News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Besteht interesse an Community-Updates?
Ja
Nein
Antworten: 9
Seite [1]
reVerB


Geekboy




Beiträge: 1237
# Thema - 01.03.2016 um 00:28 Uhr
Guten Abend,

es gibt für mich ein paar Sachen, die mich an Clansphere doch mittlerweile ein wenig wurmen. Zum einen fehlt mir etwas aktuelles für die Passwörter (weswegen ich das ganze auch momentan nicht mehr empfehlen möchte) und zum anderen bin ich mit den Themes und dem CSS nicht ganz zufrieden. Ich denke das ganze lässt sich etwas entschlacken. Auch beim Captcha könnte man noch etwas nachbessern. Und zu guter letzt befindet sich in den Metatags eine Angabe, die dank Indexierung durch Suchmaschinen ermöglicht, gezielt nach allen indexierten Clansphere-Seiten zu suchen. Durch das nicht ganz saubere Captcha werden bei deaktivierter E-Mail Authentifizierung (zum Beispiel wegen Limits bei beplaced oder ähnlichem) die Seiten dann schnell von Bots überschwemmt.

Da ich was Webentwicklung und Designs angeht mit BXCP und nun Clansphere gewachsen bin, würde ich das ganze ungern aufgeben. Daher würde ich mich gern diesen Problemen annehmen und der Reihe nach ausbessern. Ich wollte hier erst einmal nur fragen, ob daran überhaupt interesse besteht. Wenn es keinen interessiert, brauch ich mir die Mühe auch nicht machen

Wenn das Interesse besteht, würde ich die Updates hier im Forum hochladen. Vielleicht sagen die Updates den Devs ja zu und pflegen diese dann in die Downloadsektion ein. Einige Dinge lassen sich relativ schnell ausbessern. Andere wiederrum werden eine Weile brauchen. Zeit habe ich leider auch nicht unendlich. Da aber das mittlerweile doch in die Jahre gekommene Clansphere noch immer sehr sehr oft genutzt wird und die Technologien sich trotz ruhender Entwicklung der Software unaufhaltsam weiterentwickeln, halte ich es schon für wichtig, das bis csphere soweit ist, das CSP so aktuell und sicher gehalten wird, wie es nur geht.

Wer Vorschläge oder bereits schon fertige Lösungen oder Codes hat, kann diese gerne beisteuern. Einfach hier melden. Wer helfen kann und möchte ist herzlich willkommen.

Aktuell auf meiner Liste:
* Umstellung von MD5/SHA1 auf die password_hash Funktionen und alternativ Angebot von PBKDF2
* Aufräumen der Standard-CSS Klassen (z.B. entfernen des Modulbezugs und verallgemeinern der Bezeichner)
* Themes überarbeiten und alternativen HTML5 Themesatz erstellen
* Austausch des bisherigen Captchas ggf. anbieten weiterer Alternativen

Auf die Liste kommen mit der Zeit noch einige weitere Aufgaben. Aber die aktuelle Liste werde ich so als erstes angehen.

HINWEIS: Neue Funktionen oder Module stehen aktuell noch nicht auf dem Plan. Clansphere kann bereits schon sehr viel und ich plane nicht, das ganze jetzt weiter aufzublasen.
Inaktiv
Tom08 ClanSphere Team

Supporter
Supporter



Herkunft: Daheim
Beiträge: 2923
# Antwort: 1 - 01.03.2016 um 01:34 Uhr
(y)

Ich weiß nicht, wie fit du in Git bist, aber es spricht auch nichts dagegen, dass Clansphere-Repo (https://github.com/ClanSphere/ClanSphere) zu forken, dann weiterzuentwickeln und den Leuten das hier mitzuteilen. Dann kann auch jeder direkt die Änderungen nachverfolgen und bekommt jeweils den aktuellen Stand.

Man könnte dann auch schauen, ob man das ganze dann irgendwann ins "Official"-Repo zurückführt, wenn es "gut" ist

Grüße


------------------
Bei Problemen mit Code von mir bitte eine Private Nachricht an mich


Inaktiv
|
sgraewe ClanSphere Team

Supporter
Supporter




Beiträge: 6116
# Antwort: 2 - 01.03.2016 um 11:43 Uhr
Würde dir auch zu github raten, so kannste die Änderungen dann direkt an uns übergeben und so vll nen neuen offiziellen release ermöglichen.

Falls du dir ehrlich die Mühe machen möchtest die themes zu überarbeiten, würde ich dir nen Framework wie bootstrap empfehlen, würde halt alles standardisieren und erleichtert später die Anpassung, bei Fragen dazu könnteste dich jederzeit an mich wenden. Könnte so auch zwischendurch die ein oder andere unterseite übernehmen, wenn zeit frei ist.

Generell würde ich hier aber nicht mehr auf viel Support hoffen, haben es leider bei csphere gemerkt das immer viele zusagen und am ende doch niemand hilft, was auch der Grund ist das csphere einfach niemals kommen wird.


Inaktiv
|
Timpe


King for a day





Beiträge: 302
# Antwort: 3 - 01.03.2016 um 12:08 Uhr
Mit dem Alter kommen halt die Verpflichtungen. Da kann man nicht mehr 24/7 vor m Rechner hocken und rumcoden ^^


Inaktiv
|
reVerB
Thread-Ersteller


Geekboy




Beiträge: 1237
# Antwort: 4 - 01.03.2016 um 13:12 Uhr
Ein Gitfork ist und war sowieso geplant und wird auch über Git gepflegt.

Was Bootstrap angeht, kann ich dies durchaus in weitere Überlegungen einfließen lassen. Die Themes stehen bei den genannten Milestones sowieso eher hinten. Die aktualität im Bezug auf Sicherheit steht für mich erstmal klar im Vordergrund.

Das mit dem Support habe ich mir sowieso schon gedacht. Allerdings hoffe ich ein wenig auf Nachwuchs und dessen Ideen.


Inaktiv
|
reVerB
Thread-Ersteller


Geekboy




Beiträge: 1237
# Antwort: 5 - 06.03.2016 um 13:35 Uhr
Soo ich habe mittlerweile einen Fork erstellt und bereits das Thema Passwort angegangen. Bei meinen Tests gab es bisher keine Probleme. Zur Auswahl stehen jetzt das native Password Hashing und PBKDF2. Bei der nativen password_hash Funktion wird ein Kostenfaktor von 15 verwendet, was das hashen und verifizieren des Passwortes auf eta 2-4 Sekunden hält. Bei PBKDF2 werden 512.000 Iterationen verwendet, womit ich in etwa auf die selbe Zeit komme, womit beide recht homogen verlaufen.

Leider sind beide Funktionen (password_hash und hash_pbkdf2) erst ab PHP 5.5 verfügbar. Ich würde daher schauen, ob ich die non-native Version von PBKDF2 noch mit einbaue, damit man zur not abwärtskompatibel sein kann. Aber das müsste ich mir definitiv ersteinmal überlegen.

Für die Foren habe ich die Passwörter jetzt auf sha1 fixiert, da in den Einstellungen weder md5 noch sha1 zur Auswahl stehen. Ich sehe aber auch keinen Grund, für Forenthemen das gleiche hashing zu verwenden. Die Logins sind da deutlich wichtiger und auch für Angreifer deutlich interessanter.

Hier einmal mein Fork: https://github.com/reVerBxTc/ClanSphere/

Als nächstes schaue ich mir das Captcha an

UPDATE: Auch das Captcha wurde jetzt aktualisiert. Interessanterweise verliert das Captcha bei falscher Eingabe und der xsrf-key bei richtiger Übergabe ihre Gültigkeit nicht. Mir scheint es so, als wäre es tatsächlich möglich, das Captcha zu Bruteforcen. Ich habe jetzt einfach das Captcha an den xsrf gebunden und bei Falscheingabe den Captcha aus der Datenbank geschmissen. Außerdem habe ich in der Account.php eine Anpassung vorgenommen, das auch bei korrekten xsrf-Schlüssel das Array in der Session gelehrt wird. Bisher hatte ich bei meiner Testinstallation keine Probleme. Und Bruteforcen des Captchas durch Bots sollte damit eigentlich auch erledigt sein. Zur Sicherheit wird das Captcha jetzt auch gehashed. Anscheinend war das wohl mal vorgesehen, aber am Ende doch weggelassen worden.

UPDATE 2: Auch das Meta-Tag Attribut "Generator" habe ich entfernt, um somit eine direkte Suche nach Clansphere-Installationen zu unterbinden und so die Seiten für Bots schwerer zu finden sind.

UPDATE 3: Nun habe ich auch das Fallback für die alte Verschlüssellung integriert, womit sich auch ein Update erstellen lassen kann. Wer also das ganze als Update testen möchte, kann dies gerne tun. Die passende Update.sql ist im Hauptverzeichnis.

WICHTIG: Es ist weder ein offizieller Release noch ein ein offizielles Update. Daher übernehme ich keine Garantie!


