Hi,

warum muss ich mich auf der Hauptseite jedesmal 2x einloggen?

Nutzername und Passwort werden vom Firefox (Version 2.0.0.11) automatisch in die Felder eingetragen. Dann klicke ich noch die Checkbox für 30 Tage an (was irgendwie auch nicht wirkt, weil ich mich jedesmal wieder einloggen muss) und anschliessend "Einloggen".
Dann kommt die Seite wieder und ich muss nochmals (!) "Einloggen" anklicken, und erst jetzt - also beim 2. Mal - bin ich dann tatsächlich eingeloggt.

Wo ist denn das Problem?

Gruß
void-de

Hallo!


» Entschuldige bitte meinen Sarkasmus:
» » Wo ist denn das Problem?
» Das Problem liegt darin, daß manche Menschen einfach nicht warten können,
» bis die Scripte einwandfrei laufen. Gerade in der Zeit der
» Umstrukturierung des Portals (viele neue Features und Gimmicks), kann es
» zu vereinzelten Störungen kommen.

Die sarkastische Bemerkung halte ich hier eigentlich für unangebracht. Wenn irgendwo ein Fehler im Script ist und keiner merkt’s, kann man ja ewig warten, bis er behoben wird. Es ist doch nichts verkehrt daran, auf (mögliche) Fehler hinzuweisen. In diesem Fall liegt es vielleicht nicht am Script – bei mir tritt der beschriebene Fehler auch nicht auf –, aber wie soll man das denn herausfinden, wenn nicht durch Fragen?


Tschüß
Jojo

» » Hi,
» »
» » warum muss ich mich auf der Hauptseite jedesmal 2x einloggen?
» »
»
» Hi,
»
» ich kann den Fehler leider weder mit dem Fuchs noch mit IE reproduzieren.
» Hat noch wer dieses Problem?
»
» Gruß,
» Rene
Jetzt habe ich es mal bewusst ausprobiert und es klappt alles beim ersten Mal :confused:. Wenn ich herausfinde, wie ich es reproduzieren kann, dann poste ich es. Ob das Problem auch im IE Auftritt kann ich nicht sagen, da ich ausschliesslich den Firefox nutze.

Hallo.

Da ist was dran. Cookies werden ja grundsätzlich Domain-bezogen gesetzt. Deshalb habe ich das mal durchgetestet.

Tatsächlich blieb bei mir beim ersten Aufruf von www.1000steine.com eben diese Adresse in der Adresszeile stehen, während die Startseite angezeigt wurde. Ein erster Login führte zu folgendem Phänomen: links erschien der Link zum Benutzerkonto, was bedeutet, dass ich eingeloggt wurde. Oben rechts jedoch erschien wieder der Block zum Einloggen. Dies ließ siuch beliebig oft wiederholen.

Über www.1000steine.de war dieses Verhalten nicht zu reproduzieren. Vielmehr trat das oben beschriebene Phänomen nach dem ersten Login auf de auch auf der com Adresse nicht mehr auf. Außerdem wurde ab sofort immer sofort auf festum.de redirected.

Alles in allem ziemlich verwirrend. Setzen die Redirect-Seiten auf com und/oder de eventuell schon Cookies?

Gruß,
Rainer

P.S. Ich würde im übrigen auch einen Teufel tun und die Source Codes offen legen. Dann kann man sich ja gleich ein Schild mit der Aufschrift "Hack my site" umhängen...

» Hi,
»
» warum muss ich mich auf der Hauptseite jedesmal 2x einloggen?
»
» Nutzername und Passwort werden vom Firefox (Version 2.0.0.11) automatisch
» in die Felder eingetragen. Dann klicke ich noch die Checkbox für 30 Tage
» an (was irgendwie auch nicht wirkt, weil ich mich jedesmal wieder
» einloggen muss) und anschliessend "Einloggen".
» Dann kommt die Seite wieder und ich muss nochmals (!) "Einloggen"
» anklicken, und erst jetzt - also beim 2. Mal - bin ich dann tatsächlich
» eingeloggt.
»
» Wo ist denn das Problem?
»
» Gruß
» void-de

Hallo,

ich lasse den Firefox grundsätzlich keine Paßwörter speichern. Entsprechend mußte ich manuell Nutzername und Paßwort eintragen, bleibe dafür aber auch über einen längeren Zeitraum eingeloggt. Bis ich zu lange brauche, um einen Beitrag zu schreiben und zwangsausgeloggt werde. Oder die 30 Tage herum sind, aber das habe ich noch nicht geschafft. Also stell Deinen Browser um, dann ist das Problem gelöst.

Hallo Rainer,

» P.S. Ich würde im übrigen auch einen Teufel tun und die Source Codes offen
» legen. Dann kann man sich ja gleich ein Schild mit der Aufschrift "Hack my
» site" umhängen...

Ich habe nichts dagegen, dass René die Quelltexte für sich behält.

Aber ich hoffe doch sehr, dass er es nicht aus Sicherheitsgründen tut.
Wenn eine Site gut und sicher programmiert ist, dann ist es irrelevant, ob
potentielle Angreifer die Sourcen kennen oder nicht. (Gut, man könnte
jetzt die Frage stellen, ob man in PHP überhaupt grundsätzlich sicher
programmieren kann, aber das ist wieder eine andere Geschichte.)

Sourcen (oder sonstige Implementationsdetails) allein aus Sicherheitsgründen
geheim zu halten nennt man »security by obscurity«. Sicher ist was anderes.

Viele Grüße
Oliver

Hi Rainer,

» Tatsächlich blieb bei mir beim ersten Aufruf von www.1000steine.com
» eben diese Adresse in der Adresszeile stehen,

Leider kann ich selbst das nicht reproduzieren, aber ich gehe natürlich davon aus, dass es bei Dir durchaus der Fall gewesen ist. Und dann:

» angezeigt wurde. Ein erster Login führte zu folgendem Phänomen: links
» erschien der Link zum Benutzerkonto, was bedeutet, dass ich eingeloggt
» wurde. Oben rechts jedoch erschien wieder der Block zum Einloggen. Dies
» ließ siuch beliebig oft wiederholen.

An dieser Stelle wäre es jetzt in der Tat interessant zu wissen, wie der gesetzte Cookie-Name lautet. Oder besser noch: Ob überhaupt ein Cookie gesetzt wurde. Wäre es möglich, dass Du das für mich herausfindest?

Gruß & Danke,
Rene

Hi Oliver,

ich weiß, Du meinst es nicht böse, aber das ist typisch ITler:

» Wenn eine Site gut und sicher programmiert ist, dann ist es irrelevant,
» ob
» potentielle Angreifer die Sourcen kennen oder nicht.

[...]

» Sourcen (oder sonstige Implementationsdetails) allein aus
» Sicherheitsgründen
» geheim zu halten nennt man »security by obscurity«. Sicher ist was
» anderes.

Dazu einige Bemerkungen:

- Projekte, die tatsächlich so sicher programmiert sind, dass man den Quellcode offen legen könnte, sind entweder:

-- von langer Hand geplant und erst dann öffentlich, wenn sie 100% fehlerfrei funktionieren. Für Den Betrieb von 1000steine.de leider keine Option.

-- oder es sind genügend viele Programmierer beteiligt, die ein Projekt in angemessener Zeit umsetzen können. Bei 1000steine.de leider nicht der Fall.

-- oder es macht jemand, der den ganzen Tag nichts anderes macht; und solch ein jemand verdient in der Regel gutes Geld dafür, dass er in der Lage ist das zu machen. Auch das ist bei mir leider nicht der Fall.

Ich gehe davon aus, dass die Scripte bei 1000steine weitgehend sicher genug sind um Daten zu erhalten, schließe aber keineswegs aus, dass es Lücken gibt.

Wenn wir 1000 Mitglieder beisammen haben, würden die Einnahmen reichen um einen Programmierer zu verpflichten, der sich mal die Scripte vornimmt und sie explizit auf Sicherheitslücken überprüft. Solange das nicht der Fall ist, werde ich selbst mein bestes tun und ich gebe mir wirklich Mühe.

Ich würde und werde solch eine Aufgabe aber nicht an einen freiwilligen vergeben und auch nicht an jemanden mit persönlichem Interesse an der Plattform (sprich: keinem AFOL). Das mag manch einer für übertrieben halten, aber ich habe auch die Schlösser gewechselt, nachdem ich von "irgendeiner" Firma neue Türen hab' einbauen lassen. Und wenn mich jetzt jemand für bekloppt erklärt: Denkt dran, ihr seid Erwachsene, die noch mit LEGO spielen :-)

Gruß,
Rene

Hallo René,

» ich weiß, Du meinst es nicht böse, aber das ist typisch ITler:

Ja ja, ich weiß ... Sorry, da sind die Pferde mit mir durchgegangen.
(Das kommt davon, wenn man sich täglich mit sowas herumschlagen muss.)
Natürlich ist 1000steine eher nicht mit einem typischen IT-Projekt
vergleichbar.

Es kam mir eigentlich auch nur darauf an, dass nicht der Eindruck entsteht,
Open-Source-Projekte seinen grundsätzlich weniger sicher oder würden eher
"Hacker" anlocken. In Rainers Beitrag klang das ein wenig so. Aber
vielleicht habe ich das auch nur missverstanden.

Viele Grüße
Oliver

» Hallo,
»
» ich lasse den Firefox grundsätzlich keine Paßwörter speichern.
» Entsprechend mußte ich manuell Nutzername und Paßwort eintragen, bleibe
» dafür aber auch über einen längeren Zeitraum eingeloggt. Bis ich zu lange
» brauche, um einen Beitrag zu schreiben und zwangsausgeloggt werde. Oder
» die 30 Tage herum sind, aber das habe ich noch nicht geschafft. Also stell
» Deinen Browser um, dann ist das Problem gelöst.
Hi legopapi,

vielen Dank für deine Antwort. Aber eine Funktionalität des Browsers, die in allen anderen Foren und sonstigen Seiten im Netz funktioniert, nur hier - und ich reduziere das mal jetzt auf den Begriff manchmal, weil es ja nur manchmal nicht funktioniert - manchmal nicht, dass kann doch keine Lösung sein.

Aber dein Beitrag bringt mich noch auf einen anderen Gedanken: vielleicht hängt das Problem ja auch damit zusammen, dass ich mich von 2 verschiedenen Rechnern auf die 1000steine.de Seite einlogge: zum einen vom Privatrechner und mit dem Geschäftsrechner.

Übrigens habe ich noch ein weiteres Problem entdeckt, aber ich traue mich nicht es zu posten, weil ich sonst als Nörgler verschrien werde :blink:

Schönen Sonntag noch
Gruß
voidy

» Gut, man könnte
» jetzt die Frage stellen, ob man in PHP überhaupt grundsätzlich
» sicher
» programmieren kann, aber das ist wieder eine andere Geschichte.

Ja, das kann man, aber es ist ein wenig aufwändiger :blink:

Es gibt einen Grundsatz: misstraue jeder Benutzereingabe. Deshalb sollte man (mindestens) jede Variable, die von einem Benutzer eingegeben wird, z.B. über ein Formular, überprüfen. Es empfiehlt sich daher eine Basisfunktionalität zu entwickeln, die man vor der eigentlichen Seitenverarbeitung aufruft, die erst mal die Werte überprüft.

Im übrigen finde ich es absolut bewundernswert, dass Rene und die ganze Truppe sich hier ranmacht und alles von Grunde auf entwickelt bzw. weiterentwickelt. Allerdings wächst die Seite auch sehr schnell, und damit auch die möglichen Schwächen.
Nur mal ein winziges Beispiel: allein die Überprüfung, ob eine eingegebene E-Mail Adresse gültig ist oder nicht, ist nicht ganz trivial. Aber die regulären Ausdrücke sind seeeeehr mächtig .

Ich würde ganz sicher den Quellcode nicht offenlegen, selbst wenn es "sicher" programmiert ist. Denn es gibt immer jemanden, der noch mehr Tricks kennt und eine Schwachstelle kennt/findet.

Gruß
void-de