war es nur, weil es gleich in alle Welt hinausposaunt wurde und Ihr zum schnellen Handeln gezwungen wurdet. Sicherlich war es vorher auch da, aber die kriminelle Energie ist bei den Script-Kiddies weit besser entwickelt als die technische Expertise (aber da wurde ihnen ja gut geholfen). So haben wir jetzt kein Sicherheitsproblem mehr, aber die Leute kommen nicht ordentlich rein, Kommentare werden verschluckt oder einfach gar nicht mehr geschrieben, Frust macht sich breit, zumal nicht jedem die Zusammenhänge klar sind. Es wäre bestimmt einfacher gewesen für Euch, nach einer Mail in Ruhe eine Lösung zu suchen.

Browser kam von Fr. Mutant, sie ist aber zeimlich sauer, ich weiß nicht, ob sie sich nochmal meldet.

Short-Hold ist das physische Abbauen der Leitung und Halten der logischen Verbindung, auch Dial-on-Demand genannt. Betrifft auch DSL-Konfigurationen, die mindestens einmal am Tag getrennt werden, und eine neue IP bekommen.

Anonymisierer nutze ich eigentlich nur, weil ich dadurch über SSL ins Netz gehe, weil die hier in der Firma so einen blöden Lexik-Filter im IDS haben, der dauernd meckert über solche Schlüsselwörter wie VIRGINia und so. Da wollte ich mich nicht dauernd anlabbern lassen.

ich das loch drei tage nach dem fix auf antville.org veröffentlicht (leicht nachzulesen). und ich habs publiziert, weil wir nicht wissen, wer wo noch antville installiert hat und betreibt. das war also die einzige möglichkeit, die leute zu warnen (die wenigen von denen wir wissen habens schon vorher per mail erfahren).

nochmal: der fix ist die einzige möglichkeit (wenn man von diversen ssl-varianten absieht, die aber ungleich komplizierter und im fall von antville nicht wirklich verwendbar sind). wenn du eine bessere idee hast, dann raus damit.

und ich hab nachdrücklich gebeten, dass das security-loch hier so schnell wie möglich veröffentlicht wird. dies geschah, nachdem es durch oben beschriebenen mechanismus geflickt wurde (nicht ganz, aber es ist erheblich schwerer, es nun auszunutzen).

ich bin der meinung, robert und hannes haben sehr wohl in ruhe eine vernünftige lösung gesucht und auch gefunden, wofür ihnen dank gebührt. die alternative dazu wäre gewesen, die cookie-funktion vollständig zu deaktivieren.

dass diese massnahme unmut erregt, ist verständlich aber auch bedauerlich. unmut zu schüren finde ich dagegen inakzeptabel.

das ich hier in einen Zusammenhang mit "Unmut schüren" gebracht wurde. Der Inhalt des Postings von nosleep hätte sehr wohl erst mal in einer Mail abgehandelt werden können. Und zum Zeitpunkt dieser Veröffentlichung war auch noch nichts gefixt

Das Posting von nosleep hat mit der Änderung überhaupt nichts zu tun. Das war nur eine Lapalie, die uns a) immer schon bewusst war, und b) die in 5 Minuten einer halben Stunde gefixt war.

Das Problem, um das es ging, hat jedem erlaubt, sich unter jedem beliebigen Account einzuloggen, praktisch ohne technischen Aufwand.

Bitte bring konkrete Problembeschreibungen, und nicht Meldungen wie "XYZ ist sauer" oder "die Leute kommen nicht ordentlich rein". Das bringt rein gar nichts. Wir hätten das Feature komplett abdrehen müssen, wenn uns nicht die Sache mit der IP-Adresse eingefallen wäre. Klar dass es jetzt in vielen Fällen nicht mehr funktioniert, aber unbestimmtes Beschwerden helfen uns nicht dabei, die Situation zu verbessern.

Wenn es jemandem zu mühsam ist, sich jedesmal anzumelden dann soll er meinetwegen immer online bleiben oder verdammt nochmal bleiben wo der Pfeffer wächst ich geh jetzt in den Hof Bierflaschen zertrümmern so ärgert mich das.

denn ich habe mich also geirrt und das Posting von nosleep als Grund für die Anderung angesehen (und finde es immer noch nicht glücklich). Ich werd hier nix mehr Kritisches als Nicht-Programmierer sagen, da es unkonstruktiv und zu unbestimmt ist.

Wenn ich es richtig verstanden habe, sollte die Änderung doch nur die Remember Me Funktion betreffen und nicht die normale Session? Das Problem dabei ist/kann sein, das Proxies die Round-Robin machen oder Header nicht entsprechend mitsenden oder anonymisieren, damit ein Problem haben (weil unterschiedliche IP im Header). Die Session läuft irgendwann ab - eventuell Session-Timeout höher setzen? Das von mir geschilderte Problem ist anders gelagert. Wenn Herr Seewolf sagen welchen Provider er benutzt check ich das mal gegen. Ansonsten hilft eventuell, langen Text offline vorschreiben. Vielleicht hilft es wenn jemand sagt wie lange eine Session gültig ist. Bindung auf IP-Adresse ist nuja, nicht wirklich eine Lösung. HTTP ist eben zustandslos, Remember Me/Sessions lassen sich nicht wirklich gut in zustandslosen Protokollen implementieren, bei Dialup ist es die Pest, muss man sich mal neu anmelden, weil mit jedem Dial-In die IP Adresse eine andere ist und man sich dann neu anmelden muss. Solange man online ist (also Session -> Sizung) die Verbinung nicht getrennt wurde, sollte es funktionieren.

My Apologies to hns, LART em harder ;).

P.S: Rausposaunt hab ich garnix, ansonsten möge man bitte eine E-Mail und optional einen PGP Schlüssel hier hinterlegen und ich schick das auch gern per Mail - so ist das eben, das eine hat mit dem anderem nichts zu tun, die Cookiesache habe ich mir nicht angesehen, mein Problem betrifft das Vertäuschen und Abzocken von Accountdaten ohne Cookies über einen Skin. Und wenn ich erst nach 90 Tagen drauf auf die Idee komm das was unsicher ist, wäre da jeder andere Menschn der sich eingehend mit der Problematik befasst auch drauf gekommen.

Und wenn mir ein Nichttechniker sagen möchte wo und wie ich eventuelle Schwächen von Antville zu posten habe krieg ich Pickel, ich gesell mich dann gern zu hns und helf ihm beim Flaschen zerstrümmern, so ärgert mich das wenn Notechs nicht mal vernünftige Fehlermeldungen bzw. Zustandsbeschreibungen geben aber erstmal mit dem Finger auf andere zeigen, klar bin ich schuld, immer drauf auf mich, ich kann ja nix dafür das ich mir darüber Gedanken mache das jemand etwas in dein Blog schreibt, und Du deshlab Unannehmlichkeiten hast. Alte Regel bei solchen Anspruchsdenken, gilt auch für mich: Ich darf hier ein Blog machen, dafür bin ich dankbar. Fehler teile ich gern mit, und wenn es darum geht eine Lösung für das Problem zu finden denke ich auch gern darüber nach. Antville ist gratis, und nicht umsonst, es ist ein Privileg - niemand hat ein Recht darauf zu bloggen. Vielleicht stellst Du deine Attitüden und dein Anspruchsdenken darauf ein bevor Du mir aus Unkenntnis irgendwas unterstellst - sowas pisst mich wirklich an! Niemand kann was dafür das sich dein Modem trennt und danach die Session nicht mehr gültig ist, es ist dein fuqing Problem, deine eigene Unfähigkeit? Rest können wir gern per Mail diskutieren.

mensch seewolf, du brauchst doch nur möglichst detailliert zu sagen, was wann nicht funktioniert, und nicht "bestimmte browser kommen nicht rein". was sollen wir damit anfangen? so schwer kann das doch nicht sein, oder? gänzlich unverständlich finde ich, dass du einen ip-anonymisierer verwendest, und die nebeneffekte dessen antville (bzw. uns) anlastest. sorry, but i don't get it. wir haben uns bemüht die accounts der antville-user so sicher wie möglich zu machen, und solange keine bessere idee zur lösung des problems auftaucht wirds so bleiben. hns, lass mir ein paar bierflaschen übrig ...

Das eine hat mit dem anderem nichts zu tun.

an die kommt man nicht ran.

Warum stellst Du deinen Router nicht entprechend ein, das er nicht sofort die Verbindung trennt, anstelle dazu aufzufordern Antville zu kompromitieren?

1. weil ich keine Ahnung davon habe und es auch nicht dokumentiert ist, wie man das macht.
2. weil es keine andere Seite im Internetz gibt, die ein Problem mit meinem Router hat.
3. weil ich auf Argumentationen wie Deine dermaßen allergisch reagiere, dass ich mir jeden weiteren Kommentar dazu spare.

...scheint mir doch reichlich absurd. robert, hns, soll ich euch noch ein paar bierflaschen vorbeibringen?

Liebe Meise, für deine Unfähigkeit kann ich nichts, dafür das es nicht dokumentiert ist kann ich auch nichts und ich find meine Argumentation durchaus schlüssig, denn allergische Reaktionen bekommen nur die, die sich hilflos aufgrund der eigenen Inkompetenz fühlen. Warum sollten alle anderen unter mangelender Sicherheit aufgrund deiner Inkompentenz, der Inkompentenz dessen der deinen Router eingerichtet hat leiden?

Mögliches Szenario: Ich könnte auch argumentieren, das man die Sicherheitslücke wieder einbaut, ich wäre der erste der sie ausnützen würde, würde unter deinem Namen rechtspornografisches und kinderradiakles Material veröffentlichen, und jemand wie Du würde dann die Konsequenzen tragen müssen.

Ich bin nicht mal aufgeregt, ich finds eher amüsant und lehrreich wie man mit technischen Problemen und den Folgen umgeht.

man könnte ja auf der seite mit den nutzerpräferenzen die option "unsicherer cookie" (mit belehrung über risiken und nebenwirkungen) hinzufügen. um den "unsicheren" logins mehr sicherheit zu geben, könnte man z.b. verfahren wie bei mac os x: wenn man admin-funktionen (skins, prefs, fremde postings loeschen oder editieren) benutzt, muss man sich noch einmal authentifizieren.

aber eigentlich ist das problem nicht das ständige einloggen, sondern die verlorenen postings. könnte man die routinen nicht so gestalten, dass der gerade geschriebene oder bearbeitete beitrag nach dem redirekt zur login-seite nicht weg ist?

könnte man die routinen nicht so gestalten, dass der gerade geschriebene oder bearbeitete beitrag nach dem redirekt zur login-seite nicht weg ist?

ja, das sollte eigentlich möglich sein (thanks to helmas session/user-model), ich werd mich mal dahinterklemmen.

hehe, und als nächstes kommt asynchrones save-while-write mittels javascript xml-rpc api, oder robert?

nein, das kommt bestimmt nicht ;-)

Danke dafür, also das es nicht kommt.

joerg, du sagst es doch selber: wie mans macht ist es verkehrt. und grade macuser reagieren ganz empfindlich darauf, wenn nicht alles so ist, wie es immer war. vielleicht habe ich in letzter zeit zuviel mit grafikern rumgehangen und deswegen einen kleinen hirnstau gehabt (genick brechen etc), mittlerweile habe ich mich daran gewoehnt 2 mal am tag einzuloggen.. mittlerweile geht auch alles wesentlich fluessiger, aber einen moment lang hatte ich echt panik, das antville unbenutzbar wird. und das haette mir ein bisschen das genick gebrochen, nicht weil ich sonst kein leben haette, sondern weil ich die gemeinschaft mit einigen hier nicht mehr missen wollen wuerde. und jede andere form der kommunikation eben eine andere waere. das wuerde ich ungerne missen. das sich hier jetzt so eine spaltung techies gegen daus bildet, angefuehrt von mr. nomanieren, das finde ich schade. und das uns hier pauschal anspruchsdenken vorgeworfen wird finde ich unfair, schliesslich sind hier einige versammelt, die bereit waeren, eine art foerderverein zu bilden oder sonstwie finanziell beizutragen, um antville.org so zu erhalten, wies ist. ach, was solls, ich bin heute viel zu harmoniesuechtig, um noch was sinnvolles schreiben zu koennen. ausserdem muss ich noch was arbeiten.

Ich empfehle in solchen Situationen immer www.iks-jena.de sowie meinen Senf auf nosleep.antville.org - dort steht auch warum Sicherheit nicht optional ist - und wer ein gutes Argument bringen kann, ist herzlich eingeladen mich zu entkräften.

Deine Argumente kann ich gut nachvollziehn, is klar, das hier für die Macher alles nicht so einfach ist - vor allem, den Usern entgegenzukommen, denen die Profesionalität abgeht. War allerdings im Glauben, dass die Präsenz von notechs hier erwünscht war, um die wahre Usability zu erproben. Wie ich sagte, das klingt ja alles sehr argumentativ bei dir. Mag auch sein, dass du nicht im geringsten Tolerant genug bist um andre Vorgehensweisen und Gegebenheiten zu akzeptieren. Respekt vor deinem Wissen. Aber dein zwischenmenschlicher Umgangston ist schlicht und ergreifend zum Kotzen. Und die Arroganz deinerseits...auch (muss gestehn, mir fällt kein passenderes Wort als dieses ein). Ich bin gerne bei antville, happ kein Stress mittem einlocken, happ auch kein Router. Aber mit einer solchen Art von Überheblichkeit hab ich eins.

Wieso wollt Ihr Probleme immer auf den Nutzer schieben? Könnte es nicht auch sein, dass der Admin ein Kommunikationsproblem hat, wenn seine Nutzer nicht verstehen, dass das schnelle Stopfen eines Sicherheitslochs Vorrang hat, auch wenn es zu vorrübergehenden Unzulänglichkeiten führt?

Was wäre wenn man den Nutzern eine verständlichen Erklärung gibt? Ich wette, damit würden garantiert einige der der Beschwerden wegfallen und die Nutzer würden nebenbei auch was für später lernen. Vielleicht haben sie sogar Ideen für eine langfristige Lösung, die besser als den Hotfix ist.

Glaub ich nicht. Solange man in Deutschland im gesellschaftlichen Ansehen steigt, wenn man offen zugibt, weder von Mathematik noch von Technik etwas zu verstehen, ist die Anzahl derer, die sich schlicht und einfach weigern, einer technischen Erklärung zuzuhören, erschreckend hoch.

Es sind nämlich immer gerade die "Nichtzuhörer", die sich hinterher beschweren. (Und das ist Lebenserfahrung und kein Vorurteil :o)

ich würde es sinnvoller finden:

• wenn die nichtdurchblicker die durchblicker nicht deswegen anpampen, weil sie was nicht kapiert haben.

• und die durchblicker die nichtdurchblicker nicht deswegen anpampen, weil sie so deppert sind.

come on, guys, rumgezetere macht nur unhübsche falten.

Leichter gesagt als getan: Es gibt auch noch so etwas wie »Produzentenstolz« (ja, ich weiß, Begriff aus der marxistischen Mottenkiste, aber trotzdem was Wahres dran) — und wenn man daran rührt... ;o)

Und außerdem bin ich mit meinen fast 50 Jahren noch ziemlich faltenlos, kann also noch einiges ab. :o)

ist das Problem. Zynismus: Keine Nutzer keine Probleme - ist das so schwer? (= Für die Login-Problematik gibt es keine Lösung die mit vertretbaren Aufwand implementierbar ist. Die Probleme resultieren aus dem offenem Design von Antville (Stichwort malcious user) der Zustandslosigkeit von HTTP und dem mangelendem Sicherheitsbewusstsein der Majorität der Nutzer. Was darf es sein:

• Verzicht auf Skins/Layout generell? Möchte niemand - dafür sind wir alle zu eitel.
• Verzicht aufs Login-Skin? Akzeptabel!
• Verzicht auf Integrität des eigenen Blogs? Inakzeptabel!

Die aktuelle Lösung arbeitet einwandfrei im Sitzungskontext, wer die IP nach dem Login wechselt muss sich eben wieder anmelden - vertretbare Lösung für die Majorität der User. Alle weiteren Änderungen würden tiefere Einschnitte in Komfort und Einfachheit bedeuten. Andere Lösungen würden das offene Design von Antville entgegenwirken. Ich bin mit dem Antville Projekt in keiner Weise verbunden.

Das merkt man Deinen Ausführungen an. Wenn Dir Antville etwas bedeuten würde, dann würdest Du auch erkennen, dass Deine Aufwand/Nutzen-Analyse falsch ist. Es ist so, wie es Nina sagt, die derzeitige Übergangslösung könnte Antville das Genick brechen. Alerdings nicht, weil die Leute zu dumm sind oder zu wenig Sicherheitsbewusst sein haben, sondern weil es einfach zu lästig ist.

Die Sache mit "Antville das Genick brechen" finde ich völlig überzogen, obwohl ich Ninas Frust verstehe.

Du führst deine eigenen Arguemnte ad absurdum, dir ist einfach nicht mehr zu helfen. Du bist dumm und wenig sicherheitsbewusst, weil der Fakt das es mit vertretbarem Aufwand keine bessere Lösung gibt nicht in deinen Kopf passt.

Ich finde es immer wieder faszinierend wie ich hier auf persönlicher Ebene angeweint werde - die Aussage das ich mit Antville nicht vebunden bin bedeutet einfach nur das ich nicht möchte das jemand auf die Idee kommt das ich für die Organisation tätig bin die Antville bereitstellt. Ja ich betrachte die Sache sehr emotionslos, und ich finde das gut so, Antville ist nicht mein Leben, es geht auch ohne - bei euch scheinbar nicht mehr? Achso, bring doch mal einen Lösungansatz der nicht nur aus "es muss besser gehen" besteht - wie wäre es zur Abwecheslung mal mit etwas Kompetenz anstatt geweine.

so, für mich ist die grenze des erträglichen jetzt überschritten. kriegt's euch wieder ein oder ich droh euch mit liebesentzug. so eine freche arroganz hier, so ein unmöglicher ton.

ps. ich bin mit diesem projekt leidenschaftlich verbunden und gleich platz ich.

ich sagte nur, dass es fuer dich keine loesung mit fuer dich vertretbarem aufwand gibt, weil es dir egal ist. anderen leuten ist es nicht egal und deshalb sieht deren kosten/nutzen-rechnung anders aus.

Mähmäh, alles Warmduscher hier. (=

Ich hab schon bei meinem erstem Posting angedeutet das es eine Lösung gibt die auf Hashes basiert, aber hier muss man ja alles sebst machen - wie auch immer ich hab das aufgeschrieben und auf euere Hop-Liste gemailt - es ist nur ein Ansatz, aber es funktioniert mit Hashes und lässt sich ähnlich einfach implementieren wie ein IP-Check der ja die IP-Wechsler stört. Die Lösung erlaubt es den Cookie zu klauen macht ihn aber unbrauchbar wenn er von einer anderen IP-Adresse kommt, jemand einen anderen Client benutzt und arbeitet auch mit Cookies und macht einen Filter eventuell komplett überflüssig - löst aber nicht das Login-Skin-Problem.

Was ich nicht reingeschrieben habe ist folgende Lösung, die macht es noch einfacher mit der serverseitigen Hashberechnung und einer Session ID in dem man folgende Werte einbezieht und das wie folgt implementiert: {User|Session ID|Domain|IP|User Agent} das sieht dann so aus: {nosleep|217.227.87.114.ugnt1jc502ot |pD9E35772.dip.t-dialin.net|217.227.87.114|Internet Explorer 6.0; WinXP} Jetzt haben wir immernoch das Problem das die IP wechselt und uns niemand die Session ID stehlen darf. Wir verkürzen das auf: {nosleep|ugnt1jc502ot|t-dialin.net|217.227|Internet Explorer 6.0; WinXP} und legen das als md5hash zusätzlich in den Cookie den darf jetzt jeder haben und der sieht wie folgt aus: 716bc5d86db4368001736d6d1ea21e70.

Dieser Hash liegt im Cookie, aber nur als Checksumme zusätzlich. Wenn jetzt jemand von chello.at oder aus einem anderen Adressbereich mit dem gestohlenem Cookie kommt oder einen anderen Browser benutzt stimmt der Hash auf der Serverseite nicht mehr und das war es dann. Die Daten sind alle aus den Request Headern generiert und sollten für den HOP/antville zugänglich sein. Der Hash braucht nicht gespeichert werden, die IP-Adresse auch nicht mehr. Der Hash wird nur aus den eingehenden Request-Headern generiert und mit dem Hash im Cookie verglichen - Vóila!

Wiegesagt, ihr müsst das noch entsprechend auf den HOP/antville anpassen und gut ist. Je nach dem wie euer Session Manager implementiert ist, sollte z.B. die echte Session-ID nicht mehr im Klartext im Cookie stehen, da es aussreicht die Session von nosleep zu finden, den Hash mit Session ID serverseitig zu erzeugen mit dem Hash aus dem Cookie zu vergleichen und wenn die Hashes übereinstimmen ist es der echte nosleep wenn nicht ist es wer anders.

In letzter Instanz bedeutet das weniger Arbeit für euch und der gleiche Komfort wie vorher und Sessions sind wenn mir nix entgangen ist nicht mehr übertragbar, weil er Angreifer eine andere IP-Adresse hat die ja verhasht ist und die SessionID nicht mehr kennt weil man sie aus dem Hash nicht ableiten kann. Bla ... um Digestangriffe zu verhinden können noch mehr Daten in den Hash - der Rest steht im Posting.

Das heisst, man muss nix zusätzliches in der Applikation ändern und im Cookie steht nur nosleep;716bc5d86db4368001736d6d1ea21e70 (avUsr=nosleep; avMagicHash=716bc5d86db4368001736d6d1ea21e70;)

Mit der Abfrage: select distinct sessionid from sessions where user=nosleep; bekomme ich die Session ID aus der Tabelle aller eingeloggter User die eine Session ID haben. Aus den Request-Headern nehme ich die restlichen Daten generiere mit der geheimen SessionID den gleichen Hash und schon weiss ich mit

if (cookie.hash == server.hash)

ob die SessionID stimmt (ohne sie aushändigen zu müssen) und von der richtigen IP-Adresse ist oder Domain ist und brauche dabei z.B. nur die ersten beiden Zahlen aus der Remote Adresse und die domain.tld - das sollte den armen armen IP-Wechslern helfen.

Die jetzt geheime Session-ID sollte man natürlich nicht irgendiwe aus der Datenbank bekommen, auch nicht per Injektion, XSS - versteht sich von selbst - oder?

Hat das jetzt wer noch nicht verstanden? Möchte mir jemand einen hochdotierten, coolen Job in angenehmer Atmossphäre anbieten, möglichst im Bereich Internet im Raum Wien?

Möchte mir jemand einen hochdotierten, coolen Job in angenehmer Atmossphäre anbieten, möglichst im Bereich Internet im Raum Wien?

tja, auf der sachebene bin ich einigermaßen beeindruckt, aber mangels soft skills seh ich da in meinem umfeld schwarz. viel glück noch.

Danke für Deine Mühe. Klingt soweit gut.

Eine Frage habe ich noch: Wenn ich es richtig verstanden habe, kann jemand nur etwas mit meinem geklauten Cookie anfangen, wenn er in meiner Domain ist, wenn die ersten zwei Stellen der IP hinhauen und wenn er einen Browser wie ich benutzt. Wer Cookies klaut, kann er auch problemlos Browser und Betriebssystem rauskriegen. In meiner Fabrik haben einige hundert Leute die gleiche Domain und die gleichen ersten zwei Stellen in der IP. Und wahrscheinlich kommt eher jemand aus meinem Umfeld auf die Idee, meinen Account zu hacken, als ein Script-Kiddie aus den Staaten.

Wenn dem so sei, dann könnte man doch bei Nutzern mit fester IP, hohem Sicherheitsbewusstsein oder Paranoia weiterhin eine Möglichkeit geben, die ganze IP mit in den Cookie packen.

Um das Fabrikproblem zu lösen kann man z.B. noch die Proxy-Header in den Hash einfliessen lassen, denn die zeigen die originäre IP an. D.h. Remote_Addr plus die Adresse hinter dem Proxy gibt wieder einen eindeutigen Hash der einen User eindeutig identifiziert. Die Lösung lässt sich beliebig erweitern und zielt eher darauf ab einen sanften re-login zu ermöglichen. 100%ig ist das nich aber ich halte es für eine gute Idee.

Müssen die Entwickler sehen was sie alles an Headern einfliessen lassen können um es so wenig spoofable wie möglich zu machen. Die andere Lösung, die Mitarbeiter in der Fabrik sollen das Internet für die Arbeit nutzen und nicht ihre privaten Blogs während der Arbeitszeit lesen, so würde ich es zumindest sehen.

Soft-Skills: Ich bin mal wieder etwas zynisch: D.h. jemand arbeitet mit Leuten zusammen die keine oder weniger Ahnung haben, aber dafür habt ihr euch allesamt ganz lieb auf der Arbeit? Prima, kein Wunder wenn da nur Applikationen rauskommen die nur für "wir haben uns alle lieb Netze designed sind" - SCNR

Respekt! Du versuchst, den sozialen Aspekt des Problems zu sehen, aber eine Antville-Site ist nicht immer ein privates Weblog.

Wir wollen Antville in unserem Bereich auch als LoFi-Groupware-Lösung, Kommunikationsplattform, schwarzes Brett etc. benutzen. Okay, wenn jemand aus meinem Bereich darauf Unfug macht, kriegt er von mir was auf die Backen, aber meine Fabrik ist schon sehr groß und ich kenne nicht jeden.

Das Fabrikproblem ist lösbar, du brauchst nur die entsprechenden Änderungen im Session-Manager vornehem und schon gibt es für deine Umstände eine entsprechende Lösung. Wenn du allerdings sensible Daten in deiner Groupware hast, möchtest du die Daten sicherlich mit starker Krypto (SSL) schützen oder diese Daten wenn möglich nicht ins Internet stellen - ansonsten darfst Du dich nicht beschweren wenn Dir jemand die Daten abzieht (siehe z.B. nosleep.antville.org als Beispiel).

Ich bin mir der sozialen Implikationen von Technologie sehr wohl bewusst, leider hiess das in diesem Fall das ein paar Dial-In User draussen bleiben, allerdings waren das die Menschen die am wenigstem zur Lösung des Problems beigetragen haben - schade eigentlich oder?

Deine Groupware wird auch nur sicher sein, solange wie Du den Menschen die Skins modifizeren können vertrauen kannst, wenn Du den Clients nicht vertrauen kannst (also sichere Ende zu Ende Sicherheit) hast du eh schon viele Probleme die man nicht haben möchte und die sich nicht einfach lösen lassen.

Die Hashes werden übrigens sicherer je weniger Einschränkungen im Bezug auf den Hash gemacht werden, es gilt eben abzuwägen Sicherheit gegen Komfort. Für mich ist das das grundlegene Paradigma. Sicherheit hat Vorrang vor Komfort (Beispiel: Sicherheitsgurt im Auto - klar ist es lästig sich jedes Mal anzuschnallen und es ist viel cooler ohne Gurt zu fahren aber es ist auch riskanter im Falle eines Unfalls).

Und jeder der bereit ist Komfort gegen Sicherheit einzutauschen gefährdet sich und andere - das hat überhaupt nichts mit sozialer Kompetenz zu tun, und mir die soziale Kompetenz (von deiner Seite) abzusprechen ist albern, weil die in der technischen Dikussion primär keine Relevanz hat (davon ab kennst Du mich persönlich nicht). Und genau dieses Pradigma finde ich wichtig, weil Antville als Community sonst nicht mehr funtkioniert und diese Idee verteidige ich auch. Ich finds nur schade das es die Leute die einfach nur an Komfort denken nicht interessiert was das eigentliche Problem ist.

Anderes Beispiel ist tobis Implikation das ich keine Softskills besitze - find ich amüsant, denn wenn ich als Mitarbeiter einer Firma jemanden sehe der was kann mach ich mir ein vollständiges Bild von der Person und sehe wie er ins Team passt, in die Wüste hätte er mich dann immer noch schicken können, anyway - davon ab mein Job wäre ja nich das Posten von Beiträgen in Blogs und DAU Support mache ich auch nicht. Glück brauch ich nicht, das ist was für Menschen die nur soziale Kompetenzen haben. =)

Können wir diese endlose Geschichte mal sterben lassen?

Können wir diese endlose Geschichte mal sterben lassen? +1

So hoch ist die Site nicht angebunden. Es geht nur darum, dass Leute, die aus der Ferne an einem gemeinsamen Projekt arbeiten, immer ungefähr wissen sollten, was die anderen so machen. Das ist bei uns alles nicht top-secret, aber vermutlich langweilig für den Außenstehenden.

Beispiel: In der Fabrik kriege ich zum Beispiel ganz nebenbei mit, dass ein Kollege mit Firewire-Cams rumbastelt. Sollte ich jemals mit was mit Webcams planen, dann gehe ich zuerst bei ihm vorbei und erkundige mich. Wenn ich jetzt die Leute aus einer verteilten Arbeitsgruppe dazu bewege, dass sie alle interessanten Links, Erfahrungen und Beobachtungen sammeln, dann kann ich genau dieses Fabrik-Feeling nachbauen. Andere Leute versuchen das mit VR, 3D und so, aber ich glaube, dass ein Community-Antville-Site völlig ausreichend ist.

So, aus jetzt.