Zuletzt editiert von reVerB am 06.03.2016 um 18:22 Uhr (6x Editiert)
Inaktiv
|
Tress13


Highlander




Herkunft: Lüdenscheid
Beiträge: 3048
# Antwort: 6 - 07.03.2016 um 05:01 Uhr
Die Idee ClanSphere am Leben zu halten finde ich gut. Aber haste schonmal drüber nachgedacht das System zu verkleinern? Es gibt in ClanSphere so viele Funktionen, die von den Meisten wohl eh niemals genutzt werden. Ich denke da könnte man bestimmt einiges wegoptimieren. Das würde den Aufwand doch enorm reduizieren.


------------------


www.iv-gaming.de | www.iv-artwork.de

Inaktiv
|
reVerB
Thread-Ersteller


Geekboy




Beiträge: 1237
# Antwort: 7 - 07.03.2016 um 05:10 Uhr
Jeder hat ja die Möglichkeit, bei der Installation die Module abzuwählen, die er nicht benötigt. CSP besteht im Grunde nur aus einem Kernsystem und den Modulen. Der Aufwand wird mit der Reduzierung der Module auch nicht weniger. Einzig bei den Themes ist es mehr Arbeit. Aber solche Änderungen macht man sehr selten

Und wenn die entfernten Module doch gebraucht werden, dann muss man diese eh Parallel als Download anbieten und müssen gepflegt werden.


Inaktiv
|
Horscht


Poststar




Beiträge: 687
# Antwort: 8 - 07.03.2016 um 20:40 Uhr
Hallo,

ich bin auch mit Clansphere "aufgewachsen" und schaue noch ab und an auf die Internetseite. Leider habe ich mir PHP nie angeeignet und bin dementsprechend wenig hilfreich für euer Vorhaben.

Dennoch würde ich es begrüßen, dieses Tolle System am Leben zu halten!

Wie einer meiner Vorredner schon schrieb, sind die Zeiten des 24/7 am Rechner hängen (leider?) vorbei. Von den alten "in Clans sein Zeiten" ganz zu schweigen. Somit wird auch Clansphere, so denke ich, weniger genutzt.

Was mich als Funktion noch freuen würde ist eine einstellbare Sicherheitsfrage bei der Registrierung. Diese Funktion hat als einzige wirklich gegen die Spambots geholfen (zumindest bei meiner Seite)

Eventuell kann man ja in den Optionen eine Frage und eine Antwort eingeben, welche dann bei der Registrierung zu sehen ist. Das ganze dann auch wahlweise deaktivierbar.

Das nur am Rande als kleine Idee.

Viel Erfolg bei dem Vorhaben! Ich schaue gespannt zu


------------------
Grüße, Horscht

Zuletzt editiert von Horscht am 07.03.2016 um 20:41 Uhr (1x Editiert)
Inaktiv
|
reVerB
Thread-Ersteller


Geekboy




Beiträge: 1237
# Antwort: 9 - 08.03.2016 um 07:26 Uhr
Das mit der Sicherheitsfrage ist an sich eine gute Idee. Das macht allerdings nur Sinn in Verbindung mit einem Katalog. Ich bin aktuell noch beim Captcha am optimieren. Hinzugekommen ist jetzt noch eine TTF und Winkel bei den Zeichen. Nach Feierabend will ich noch schauen, das ich einen IP-Block für 30 Minuten nach 5 falschen Captcha-Eingaben einbaue. Aber die wichtigsten Schwachstellen des Captchas sind auf jeden Fall weg. Denn mit gültigem XSRF Key und direktem ansprechen des Action-Scripts war es vorher möglich, das Captcha zu bruteforcen. Das Captcha ist immer für 15 Minuten gültig. Da bekommt man schon beachtlich viele Kombinationen probiert. Ich denke mal, das dieser Umstand das größte Problem war.

UPDATE: Das Captcha ist jetzt endgültig fertig. Ich habe von einer IP-Sperre abgesehen, da das bruteforcen des Captchas eh jetzt kaum noch möglich ist und somit auch nicht mehr für automatische Spamangriffe lohnt. Eine solche Sperre geht nur zu lasten der Benutzerfreundlichkeit. Stattdessen habe ich die Grafiken etwas angepasst. Ein Fallback auf die alte Schrift existiert weiterhin, wenn GD nicht mit Freetype installiert ist. Da es aber auf den meisten Servern dabei ist, sollte es damit keine Probleme geben.


Zuletzt editiert von reVerB am 09.03.2016 um 16:56 Uhr (1x Editiert)
Inaktiv
|
Antworten: 9
Seite [1]


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo