 |
Warum musste ich mich ständig neu einloggen heute morgen?
|
Sortieren nach:
Datum - neue zuerst |
Datum - alte zuerst |
Bewertung
|
|
|
|
|
|
Der Button "Bewertungen anzeigen" ist ohne Funktion auf dem iPhone (Safari/iOS 12) Das Vorschaubild des aktuellen Hefts oben rechts wird nicht angezeigt (hatte ich ja schon per Mail geschrieben). Firefox/Windows10 Kann ich beides nicht bestätigen.
|
|
|
|
|
... will ich kostenfrei meine Zeit aufwenden, um ihm dabei zu helfen, den Service besser zu machen. Das Schreiben dieses Posts kostet mich auch immerhin 30-45 Minuten meines Sonntags nachmittags. und das muss man auch wieder im öffentlichen Teil des Forums tun? Eine private Email an Jan tut's da nicht? nein? Unglaublich, diese Selbstdarstellung, allen voran Tomas Jakobs als Obernarzist dieses Forums und dann noch einige weitere...
|
|
|
|
|
Hi Jo, vorab: Hier steht nur, wo ich nicht mit Dir übereinstimme: 1) Referrer-Policy. Es war schon immer guter Brauch im Internet, beim Besuch eines neuen Webservers zu sagen: "Guten Tag, ich komme auf Empfehlung von hier." Es ist ja auch durchaus spannend für z.B. den Betreiber eines Flugplatzrestaurants, zu sehen, in welchem Thread hier im Forum seine Bude gelobt wurde. Und etwa genauso alt sind Anonymisierungsproxies für die Leute, die das nicht wollen. Oder Browser-Erweiterungen. Warum muss man hier irgendetwas irgendwem empfehlen, mit dem Unterton, es gäbe ein "besser" oder "schlechter"? Wir reden hier nicht von "scharfen" Facebook-Like-Buttons. 2) Jigsaw ist alt-ehrwürdig, und es ist ganz offenbar securitymäßig in Ehren ergraut. Ich habe mir die Mühe gespart, nach Sicherheits-Problemen zu googlen, das hat mit Sicherheit TJ gemacht, und wenn eine Software von einer renomierten Organisation wie dem W3C unverändert ohne Warnhinweise zum Download angeboten wird, ist der Vergleich von Tobias bezüglich "Stand der Technik" durchaus passend: Warum sollte es broken sein? Jigsaw ist eingeschlafen, weil sich "die Welt" eben für die Java-Servlet-Spec entschieden hat. So what? Ich setze DJBs tinydns in Version 1.05 aus dem Jahre 2001 ein. Läuft, die letzten Patches stammen von Fefe für einfacheres IPv6-konfigurieren. Was soll die Empfehlung, auf Tomcat etc. zu gehen? Damit wäre doch Update-Hektik angesagt, und alle 2 Jahre ein Major-Update.
|
|
|
|
|
Die Sachen, die ich da aufgelistet habe, sind eben gerade nicht Security-relevant. Das meiste wurde abgesehen davon bereits vorher erwähnt, ich habe lediglich mal versucht die Wogen ein wenig zu glätten und technische Lösungen aufzuzeigen. Und vielleicht interessiert es den ein oder anderen ja auch einfach so. Dieser ständige Vorwurf der Selbstdarstellung wird übrigens auch nicht dadurch richtiger, dass man ihn ständig wiederholt. Ist für dich jeder, der etwas öffentlich postet ein Selbstdarsteller, oder nur, wenn er nicht deine Meinung trifft?
|
|
|
|
|
Halleluja, eine sachliche Antwort! Klasse, freut mich! Zu 1) Stichhaltiges Argument. Ich denke die ganze Referrrer-Thematik ist in den letzten Jahren auch deswegen so hochgekocht, weil die Nutzung von Tracking-Diensten, Zählpixeln usw... extrem zugenommen hat. Außer Google Analytics gibt's auf PuF keine externen Ressourcen, daher ist das hier nicht ganz so relevant. Um den von dir genannten Use-Case abzudecken böte sich dann "strict-origin-when-cross-origin" an. Dann wird an externe Stellen nur die Domain weitergegeben, und nicht die ganze URL, die ggf. sensible Informationen enthält (wie z.B. früher ganz gern die PHP Session ID, als noch viel mit GET gearbeitet wurde). Zu 2) Gegen den Jigsaw 2.2.5, der aktuell verwendet wird, sehe ich hauptsächlich 2 Argumente. - Nicht aktueller Patch-Stand, im Changelog auf 2.2.6 ist u.A. von "More SSL and servlet related patches from Thomas Kopp." die Rede. Natürlich muss das nicht gleich ein Einfallstor sein, aber wenn es jemand ausnutzen will(!), dann wird es ihm hier natürlich vergleichsweise leicht gemacht. Ein Diff auf den Source Code und wahrscheinlich tut sich da das ein oder andere Einfallstor auf.
- Das W3C schreibt selbst: "the Jigsaw server is a premier experimental platform for W3C and the Internet community." Jigsaw ist als Experimentierplattform ins Leben gerufen worden. Nichts desto trotz hat er wohl als Webserver die letzten 10-15 Jahre gut funktioniert. Wahrscheinlich war er 2003 auch der einzige, der die PuF-Software ausführen konnte. Aber die Welt hat sich seitdem natürlich weitergedreht. Daher meine Empfehlung, doch mal neuere alternativen zu prüfen, die den Code im besten Falle ohne Änderung ausführen können.
Bevor Wolfgang jetzt noch Bluthochdruck bekommt, belassen wirs aber vielleicht lieber dabei.
|
|
|
|
|
- dies ist ein Forum zum Thema "Pilot und Flugzeug"; übrigens kostenlos!
- der Forenbetreiber hat in einem Beitrag darauf hingewiesen, warum technische Probleme bei der Nutzung des kostenlosen Sevices aufgetreten sind und weshalb
- es erübrigt sich schlicht, DIES in dem Forum (für Piloten und Flugzeuge) zu diskutieren.
- wer aus fachlichen oder sonstigen Gründen Kritik am Webauftritt oder der IT des Unternehmens oder über deren Preispolitik oder über das Verhalten der Sekretärin oder sonst was üben will kann dies tun, indem er die Geschäftsleitung auf einem der üblichen Kanäle nicht öffentlich kontaktiert,
ganz sicher aber haben solche Beiträge NICHTS in der Forumsdiskussion eines Forums mit dem Thema "Pilot und Flugzeug" zu suchen!
|
|
|
|
|
Was Du schreibst, hört sich plausibel an, ist es aber nicht. In jedem Forum ist zurecht auch die Technik des Forums Bestandteil der Diskussionen. Genauso, wie unser Genörgel über den Bilder-Upload per Flash ja auch irgendwann erhört wurde und seitdem der Bilder-Upload funktioniert, wenn man Jpeg als Bildformat einsetzt. Natürlich gehört diese Diskussion hierhin, in höflicher Form, die Johannes wahrt. Richtig ist aber ebenso, dass alles, was rechtlich oder sicherheitstechnisch problematisch ist, zurecht direkt und nicht öffentlich an den Forumsbetreiber gemeldet werden sollte.
|
|
|
|
|
ganz sicher aber haben solche Beiträge NICHTS in der Forumsdiskussion eines Forums mit dem Thema "Pilot und Flugzeug" zu suchen! Man kann nur froh sein, dass es hier deutlich gelassener zugeht, als manche "Forenpolizisten" es gerne hätten. Manche Abschweifungen sind zugegebenermaßen nervig, manche interessant. Und nach meinem Empfinden hat Johannes auf einer deutlich sachlicheren Ebene seine Vorschläge vorgetragen und erläutert, eventuell auch intendiert zur Diskussion durch andere Teilnehmer gestellt. Dass man diese (wie bei einer Mitgliederversammlung vorgestellten) Vorschläge mit unsachlicher Kritik ("Die Wandfarbe ist häßlich!" - analog zur Sekretärin) gleichsetzt, ist eigens ziemlich unsachlich. Auch von mir vielen Dank an Jan Brill für das Engagement und seine Sachlichkeit. Anderen wäre wahrscheinlich schon längst der Kragen geplatzt.
|
|
|
|
|
100% Zustimmung. Und: ich finde das Forum super. Tatsächlich ist es relativ ausgewogen zwischen Trollen und Blockwarten. (die TJ-Basher nerven genauso wie TJ selber)
|
|
|
|
|
Ich antworte dem letzten Beitrag. Ich muss mich nun jedesmal wieder anmelden, dies obwohl ich bei meinem Cookietool die Domain auf die Whiteliste gesetzt habe. Ist das normal? Windows 10/Firefox 64.0/Addon CookieAutodelete Danke für eine Rückmeldlung Roland
|
|
|
|
|
Nachdem das Gejammere und die üblichen Forenhelden sich hier ausgebasht haben nun ein konstruktiver Vorschlag: Jan, wie wäre es wenn Du als Zeichen Deiner festen Überzeugung ein PuF Bug-Bounty ausrufst? Hier öffentlich! Gezeigt werden soll selbstverständlich nur die Machbarkeit. Offen und transparent hier im Forum, das für seine offenen Worte und für seine Toleranz so berühmt ist. Es geht nicht um Reichtümer, sondern nur um eine kleine Motivation! Sagen wir ein Jahr PuF und Jeppesen Abo? Das bricht niemanden ein Zacke aus der Krone. Damit nicht jede Lapallie hier zu einem Bug stilisiert wird, einige Kriterien als Vorschlag. Mindestens ein Kriterium muß erfüllt sein: - der Bug muß in der Lage sein, Scripte entweder auf Server oder im Clienten eines Besuchers laufen zu lassen.
- der Bug muß in der Lage sein, Seiteninhalte zu manipulieren und Besucher auf fremde Websites umzuleiten
- der Bug muß in der Lage sein, Kundendaten zu leaken
Nur Mut!
|
|
|
|
|
Hallo Jan, Ich finde es klasse dass Du Dich um Deine Website bzw. unser Forum so gut kuemmerst, es am Laufen haelst und alles Dir moegliche tust um es einigermassen Sicher zu halten. Zudem sprichst Du davon und tust kund was und wie Du es tust - damit hast Du einigen anderen Websitebetreibern einiges Voraus. Fehlerfreie Software gibts nicht soweit ich weiss und wenn man denkt man hat alle Luecken zu, ist es nur eine Frage der Zeit bis diese auch gehackt sind. But that should be common sense by now... Moechte mich gar nicht explizit gegen jemand stellen hier - aber wenn's jemandem (der ja eh alles richtiger und besser kann als andere) im Forum nicht gefaellt, dann muss er ja auch nicht daran teilnehmen...
|
|
|
|
|
Vorschlag: Du lobst den Preis aus, Du erarbeitest das Marketing, Du organisierst den Wettbewerb, Du passt auf, daß der Server/ der Betrieb von PuF durch entdeckte Exploits keinen Schaden nimmt. Hast Du Dein gutes Werk für das nächste Jahr schon getan.
|
|
|
|
|
Wenn schon soll TJ mit gutem Beispiel voran gehen und die vielen offenen Fragen in seinen Blogs und Beiträgen beantworten. Sich selbst tot zu stellen aber Andere anzupatzen ist nicht fein. übrigens bin ich nur dann "TJ-Basher" wenn es Anlass dazu gibt. Von IT habe ich keine Ahnung und kritisiere TJ hier auch nicht fachlich. Menschlich vielleicht.
|
|
|
|
|
Ich antworte dem letzten Beitrag. Ich muss mich nun jedesmal wieder anmelden, dies obwohl ich bei meinem Cookietool die Domain auf die Whiteliste gesetzt habe. Ist das normal? Windows 10/Firefox 64.0/Addon CookieAutodelete Ich finde euer Hin und Her wirklich auch interessant... Trotzdem die Frage: Gibt es noch andere, welche sich bei jedem Besuch anmelden müssen?
|
|
|
|
|
Ja ich, auf dem Smartphone (Android) auch. P.S.: Zugang über Google Chrome. Mit Firefox und IE auf dem PC aber ohne Probleme.
|
|
|
|
|
Ich auch (Desktop/Firefox).
|
|
|
|
|
Bei mir unter Android bleibt die Anmeldung erhalten.
|
|
|
|
|
Bei mir (Android) muss ich mich auch nicht dauernd anmelden...
|
|
|
|
|
Jan, wie wäre es wenn Du als Zeichen Deiner festen Überzeugung ein PuF Bug-Bounty ausrufst? Hier öffentlich! Gezeigt werden soll selbstverständlich nur die Machbarkeit. Offen und transparent hier im Forum, das für seine offenen Worte und für seine Toleranz so berühmt ist. Es geht nicht um Reichtümer, sondern nur um eine kleine Motivation! Sagen wir ein Jahr PuF und Jeppesen Abo? Das bricht niemanden ein Zacke aus der Krone.
Hallo Herr Jacobs,
das ist 'ne tolle Idee, das machen wir sofort. Ich will nur nochmal rückfragen ob ich das richtig verstanden habe: Ich gebe also nicht nur unfreiwillig Gelegenheit (=Sicherheitslücke) sondern zusätzlich und vorsätzlich auch noch Erlaubnis (=Auslobung) und Anreiz (=Prämie) für jedermann sich in einem Produktionssystem Zugriff auf geschützte persönliche Daten und E-Mail-Kommunikation anderer zu verschaffen. What can possibly go wrong? Ich war zwar nur sechs Jahre beruflich in der IT und habe viel vergessen, aber ich gehe nochmal auf meine alten Aufzeichnungen aus der Investment Bank zurück ... ja ... da steht's ja – genau: Security Challenges macht man immer mit dem Produktionssystem! Cool! Jan Brill
P.S. Welche "feste Überzeugung" ? Habe nie behauptet das System sei komplett safe oder auch nur besonders safe. Wie könnte ich? Ich weiss ja, dass es sichere Webserver nur von Ihnen gibt! Ich habe lediglich behauptet dass Sie bei Ihren Findings ziemlich oberflächlich gearbeitet haben und eine Anzahl der Findings haltlos sind (andere nicht). Ist Differenzieren echt so schwer?
|
|
|
|
|
... den Post kann ich auch nicht bearbeiten, vielleicht weil ich in Sunny Florida dem vollen Sonnenschein ausgesetzt bin ?
|
|
|
|
|
... mein vorhergehender Post ist jetzt verschwunden. Das war die Frage, warum ich nicht bewerten, aber eine Antwort schreiben kann.
|
|
|
|
|
Na dann wird es (auch in dieser Hinsicht) Zeit für ein Update was Bug-Bounties sind. Selbstverständlich werden Bug-Bounties für die aktuellen in freier Wildbahn bestehenden Produktivsysteme ausgerufen. Das ist die Challenge. Denn jemand, der "dagegenklopft" gerät ohne öffentlich ausgerufene Autorisierung oder Zustimmung des Betreibers UND einer klarer Defintion bzw. Teilnahmebedingungen in eine juristische Falle, wenn versucht wird irgendwelche (vermeintliche) Schutz-Maßnahmen zu überwinden. Selbstverständlich wird verantwortlich mit etwaig so erlangten Daten umgegangen, denn es geht allein darum, eine Machbarkeit zu zeigen. Zum Beispiel wird anstelle eines Exploit-Codes einfach nur ein angezeigt, oder auf die Startseite redirected etc. Es bedarf nur eine öffentliche Autorisierung und einer klaren Haftungsfreistellung. Der Benefit: Ein Quell an Informationen und Schwachstellen, die man jenseits des eigenen Scopes zuvor nicht hatte (und die man ohne Bug-Bounty auch nie bekommen würde) und die helfen eine Website/Software über die Zeit zu verbessern. By the way: Ein Qualitätsmerkmal für jeden Betreiber einer eCommerce-Plattform oder einer Software wenn er ein Bug-Bounty Programm betreibt. Das Verringert die Wahrscheinlichkeit, daß einem sowas passiert. --- Was anderes, eine unschöne Kleinigkeit was Datenschutz und Consent betrifft: den "accept-on-timeout" Switch bei dem Cookiebanner vielleicht herausnehmen, hat irgendwie einen Beigeschmack einer Täuschungshandlung wenn das Cookie zur Einholung eines informierten Consent, automatisch nach n-Sekunden gesetzt wird. Ach und nochetwas wenn wir schon beim Beigeschmack sind. Es hat viel von Unredlichkeit, wenn man wiedeholt oberflächliche Findings bejammert, von denen ich selbst zuvor geschrieben habe, daß diese "im vorbeigehen" erstellt wurden zumal explizit im Eingangspost um kurzen Feedback gebeten wurde, wenn etwas auf der Website "herumzicken" sollte. Ein Dank und eine Deeskalation wären wohl in Anbetracht der anderen Kommentare und einer positiven Diskussionskultur angemessener gewesen. Nur so als Gedanke.
|
|
|
|
|
Hihi, Klasse :-)) Und was bietet Meister Tee Jay im Gegenzug, sollte er wider sein Erwarten vor den Toren des Servers scheitern und verzagen...?? Ich bitte um eine Umkehrkurve mit Gauklern, Narren und Schaulustigen. Noch lieber wäre mir natürlich, (s)ein Zentralrohr-Mickey zu teeren und zu federn, ähnlich den H. A. auf den legendären Parties, da machen die das doch alljährlich mit 'ner Reisrakete... ich lach mich scheggelig. DAAAS gibt ein Fest... ;-) Nachtrag: Paradiesvögel.... Paradiesvögel bitte auch zwischen den Gauklern, Narren, Schaulustigen und Mickey-Dompteuren.... Paradiesvögel und ein paar Drag Queens vielleicht
|
|
|
|
|
(ich antworte einfach dem letzten) Kann ehrlich gesagt nicht verstehen, warum dieser Thread nicht zugemacht wird. Und dafür einige unserer politischen und verschwörungstheoretischen Threads wieder aufgemacht werden :-)
|
|
|
|
|
|
|
|
|
|
|
|
|
