- Man kann Leute wie Dezorian nicht in die Friendlist übernehmen. Er existiert zwar als Forennutzer, aber nicht in der Spielerdatenbank. Friendlist kommt mit diesem Umstand nicht klar.
- Die Spielersuche leidet an schlechter Usability. Standardmäßig ist immer $MY_BUNDESLAND voreingestellt. Wenn man aber jemanden namentlich sucht — und das macht den Hauptteil aller Suchen aus — muss man immer alle Felder zeitraubend auf den egal-Wert zurücksetzen. Besser ist es, wenn die namentliche Suche sinnvollerweise schlicht alle anderen Ausgabebeschränkungen ignoriert.
- Eine Signatur kann nur ungefähr 250 Zeichen haben. Dabei gehen Markup und URIs sogar vom Brutto ab! Auf dem Bildschirm sind das nicht einmal anderthalb Textzeilen. Das ist zu mickrig und weil ich die Signatur gerne alle paar Wochen wechsle, musste ich mich schon zweimal darüber ärgern. 1000 Zeichen halte ich für angemessen. Selbst wenn ich diesen Text als Grafik einbinden würde (was ich aber nicht machen will, weil's flacsh ist), wäre er immer noch kleiner und IMO unaufdringlicher als so manch anderen Nutzers Signaturgrafik.
- "HTML ist an"; zu schade, dass davon nichts zu bemerken ist. Zu meiner Betrübnis muss ich feststellen, dass folgende Elemente maskiert und damit unwirksam gemacht werden:
- <abbr>
- <acronym>
- <address>
- <bdo>
- <big>
- <blockquote>
- <caption>
- <cite>
- <code>
- <col>
- <colgroup>
- <dd>
- <del>
- <dfn>
- <dir>
- <div>
- <dl>
- <dt>
- <em>
- <h4>
- <h5>
- <h6>
- <hr>
- <ins>
- <kbd>
- <li>
- <ol>
- <q>
- <s>
- <samp>
- <small>
- <span>
- <strike>
- <sub>
- <sup>
- <table>
- <tbody>
- <td>
- <tfoot>
- <th>
- <thead>
- <tr>
- <tt>
- <ul>
- <var>
vier Anliegen für vierpfeile
Moderator: Moderatoren
vier Anliegen für vierpfeile
Ich hatte einmal eine Signatur, und sie war gut.
Hallo Daxim, danke erstmal für deine präzise Beschreibung der Anliegen.
Erstmal möchte ich sagen, dass alle vier Themen als Probleme bereits bekannt sind. Das heißt natürlich nicht, dass sie keine Probleme darstellen und nicht gelöst werden sollen!
Also:
1. Friendlist
Die Friendlist ist originär ein Abfallprodukt des Moduls, aus dem die Spielerdatenbank hervorgegangen ist. Wir haben sie nicht erfunden, und wir haben sie auch nicht weiter als nötig in das Portal integriert. Damit ist klar, dass die möglichen Member nur aus der Tabelle der Spieler-DB nutzer stammen können und nicht aus der Master-User-Tabelle des Forenmoduls. Sicher wäre es wünschenswert, alle User hinzufügen zu können.
Allerdings schätze ich das so ein, dass praktisch kaum jemand die Friendlist wirklich nutzt. Es müsste also imho ein Poll gemacht werden, ob 1. die Friendlist gelöscht werden soll, 2. alles so bleiben kann, weil man halt nur seine Spielpartner aus der DB sammelt, nicht aber seine "Buddies" oder 3. die Funktionalität ausgebaut werden sollte, weil sie sehr wichtig ist.
Als Workaround kann ich dir erstmal anbieten: Schick eine PM an Dezorian , dass er sich in die Spieler-DB eintragen soll, damit du ihn adden kannst. Der intelligente Leser bemerkt hier ein nicht ganz uneigennütziges Verhalten des Systems (This is not a bug, this is a FEATURE).
2. Spielersuche
Dies stört mich in der Tat auch, Owner Grimmi sollte sich mal dazu äußern und ggfs. das Modul ändern!
3. Ich persönlich bin absolut gegen Signaturen, weil sie statt Informationen zu transportieren nur die Usability des Forums mindern. Signaturen sind zwar erlaubt, aber mehr auch nicht...
4. HTML im Forum
Dies gehört in der Tat zu einer der großen Baustellen von VP, das Forum ist nun mal eine Standardkomponente (PHPbb), und wir können praktisch kaum customizen, weil wir dann den Updatepfad verlassen. Dies betrifft wahrscheinlich die Tag-Zulassung nicht, weil die über ein Array zentral gefiltert werden. Ich bitte Grimmi mal um ein Statement dazu. Deine Vorschläge klingen für mich sehr vernünftig.
Grundsätzlichen bleiben wir auf "Bugs" und Unzulänglichkeiten des PHPbb aber meistens sitzen (siehe Thread-Seiten-Zähler-Bug seit einem Jahr)
Erstmal möchte ich sagen, dass alle vier Themen als Probleme bereits bekannt sind. Das heißt natürlich nicht, dass sie keine Probleme darstellen und nicht gelöst werden sollen!
Also:
1. Friendlist
Die Friendlist ist originär ein Abfallprodukt des Moduls, aus dem die Spielerdatenbank hervorgegangen ist. Wir haben sie nicht erfunden, und wir haben sie auch nicht weiter als nötig in das Portal integriert. Damit ist klar, dass die möglichen Member nur aus der Tabelle der Spieler-DB nutzer stammen können und nicht aus der Master-User-Tabelle des Forenmoduls. Sicher wäre es wünschenswert, alle User hinzufügen zu können.
Allerdings schätze ich das so ein, dass praktisch kaum jemand die Friendlist wirklich nutzt. Es müsste also imho ein Poll gemacht werden, ob 1. die Friendlist gelöscht werden soll, 2. alles so bleiben kann, weil man halt nur seine Spielpartner aus der DB sammelt, nicht aber seine "Buddies" oder 3. die Funktionalität ausgebaut werden sollte, weil sie sehr wichtig ist.
Als Workaround kann ich dir erstmal anbieten: Schick eine PM an Dezorian , dass er sich in die Spieler-DB eintragen soll, damit du ihn adden kannst. Der intelligente Leser bemerkt hier ein nicht ganz uneigennütziges Verhalten des Systems (This is not a bug, this is a FEATURE).
2. Spielersuche
Dies stört mich in der Tat auch, Owner Grimmi sollte sich mal dazu äußern und ggfs. das Modul ändern!
3. Ich persönlich bin absolut gegen Signaturen, weil sie statt Informationen zu transportieren nur die Usability des Forums mindern. Signaturen sind zwar erlaubt, aber mehr auch nicht...
4. HTML im Forum
Dies gehört in der Tat zu einer der großen Baustellen von VP, das Forum ist nun mal eine Standardkomponente (PHPbb), und wir können praktisch kaum customizen, weil wir dann den Updatepfad verlassen. Dies betrifft wahrscheinlich die Tag-Zulassung nicht, weil die über ein Array zentral gefiltert werden. Ich bitte Grimmi mal um ein Statement dazu. Deine Vorschläge klingen für mich sehr vernünftig.
Grundsätzlichen bleiben wir auf "Bugs" und Unzulänglichkeiten des PHPbb aber meistens sitzen (siehe Thread-Seiten-Zähler-Bug seit einem Jahr)
-
Grimmi Meloni
- Admin
- Beiträge: 4430
- Registriert: So 8. Jun 2003, 23:00
- Wohnort: Paderborn
- Kontaktdaten:
Werde ich morgen im Zug mal ändern. Ist kein Problem. Ist mir selbst auch schon aufgefallen, war aber immer zu faul es zu ändern.Plugsuit hat geschrieben: 2. Spielersuche
Dies stört mich in der Tat auch, Owner Grimmi sollte sich mal dazu äußern und ggfs. das Modul ändern!
*shame on me*Plugsuit hat geschrieben: 4. HTML im Forum
Dies gehört in der Tat zu einer der großen Baustellen von VP, das Forum ist nun mal eine Standardkomponente (PHPbb), und wir können praktisch kaum customizen, weil wir dann den Updatepfad verlassen. Dies betrifft wahrscheinlich die Tag-Zulassung nicht, weil die über ein Array zentral gefiltert werden. Ich bitte Grimmi mal um ein Statement dazu. Deine Vorschläge klingen für mich sehr vernünftig.
Grundsätzlichen bleiben wir auf "Bugs" und Unzulänglichkeiten des PHPbb aber meistens sitzen (siehe Thread-Seiten-Zähler-Bug seit einem Jahr)
Also die Liste einzubauen ist nicht die Schwierigkeit, allerdings kann man nur zwischen den reinen Tags und solchen die Parameter haben dürfen unterscheiden. So lange die ganzen gelisteten Tags ohne Parameter auskommen, sehe ich in Sachen Sicherheit ebenfalls kein Problem. Alle Tags die Parameter benötigen möchte ich aber direkt ausschließen, weil das wiederum arbeit bedeutet. Diese müßten dann nochmals von mir überprüft werden, usw.... Aber von der technishcen Seite mal abgesehen. Braucht man hier wirklich diese ganzen Tags? Plaintext ist doch für so ein Forum eigentlich ausreichend, oder seht Ihr das anders?
Einspruch; Suggestivfrage! 
In HTML gibt es keine Elemente, die keine Attribute haben. So ziemlich alle Elemente haben sechs Universalattribute und zehn Eventhandler.
Der aktuelle Filter ist augenscheinlich eh Murks: <a accesskey="0" charset="utf-8" class="blah" dir="ltr" href="javascript:alert(document.cookie)" hreflang="de" id="zonk" lang="de" name="foo" rel="bar" rev="baz" tabindex="1" target="_self" title="meh" type="text/plain" doesnotexist="true">quux</a> (siehe Quelle)
Da braucht's nur wieder einen ernsthaften xss flaw in phpbb wie schon im Dezember 2002 zu geben, und ein Angreifer könnte sich jedermanns Cookies schnappen, oder nach goat.cx umleiten, oder schlimmeres.
Das Markup oben funktioniert, weil der Filter die Attribute als Blacklist verwaltet, ansonsten würde er das invalide letzte Attribut ablehnen. Also sind bloß die Attribute style und on(click|key)* verboten. Demnach hast du keinen Aufwand mit der großen Zahl der gutartigen Attribute, sondern nur mit einer kleinen Zahl potentiell bösartiger.
In HTML gibt es keine Elemente, die keine Attribute haben. So ziemlich alle Elemente haben sechs Universalattribute und zehn Eventhandler.
Der aktuelle Filter ist augenscheinlich eh Murks: <a accesskey="0" charset="utf-8" class="blah" dir="ltr" href="javascript:alert(document.cookie)" hreflang="de" id="zonk" lang="de" name="foo" rel="bar" rev="baz" tabindex="1" target="_self" title="meh" type="text/plain" doesnotexist="true">quux</a> (siehe Quelle)
Da braucht's nur wieder einen ernsthaften xss flaw in phpbb wie schon im Dezember 2002 zu geben, und ein Angreifer könnte sich jedermanns Cookies schnappen, oder nach goat.cx umleiten, oder schlimmeres.
Das Markup oben funktioniert, weil der Filter die Attribute als Blacklist verwaltet, ansonsten würde er das invalide letzte Attribut ablehnen. Also sind bloß die Attribute style und on(click|key)* verboten. Demnach hast du keinen Aufwand mit der großen Zahl der gutartigen Attribute, sondern nur mit einer kleinen Zahl potentiell bösartiger.
-
Grimmi Meloni
- Admin
- Beiträge: 4430
- Registriert: So 8. Jun 2003, 23:00
- Wohnort: Paderborn
- Kontaktdaten:
-
Grimmi Meloni
- Admin
- Beiträge: 4430
- Registriert: So 8. Jun 2003, 23:00
- Wohnort: Paderborn
- Kontaktdaten:
-
Grimmi Meloni
- Admin
- Beiträge: 4430
- Registriert: So 8. Jun 2003, 23:00
- Wohnort: Paderborn
- Kontaktdaten: