Sinn oder Unsinn des PyLucids JS-MD5-Login...

Sockets, TCP/IP, (XML-)RPC und ähnliche Themen gehören in dieses Forum
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Donnerstag 15. Februar 2007, 11:45

Jo, gutes timing ;)

Code: Alles auswählen

user_pref("capability.policy.default.Location.hostname.set", "noAccess");
Eingetragen und gut ist ;)

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Donnerstag 15. Februar 2007, 15:11

jens hat geschrieben: @N317V: Also vor ein paar Jahre würde ich dir voll zustimmen. Allerdings ist es IMHO mittlerweile so, das man JavaScript eigentlich immer eingeschaltet hat.
Das sehe ich anders. Ich persönlich habe mehr den Eindruck, dass JavaScript heutzutage durch den Einsatz aktueller Browser zwar weitreichender verfügbar ist, aber durch gestiegendes Sicherheitsbewusstsein seitens der Nutzer zunehmend aktiv unterbunden wird.

Beliebte Dienste wie del.icio.us, Flickr, Google Maps und dergleichen habe ich auch erlaubt, aber der Rest wird von NoScript unterdrückt - und das erweist sich erschreckend häufig als gute Idee.

jens hat geschrieben:Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Und genau deswegen verzichte ich als Entwickler auf AJAX oder biete alternative Wege an.
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Donnerstag 15. Februar 2007, 15:17

Y0Gi hat geschrieben:
jens hat geschrieben:Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Und genau deswegen verzichte ich als Entwickler auf AJAX oder biete alternative Wege an.
Sehe ich auch so. Wenns doch wenigstens was bringen würde, dann ok. Aber einen sicheren Login kann man mit HTTPS bewerkstelligen, ohne JS, sogar noch besser, simpler und ohne dessen Probleme.
My god, it's full of CARs! | Leonidasvoice vs Modvoice
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Donnerstag 15. Februar 2007, 15:26

Ich hab nun auch NoScript installiert, ist ja ein wirklich nettes Plugin ;)

Ich sehe das Problem nicht. Man kann doch wohl seine eigenen CMS-Seite in die JS-Ausnahme-Liste aufnehmen und fertig.

Im Übrigen erhält man natürlich auf der PyLucid-Login-Seite einen fetten Hinweis, das JS benötigt wird.

@Leonidas: Du wiederholst dich.

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Donnerstag 15. Februar 2007, 15:48

jens hat geschrieben:Ich sehe das Problem nicht. Man kann doch wohl seine eigenen CMS-Seite in die JS-Ausnahme-Liste aufnehmen und fertig.
Es geht nicht darum, wie man das umgehen könnte sondern darum, dass du etwas implementierst, das mehr Probleme macht, als das es sie löst.
jens hat geschrieben:@Leonidas: Du wiederholst dich.
Und du siehst es immer noch nicht ein. Du hast ein Feature gebaut das nahezu niemand braucht (außer dir hat sowas niemand gebraucht), das zusätzliche Probleme verursacht und versuchst es nun zu rechtfertigen und stellst dich gegen die ganzen Gegenargumente taub.
Ist natürlich deine Sache, aber das man es nicht abschalten kann ist eine starke Einschränkung.
My god, it's full of CARs! | Leonidasvoice vs Modvoice
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Donnerstag 15. Februar 2007, 15:54

Leonidas hat geschrieben:
jens hat geschrieben:Ich sehe das Problem nicht. Man kann doch wohl seine eigenen CMS-Seite in die JS-Ausnahme-Liste aufnehmen und fertig.
Es geht nicht darum, wie man das umgehen könnte sondern darum, dass du etwas implementierst, das mehr Probleme macht, als das es sie löst.
Und das Schärfste ist, dass es ja noch nicht mal tatsächlich ein Problem löst und jens das auch weiß:
pylucid.org hat geschrieben:Um es nochmal klarzustellen. JS-MD5 Login bietet keine echte Sicherheit
Sorry, jens! Ich will eigentlich echt nicht auf Dir rumhacken. :?
Zuletzt geändert von N317V am Donnerstag 15. Februar 2007, 15:57, insgesamt 1-mal geändert.
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Donnerstag 15. Februar 2007, 15:56

IMHO ist es nur eine Frage der Zeit, bis die Mehrheit der Administratoren (wenn sie es nicht schon tun) auf Firmencomputern der Mitarbeiter JavaScript verbieten - ohne Reaktivierungsmöglichkeit. Dann verplempern die Mitarbeiter auch keine Zeit mehr bei YouTube und Konsorten.
sape
User
Beiträge: 1157
Registriert: Sonntag 3. September 2006, 12:52

Donnerstag 15. Februar 2007, 15:59

Y0Gi hat geschrieben:
jens hat geschrieben:Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Und genau deswegen verzichte ich als Entwickler auf AJAX oder biete alternative Wege an.
Die da wären? Ich kenne keine Alternative zu AJAX, aber muss dazu auch sagen das ich nicht soviel Ahnung mit Web habe. Welche gibt es die den gleichen Zweck wie AJAX erfüllen?
Leonidas hat geschrieben:[...]
jens hat geschrieben:@Leonidas: Du wiederholst dich.
Und du siehst es immer noch nicht ein. Du hast ein Feature gebaut das nahezu niemand braucht (außer dir hat sowas niemand gebraucht), das zusätzliche Probleme verursacht und versuchst es nun zu rechtfertigen und stellst dich gegen die ganzen Gegenargumente taub.
Ist natürlich deine Sache, aber das man es nicht abschalten kann ist eine starke Einschränkung.
Ich denke Jens wird auch eine non variante anbieten. Aber wirklcih verstehen tue ich nicht was an seiner Methode falsch sein soll? Ist das Gegenargument wirklich nur JS?

BTW: Zu AJAX - Hm, wie besucht ihr den Foren die vBulletin nutzen?
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Donnerstag 15. Februar 2007, 16:07

Wie gesagt: ich hab immer noch nicht kapiert, welchen Zweck AJAX denn erfüllt? Wie schon erwähnt: wenn ne Seite bei mir nicht funktioniert, dann besuch ich sie einfach gar nicht. Ich scroll trotzdem ne Minute durch meine Bookmarks und sitz viel zu viel am Rechner. :-)
Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Donnerstag 15. Februar 2007, 16:18

sape hat geschrieben:
Y0Gi hat geschrieben:
jens hat geschrieben:Alle AJAX Seiten sind ohne JavaScript unbrauchbar.
Und genau deswegen verzichte ich als Entwickler auf AJAX oder biete alternative Wege an.
Die da wären? Ich kenne keine Alternative zu AJAX, aber muss dazu auch sagen das ich nicht soviel Ahnung mit Web habe. Welche gibt es die den gleichen Zweck wie AJAX erfüllen?
AJAX bietet meiner Meinung nach einen Weg, das UI komfortabler zu gestalten. Das heißt aber nicht, dass es vorher nicht auch anders - und benutzbar - ging. Da ich kein Google Mail oder dergleichen baue, rechtfertigt nichts AJAX. Grafischer Schnickschnack war schon immer ein Tradeoff (vgl. z.B. Flash).

Ansonsten habe ich bisher auf AJAX verzichtet, damit ist die Bedingung `not ajax or alternative` bereits wahr und der zweite Teil muss nicht ausgewertet werden ;)

sape hat geschrieben:BTW: Zu AJAX - Hm, wie besucht ihr den Foren die vBulletin nutzen?
Wenn ein Forenbetreiber wirklich so dumm ist, JavaScript erforderlich zu machen, dann kann er sein Forum schön alleine benutzen. Das sind nicht selten auch die Leute, die meinen, die Welt braucht ein neues redundantes Forum und dann hundert Bretter zu Hardware, Software, Betriebssystemen, Programmiersprachen, Spielen und diversen Spezialkategorien anlegen. In denen nie jemand postet.
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Donnerstag 15. Februar 2007, 16:20

sape hat geschrieben:Die da wären? Ich kenne keine Alternative zu AJAX, aber muss dazu auch sagen das ich nicht soviel Ahnung mit Web habe. Welche gibt es die den gleichen Zweck wie AJAX erfüllen?
JSON-RPC, aber gut, das ist eigentlich nur eine Art AJAJSON. Gegenfrage: wofür braucht man AJAX unbedingt? In der Regel wird AJX nur dazu eingesetzt irgendwelche kleinen Spielereien zu implementieren. Stattdessen kann man die Seite auch einfach neu laden.
AJAX ist manchmal praktisch, aber in der Regel nicht besonders notwendig.
sape hat geschrieben:BTW: Zu AJAX - Hm, wie besucht ihr den Foren die vBulletin nutzen?
Gar nicht? Nein, im Ernst: im Moment besuche ich keine Forum, die vBulletin einsetzen. Habe aber mal JS ausgemacht und ein solches Forum angesurft. Funktioniert doch!?
My god, it's full of CARs! | Leonidasvoice vs Modvoice
sape
User
Beiträge: 1157
Registriert: Sonntag 3. September 2006, 12:52

Donnerstag 15. Februar 2007, 16:28

Leonidas hat geschrieben:Stattdessen kann man die Seite auch einfach neu laden.
Das stimmt allerdings.
Leonidas hat geschrieben:Habe aber mal JS ausgemacht und ein solches Forum angesurft. Funktioniert doch!?
Ja in der Tat. Habe gerad noch mal in ne ref. nachgesehen. AJAX wird tatsächlich nur für direktpost und edit genutzt. - €: Lesen ist also drin.
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Donnerstag 15. Februar 2007, 17:05

Zu AJAX. Also reines AJAX ist nicht mehr als:
Es bezeichnet ein Konzept der asynchronen Datenübertragung zwischen einem Server und dem Browser, welches es ermöglicht, innerhalb einer HTML-Seite eine HTTP-Anfrage durchzuführen, ohne die Seite komplett neu laden zu müssen.
Siehe: http://de.wikipedia.org/wiki/Ajax_%28Programmierung%29

Es beschleunigt einfach nur das Web.

JavaScript an sich, kann allerdings lokal beim Client einige nette Dinge machen. z.B. hier im Forum, wenn man jemanden Antwortet. Die Buttons im Editor werden mit JS realisiert. Wer hier JS aus hat, muß halt die BBCode-Tags per Hand schreiben.

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Donnerstag 15. Februar 2007, 18:06

So, nun gibt es in der SVN Version auch einen unsecure-Non-JS-Login als Fallback: http://pylucid.net/trac/changeset/859

Man sieht beim normalen Login einen Link zu diesem, wenn JS aus ist.

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Y0Gi
User
Beiträge: 1454
Registriert: Freitag 22. September 2006, 23:05
Wohnort: ja

Donnerstag 15. Februar 2007, 20:51

Es gibt 'unsecured' und 'insecure', aber 'unsecure' gibt es nicht ;)
Antworten