naanoo foren 3.0
Weiterentwicklung der Forensoftware

Foto: Dean Drobot | Shutterstock

Foto: Dean Drobot | Shutterstock

Wichtig: Passwörter & Sicherheit

Vielleicht habt Ihr in den großen Medien die Berichterstattung über Hacks verfolgt. In den letzten zwei Jahren wurde eine ganze Reihe von großen Internetdiensten gehackt und es wurden mehrfach Millionen von Nutzerdaten erbeutet. Es gibt kein von Menschen geschaffenes System, dass gegen jeden menschlichen Angriff sicher ist.

Deshalb ist es besonders wichtig, sinnvolle Passwörter zu verwenden. Bitte nutzt in unseren Foren keine Passwörter, die Ihr auch bei anderen Diensten (bspw. Google, Amazon, Ebay) verwendet. Sollten Hacker dann Euer Passwort erbeuten, bleibt der Schaden begrenzt.

Wenn Ihr überall das gleiche Passwort verwendet, kann ein Hacker Euer ganzes Leben auf den Kopf stellen, wenn er das Passwort bei einem der Dienste abgreifen kann.

Updates:

3.0.1

Wir haben Verbesserungen an der Smilie-Erkennung vorgenommen. Insbesondere am Zeilenende gab es immer wieder Probleme, wenn User das Leerzeichen entfernt haben.

Server-Status

Unsere Server hatten den letzten 5 Jahren nur ganz selten (vielleicht 2 oder 3 mal) kurze Ausfälle von ein paar Minuten. Dennoch bekommen wir recht häufig Anfragen, weil ein Forum „nicht erreichbar“ ist. Das lag meist an extern eingebundenen Bildern und anderen Elementen.

http://status.naanoo.com/2262263

Unter dieser Adresse könnt Ihr ab sofort den aktuellen Status der Server sehen. Das funktioniert natürlich auch dann, wenn sie nicht erreichbar sind.

Weiterentwicklung: 2016/2017

Nachdem wir in den vergangenen Jahren nur die nötigsten Arbeiten am Code der Foren – vor allem Fehlerbereinigungen, Sicherheitsupdates, Codepflege für neue PHP-Versionen – vorgenommen haben, ist es an der Zeit, die Software grundlegend zu überholen. Ich kann keine Wunder versprechen, da ich dieses Projekt in meiner spärlichen Freizeit angehen werde. Aber mit einer kontinuierlichen Entwicklung ist der Sache sicher auch mehr geholfen als mit einer einmaligen Hauruck-Aktion.

Die Pläne

Ich habe mir erstmal drei Dinge auf die Liste geschrieben, die aus meiner Sicht am dringendsten sind:

  • neues Sicherheitskonzept
  • mobilfähiges Layout für Smartphones und Tablets
  • neues Anmelde- und Login-System

Ich möchte die Möglichkeit schaffen, dass man mit einem Login in allen Foren schreiben kann. Das vereinfacht die Nutzung für alle, die bereits mehrere Foren nutzen. Und es macht die Foren attraktiver, weil es die Hemmschwelle für neue Nutzer senkt.

Vorschläge?

Ihr könnt gerne schon weitere Vorschläge und Ideen einreichen: unten in den Kommentaren. Ich werde alle Vorschläge sammeln und priorisieren. Die Foren sollen aber auch weiterhin eher schlank und schnell bleiben. Seid also bitte nicht böse, wenn ich nicht jede Schickimicki-Funktion auf die Todo-Liste setze.

ANZEIGEN
37 Kommentare
1 Star2 Stars3 Stars4 Stars5 Stars
Loading...

Weitere Artikel zum Thema:
Kommentare:
Diskutieren, Fragen & Erfahrungsaustausch:
Zu diesem Beitrag gibt es schon 37 Kommentare. Diskutiere mit!
  • 🕝 Nubira

    Es ist einigermaßen kompliziert, sich hier einzuloggen. Da ich weder Facebook, noch Twitter oder google+ benutze, wollte ich es mit Disqus versuchen – ich glaube, ich gebe auf.
    Alles ist komplett in englischer Sprache und meine Bestätigungsmail (die ich gleich 6x angefordert hatte, weil nicht zu erkennen war, ob der Klick registriert worden ist) landete im Spam-Ordner, weil sie vom Outlook-Filter als Spam gekennzeichnet wurde und die Hyperlinks sind deaktiviert.
    Also klicke ich jetzt mal auf die Bestätigungsmail und bin gespannt, ob ich dann hier schreiben kann.
    Ich würde ja jetzt lieber als Gast die Kommentare abgeben, aber das klappt nun leider auch nicht mehr.

  • 🕝 Nubira

    So, jetzt kommt mein erster „richtiger“ Beitrag. Es betrifft den Plan für ein neues Anmelde- und Login-System.
    Ich habe Probleme damit, wenn jeder, der in irgend einem naanoo-Forum angemeldet ist, mit einem Login in allen Foren schreiben kann.
    Das ist dann ähnlich wie die Funktion, dass jemand als Gast ohne Login schreiben konnte. Diese Funktion wurde ja wegen der vielen Spam-Beiträge abgeschaltet.
    Was geschieht, wenn einer dieser „Multi-Nutzer“ in einem der Foren zum Troll mutiert und ich seinen Account lösche? Ist er dann nur bei mir gesperrt oder betrifft das seinen Account überall?
    Ich glaube nicht, dass die Anmeldung in einem anderen Forum eine große Hemmschwelle darstellt und Leute, die wirklich an einem Forum interessiert sind, abhält.
    Wer z.B. bei den Greenhörnern in den 3 Foren schreibt, hat meist bei Computer-Forum, Spiele-Forum oder Test-Forum immer denselben Nutzernamen gewählt und dann nach dem ersten Login ein einheitliches Passwort eingestellt.

    Das waren nur mal erste Gedanken von mir.
    Die anderen Punkte
    – neues Sicherheitskonzept
    – mobilfähiges Layout für Smartphones und Tablets
    halte ich für sehr wichtig und würde mich freuen, wenn es da zu guten Ergebnissen kommen würde.

  • Ich schau mir das nochmal an. Eventuell bauen wir direkt über dem Kommentarfeld einen Hinweis ein, wie man als Gast postet.

  • Ja, die Nachteile des globalen Logins sind mir klar. Ich war es ja, der es damals abgeschaltet hat.

    Es war im Laufe der Jahre aber einfach zu beobachten, dass die meisten Foren zu klein sind, um allein eine kritische Masse zu erreichen. Irgendwann schlafen sie dann ein. Deshalb halte ich die Vernetzung – gerade in Zeiten von Facebook & Co. – für wichtig.

    > wie die Funktion, dass jemand als Gast ohne Login

    Nein. Er muss sich ja anmelden. Und er ob das explizit bei Dir ober über ein Zentralsystem macht, macht ja keinen Unterschied. Wer spamen will, wird spamen. Ob er sich dafür direkt bei Dir oder zentral anmelden muss, spielt ja keine Rolle. Im Gegensatz zu Gastpostings ohne Anmeldung gibt es aber eine Schwelle und eben auch Möglichkeiten, zu reagieren.

    Wichtig ist, dass man Arschgeigen sperren kann. Und das wird so laufen, dass ein User, den DU sperrst, zunächst nur BEI DIR gesperrt ist. Ich denke aber schon, dass man auch eine Funktion einführen kann, dass jemand, der bei bpsw. drei Foren gesperrrt ist, auch global im System gesperrt wird.

  • 🕝 Nubira

    Ich glaube, dass das Beispiel-Bild mehr verwirrt, als erklärt.
    Ich hatte es zuerst auch gar nicht als Anleitung angesehen und merkte erst wesentlich später, dass man nach noch ein Stück unten scrollen muss, wo es dann ernst wird ;)

  • 🕝 Nubira

    Das halte ich für eine praktikable Idee!

  • 🕝 Alex

    Hallo Sebastian.
    Der „hemmungslosen“ Anmelderei von irgendwelchen SPAM-Adressen müsste mal ein elektronischer Riegel vorgeschoben werden. Ich habe versucht, das von mir als Admin/Moderator geleitete Forum regelmäßig „auszumisten“, wodurch ich die Teilnehmerzahl auf echte 130 User beschränken konnte. Im Schwesterforum, die sich diese Mühe nicht gemacht haben, kamen so in 13 Jahren fast 3000 User-Anmeldungen zustande, von denen die meisten Karteileichen sind.
    Desweiteren beklagen sich angemeldete Nutzer regelmäßig darüber, dass sie, nachdem sie ihr Login-Passwort vergessen haben, sich demzufelge nicht mehr einloggen können.
    Die daraufhin mehrfach über „das System“ angeforderten Passwörter wurden oftmals nicht zugestellt, sodass letztlich nur eine Neuanmeldung mit anderem Nutzernamen übrig blieb.
    Auch ich als Admin hatte keinerlei Möglichkeit, den Betroffenen in irgendeiner Form weiterzuhelfen.
    Evtl. sollte man mal darüber nachdenken, das „irgendwie“ zu ändern oder zumindest die Möglichkeit einzubauen, unter den persönlichen Einstellungen die hinterlegte eMail-Adresse ändern zu können, sodass es z.B. möglich ist, das „alte“ Login-Passwort bei gleichem Nutzernamen an eine „neue“ eMail-Adresse zu versenden.
    Grüße,
    Alex

  • Danke für die Tipps. Ich hatte schon folgendes auf der Liste:

    – Anbieter vom echten SPAM-E-Mails sperren
    – Captcha bei der Anmeldung zur Verhinderung von Bot-Anmeldungen

    Die Passwort-Vergessen-Funktion muss ohnehin umgebaut werden, weil sie nicht mehr zeitgemäß ist. Wir werden die Passwörter künftig verschlüsselt speichern, damit sie bei einem Hack ggf. nicht in der Datenbank liegen. Dann kennen wir selbst die User-Passwörter nicht mehr und können sie auch nicht mehr zuschicken. Sondern nur noch einen Link, wo man das Passwort ändern kann.

    – E-Mail Adresse änderbar (ist notiert)

    Ein Problem bleibt, wenn der User sein Passwort vergisst und seine E-Mail-Adresse geändert hat. Dafür fällt mir keine wirklich sinnvolle Lösung ein.

  • Eventuell bauen wir die Möglichkeit ein, dass der sperrende Forenbetreiber eine Begründung hinterlegen kann. Das macht es uns einfach, so richtige Vollidioten gleich global zu sperren.

  • PS: Kannst Du mir mal die URL Deines Forum hier reinposten oder an [email protected] schicken?

    Ich will mir die alten Stammforen mal anschauen.

    Denn wenn wir das Layout umbauen, um das mobil-fähig zu machen, wollen wir möglichst viel von Eurem alten Style erhalten. Aber dazu muss ich Beispiele sehen ;-)

  • 🕝 Nubira

    Es wäre gut, wenn man den Namen eines Diskussionsteilnehmers mit seinem Forum verlinken könnte. Aber das ist sicherlich nicht möglich, weil man sich ja hier auf unterschiedlichen Wegen einloggen kann.

  • Darauf habe ich leider keinen Einfluss. Das Kommentarsystem stammt ja von Disqus. Und die haben ihre eigenen Pläne ;-)

    Ich vermute, dass sie die URL-Funktion entfernt haben, weil sie in 99% der Blogs für SPAM genutzt wird.

    Du kannst Dein Forum aber im Disqus-Profil eintragen. Wenn man dann auf Dein Bild klickt, erscheint es rechts.

  • 🕝 Nubira

    Ich melde noch einen Wunsch an:
    Es wäre schön, wenn die Bild-Anzeige nicht nur mit klassischen HTTP-Links, sondern auch mit auch HTTPS-Links funktionieren würde, die jetzt immer häufiger von den Uploadern ausgegeben werden.
    Das hattest Du bereits eingestellt, aber im Moment funktioniert es mal und dann wieder nicht.

  • https unterstützen wir.

    Wenn da etwas nicht funktioniert, muss das nicht zwangsweise an uns liegen. Es gab da schon mehrfach Probleme der Bildhoster.

    Da brauche ich dann ein Beispiel, um mir das anzuschauen.

  • Wobei ich immer die http-Version der Bild empfehlen würde, denn manche Browser mögen mixed Content (Seite -> http, Bilder https) nicht.

  • 🕝 Nubira

    Das war heute früh drin

    [url=http://abload.de/image.php?img=donnerstag3waal8.jpg][img]https://abload.de/img/donnerstag3waal8.jpg[/img][/url] und war auch kurzfristig zu sehen. Nach einer Aktualisierung der Seite war nur noch der Link zu sehen.

    Ich hab dass das „s“ entfernt und alles ist wieder sichtbar.

    Da abload inzwischen HTTP und HTTPS anbietet, werde ich meinen Usern empfehlen, den HTTP-Link zu benutzen.

  • Da kann ich so nicht viel mit anfangen. Ich muss es live im Forum sehen, wenn es NICHT funktioniert.

  • 🕝 Nubira

    http://forum.naanoo.com/freeboard/board/show_thread.php?topic=999210&userid=21854&forumid=13502

    Hier habe ich mal ein paar Beispiele reingestellt – immer einmal mit http und mit https.
    Gestern Abend waren alle Bilder zu sehen, jetzt nur noch einige.

  • Kann es sein, dass die Probleme erst beim Editieren auftauchen?

    Dass es beim Posten funktioniert und wenn das Posting editiert wird, sind die Bilder weg?

  • 🕝 Nubira

    Ich bin mir da nicht sicher, das kann aber möglich sein.
    Ich stelle bei dem Link noch ein paar Fotos rein nur https, mal mit und mal ohne zu editieren, ich schreibe das Editieren dann dazu.

  • 🕝 Nubira

    Jetzt sind gerade wieder alle Fotos sichtbar.

  • Ja, weil ich sie editiert habe. Die Editier-Funktion hat https Bilder noch nicht unterstützt.

    Bitte weiter beobachten.

    In der neuen Version werden wir das dann ohnehin komplett überarbeiten. Denn es ist extrem dumm, dass das Handling dieser Codes an verschiedenen Stellen verteilt ist.

    Der Programmierer dieses Systems war damals wohl kein so furchtbar aufgeräumter Typ. Und unsere ständigen Fehlerbereinigungen haben es nicht unbedingt besser gemacht ;-)

  • 🕝 Nubira

    Mir ist gerade noch was eingefallen, worum ich schon immer bitten wollte und was sicherlich kein großes Problem ist:
    Beim Editieren fehlt der Button für [quote][/quote], vielleicht kann der noch rein – Danke!

  • Habe den Button eingebaut.

    Aber die ganze Funktion ist suboptimal, weil sie sämtliche Codes am Ende einfügt.

  • 🕝 Nubira

    Dankeschön!
    Wenn man das einmal kapiert hat, funktioniert es ganz gut und dieses „altmodische“ Forum hat bei allen Unzulänglichkeiten seinen ganz eigenen Charme.

  • Grundsätzlich soll das „altmodische“ – vor allem der reduzierte Funktionsumfang – auch bleiben.

    Ich will ein schlichtes Forum ohne 1000 Schicki-Micki-Funktionen. Aber die existierenden sollten idealerweise schon fluffig laufen ;-)

  • Ich habe angefangen, am Login-System zu arbeiten. Davon sollte erstmal nichts zu spüren sein, weil es parallel zum alten System läuft.

  • 🕝 Nubira

    Aha, nun klappt es doch, obwohl ich mich eben nicht einloggen konnte, weil meine Mail-Adresse bereits verwendet wird – logo, von mir! Aber wie schicke ich denn nun einen Beitrag ab? Soll ich mich jedes Mal neu einloggen? Das ist echt ein dämliches System!

  • 🕝 Nubira

    Also antworte ich mir jetzt mal selbst, weil ich sonst nichts zum Schreiben finde.
    Vielleicht könntest Du Dich auch mal der Smilies annehmen. Oft werden da nur die Codes angezeigt anstelle der Bilder, selbst Leerzeichen davor und danach helfen nicht. Und eine kleine Auffrischung könnte auch nicht schaden.

    Aber viel wichtiger wäre eine Editier-Funktion für die User, denn oft sieht man die Fehler erst nach dem Absenden des Beitrags und würde gerne verbessern.
    Dass jemand seine eigenen Beiträge unbegrenzt verändern kann, wäre keine Option, es reicht ja aus, wenn man die Möglichkeit bekommt, einen abgeschickten Beitrag einfach nur kurz nach dem Abschicken noch mal zu korrigieren.

  • Das System ist das größte und beliebteste dieser Art. Und funktioniert bei uns seit Jahren echt gut. Mein Login ist auch immer gespeichert. Ich muss mich quasi nie neu einloggen.

  • Smilies -> da brauche ich wieder ein Beispiel, wo es nicht funktioniert.

    Neue Smilies habe ich notiert.

    Editieren -> könnte man solange zulassen, bis jemand drauf geantwortet hat.

  • 🕝 Nubira

    „Editieren -> könnte man solange zulassen, bis jemand drauf geantwortet hat.“ So lange würde ich es nicht lassen, denn dann könnte jemand ja die Frage immer wieder umformulieren, bis jemand antwortet, anstatt sie zu ergänzen.
    Um Flüchtigkeitsfehler zu korrigieren, reicht es eigentlich aus, wenn nach dem Absenden einmal editiert werden kann.
    Smilies funktionieren im Test-Forum gerade alle, aber ich hatte heute schon 2x korrigiert. Wenn wieder welche fehlerhaft angezeigt werden, poste ich den Link.

  • > wenn nach dem Absenden einmal editiert werden kann

    Ja. Aber da irgendwelche Zeiten oder Anzahl von Edits zu speichern, die wir dann prüfen müssen und die uns die Datenbank aufblähen, das scheint mit „mit Kanonen auf Spatzen geschossen“.

  • 🕝 Nubira

    http://forum.naanoo.com/freeboard/board/show_thread.php?userid=20819&topic=999350&forumid=9755&page=2
    Hier ist gerade bei Stierlini ein Smilie-Fehler

  • Das fehlt hinten wieder das Leerzeichen. Ich würde vorschlagen, dass wir die Leerzeichenerkennung ganz ausbauen.

    Denn eine große Gefahr, dass jemand :bounce: o.ä. Codes irgendwie in einem Satz verwenden will, sehe ich nicht ;-)

  • 🕝 Nubira

    Das passiert nur oft beim letzten Smilie in der ersten Zeile 8)

  • Ja, weil dann das Leerzeichen fehlt. Der User drückt wahrscheinlich Enter. Und dann steht da:

    [Leerzeichen][Smilie-Code][Zeilenumbruch]

    und nicht

    [Leerzeichen][Smilie-Code][Leerzeichen]

    wonach die Software sucht.

Dein Kommentar:

« So viel kostet die Deutsche Nationalmannschaft
» Desolate Armeen: Wie wehrhaft ist Europa noch?

Trackback-URL: