security by obscurity«. Sicher ist was
» anderes.

Dazu einige Bemerkungen:

- Projekte, die tatsächlich so sicher programmiert sind, dass man den Quellcode offen legen könnte, sind entweder:

-- von langer Hand geplant und erst dann öffentlich, wenn sie 100% fehlerfrei funktionieren. Für Den Betrieb von 1000steine.de leider keine Option.

-- oder es sind genügend viele Programmierer beteiligt, die ein Projekt in angemessener Zeit umsetzen können. Bei 1000steine.de leider nicht der Fall.

-- oder es macht jemand, der den ganzen Tag nichts anderes macht; und solch ein jemand verdient in der Regel gutes Geld dafür, dass er in der Lage ist das zu machen. Auch das ist bei mir leider nicht der Fall.

Ich gehe davon aus, dass die Scripte bei 1000steine weitgehend sicher genug sind um Daten zu erhalten, schließe aber keineswegs aus, dass es Lücken gibt.

Wenn wir 1000 Mitglieder beisammen haben, würden die Einnahmen reichen um einen Programmierer zu verpflichten, der sich mal die Scripte vornimmt und sie explizit auf Sicherheitslücken überprüft. Solange das nicht der Fall ist, werde ich selbst mein bestes tun und ich gebe mir wirklich Mühe.

Ich würde und werde solch eine Aufgabe aber nicht an einen freiwilligen vergeben und auch nicht an jemanden mit persönlichem Interesse an der Plattform (sprich: keinem AFOL). Das mag manch einer für übertrieben halten, aber ich habe auch die Schlösser gewechselt, nachdem ich von "irgendeiner" Firma neue Türen hab' einbauen lassen. Und wenn mich jetzt jemand für bekloppt erklärt: Denkt dran, ihr seid Erwachsene, die noch mit LEGO spielen :-)

Gruß,
Rene

Hallo René,

» ich weiß, Du meinst es nicht böse, aber das ist typisch ITler:

Ja ja, ich weiß ... Sorry, da sind die Pferde mit mir durchgegangen.
(Das kommt davon, wenn man sich täglich mit sowas herumschlagen muss.)
Natürlich ist 1000steine eher nicht mit einem typischen IT-Projekt
vergleichbar.

Es kam mir eigentlich auch nur darauf an, dass nicht der Eindruck entsteht,
Open-Source-Projekte seinen grundsätzlich weniger sicher oder würden eher
"Hacker" anlocken. In Rainers Beitrag klang das ein wenig so. Aber
vielleicht habe ich das auch nur missverstanden.

Viele Grüße
Oliver