Smalltalk - Labern, reden, diskutieren...

  • Mittlerweile. Die Erweiterungen haben nämlich ursprünglich auch nur 49.99 Euro gekostet. Jetzt kosten sie mehr als das Doppelte + evtl. Upgradekosten.


    Ich weiß nicht, was die Erweiterungen irgendwann einmal gekostet haben. Aber jeder, der über den Preis der WebAuthn-Erweiterung spekulierte, hatte bereits 100 Euro als Vergleichswert für die anderen Erweiterungen. Daher kommt auch meine Verwunderung darüber, wie man einen Preis von noch weniger als der Hälfte davon wirklich erwarten durfte. ;)

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)

    Edited once, last by Cadeyrn ().

  • Kurz zum besagten Plugin? Das ganze hat aber aber nicht mit dem 2Fa zu tun oder? WebAuthn ist was anderes richtig?

  • Kurz zum besagten Plugin? Das ganze hat aber aber nicht mit dem 2Fa zu tun oder? WebAuthn ist was anderes richtig?


    Die WoltLab-Erweiterung wird ausschließlich als 2. Faktor verwendet, nicht zur passwortlosen Authentifizierung, wie bei der Erweiterung von Hanashi.

    • Official Post

    Hallo,

    Selbst wenn: Seine Umsetzung ist vom Prinzip her vollkommen anders. Denn im Gegensatz zur WoltLabschen Umsetzung erfüllt seine Erweiterung genau den Zweck, für den WebAuthn eigentlich gedacht ist: Passwortlose Authentifizierung.

    Es ist korrekt, dass WebAuthn die Möglichkeit zur passwortlosen Authentifizierung bietet. Das ist aber nur dann sicher und benutzerfreundlich möglich, wenn auch PIN-geschützte Resident Keys zum Einsatz kommen. Das Plugin von Hanashi nutzt aber die WebAuthn-API so, wie sie für den Einsatz als zusätzlicher Faktor nach einer ersten starken Authentifizierung gedacht ist, mit dem Resultat, dass ein physischer Verlust des Sicherheitsschlüssels direkt durch den Besitz den Zugriff auf ein Benutzerkonto erlaubt.


    Resident Keys sind im Firefox übrigens noch gar nicht unterstützt. Der Titel der zugehörigen Issue spricht auch explizit von „Passwordless Authentication“. Ich halte auch das für einen verlässlichen Indikator, dass passwortlose Authentifizierung in Verbindung mit Resident Keys gedacht ist.


    Zielsetzung bei unserer Implementierung im WebAuthn-Plugin war zunächst eine bequeme Implementierung eines zweiten Faktors unter der Prämisse, dass eine spätere Erweiterung um eine echte passwortlose Authentifizierung auf Basis von Resident Keys sinnvoll möglich ist.


    Insofern: Unser WebAuthn-Plugin implementiert WebAuthn genau so wie es gedacht ist. In dieser ersten Version nutzen wir nur noch nicht alle Möglichkeiten der WebAuthn-API aus.

  • Da aber derzeit WebAuthn nur als zweiter Faktor hier genutzt wird sind mMn ~50€ verhältnismäßig viel. Da nicht abschätzbar ist wann Resident Keys Einzug erhalten und auf eine sinnvolle passwortlose Authentifizierung umgestellt werden kann. Man hätte es ja zur Einführung auf 25€ belassen können und nach dem es vollständig die API ausnutzt den Preis nach oben korrigieren können. Aber das ist nur meine Meinung :/

  • Es wurde hier explizit eine Zwei-Faktor-Authentifizierung eingeführt. Eine passwortlose Authentifizierung ist keine Vervollständigung der Unterstützung, sondern de facto ein neues Feature, welches auch nicht angekündigt war.


    WoltLab hätte den Preis ja, wie bei den anderen Erweiterungen, auf 100 Euro setzen können. Und dann hätte es vielleicht geheißen, 50 Euro wären doch angebracht gewesen. In diesem Sinne: Was letzte Preis? :D

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)

  • Es wurde hier explizit eine Zwei-Faktor-Authentifizierung eingeführt. Eine passwortlose Authentifizierung ist keine Vervollständigung der Unterstützung, sondern de facto ein neues Feature, welches auch nicht angekündigt war.


    WoltLab hätte den Preis ja, wie bei den anderen Erweiterungen, auf 100 Euro setzen können. Und dann hätte es vielleicht geheißen, 50 Euro wären doch angebracht gewesen. In diesem Sinne: Was letzte Preis? :D

    Auch wieder wahr :P

  • Da nicht abschätzbar ist wann Resident Keys Einzug erhalten und auf eine sinnvolle passwortlose Authentifizierung umgestellt werden kann.

    Wenn, dann wird WoltLab dafür vermutlich eine zweite Erweiterung für mindestens denselben Preis veröffentlichen. Ich wage zu bezweifeln, dass die Erweiterung beide Anwendungsfälle gleichzeitig decken wird.


    Und dann hätte es vielleicht geheißen, 50 Euro wären doch angebracht gewesen.

    Nein, ganz sicher nicht.

    • Official Post

    Wenn, dann wird WoltLab dafür vermutlich eine zweite Erweiterung für mindestens denselben Preis veröffentlichen. Ich wage zu bezweifeln, dass die Erweiterung beide Anwendungsfälle gleichzeitig decken wird.

    Nein, das ist einfach nur falsch und ich bitte von solchen Unterstellungen abzusehen.


    Wir haben (Stand jetzt) einen Draft-PR zur Implementierung eben dieser Funktionalität für das Plugin, aber es gibt noch diverse konzeptionelle Fragen bzw. wie oben bereits indirekt durch Tim Düsterhus angemerkt, ist die Unterstützung in den Browsern noch nicht ausreichend stabil. Der Entwurf ist aktuell mit einem YubiKey mit Chrome Desktop und dem Apple Keyring mit Chrome Desktop erfolgreich getestet.


    Chrome Mobile oder Firefox unterstützten es aktuell überhaupt nicht, weshalb wir es vorziehen die Situation weiter aktiv zu beobachten, statt vorschnell mit Versprechungen vorzupreschen, die wir im Zweifel nicht halten können.

  • Nein, das ist einfach nur falsch und ich bitte von solchen Unterstellungen abzusehen.

    Es würde aber eurem Konzept (und meiner Meinung nach auch der Logik) widersprechen zwei komplett unterschiedliche Features in ein gemeinsames zusätzliches Paket zu packen.

    Es ist übrigens eine nur eine persönliche Vermutung.


    Wir haben (Stand jetzt) einen Draft-PR zur Implementierung eben dieser Funktionalität für das Plugin

    Das wundert mich jetzt doch.

  • Ich sage mal so: die wenigsten haben überhaupt einen YubiKey oder etwas vergleichbares. Aufgrund dessen wird sicherlich auch die Erweiterung von WoltLab eher selten verkauft. Der Preis von 50€ ist hier auf jeden Fall gerechtfertigt dafür, wenn man durchrechnet wie wenige es kaufen werden. Es ist halt leider ein Nieschenprodukt.


    Prinzipiell sieht man hier aber bei jeder Preiserhöhung rumgeheule. Nehmen wir zum Beispiel die Drittentwickler. Wir verkaufen deutlich unter Wert. Wenn ich die Zeit für Support und Weiterentwicklung von Plugins einrechne, mache ich sogar minus mit meinen Produkten. Ist halt letztendlich nur ein Hobby für mich. Im Gegensatz zu mir möchten die Mitarbeiter von WoltLab aber davon leben.

    • Official Post

    Es würde aber eurem Konzept (und meiner Meinung nach auch der Logik) widersprechen zwei komplett unterschiedliche Features in ein gemeinsames zusätzliches Paket zu packen.

    Das entspricht derselben irrtümlichen Annahme, die auch SoftCreatR zuvor bereits zur Sprache gebracht hat.


    WebAuthn repräsentiert konzeptionell zwei verschiedene Methoden:

    1. Verwendung als zweiter Faktor im Sinne einer Mehrfaktor-Authentifizierung.
    2. Verwendung als eigenständige Authentifizierung unter Verwendung eines Resident Key.

    Beides war von uns von Anfang an klar und daher auch Bestandteil unserer Planungen. Allerdings ist Punkt 2, wie oben von mir angesprochen, noch eine ziemliche Baustelle angesichts der durchwachsenen Unterstützung in den Browsern.

  • Das mit den Preis Erhöhung kann ich zum Teil ja nach vollziehen der Sprit wird ja teurer und der Weg ins Büro ist ja so weit *hust*


    Das was ich aber gar nicht nachvollziehen kann ist das mit Brandig-Free.

  • die wenigsten haben überhaupt einen YubiKey oder etwas vergleichbares.

    Es funktioniert prinzipiell mit Android oder Windows Hello - iOS kann es wohl auch. Von daher ist die Wahrscheinlichkeit, dass der Benutzer mindestens ein kompatibles Gerät hat, sehr hoch. Die Frage ist eher, ob es dem Administrator das Wert ist. Ich persönlich würde lieber zu deiner Erweiterung greifen und sie ggf. umwandeln, solltest du es nicht direkt als 2fa anbieten. 50€ + 25€/Jahr nur um das WSC upgraden zu können (ich habe gegenwärtig kein kommerzielles Paket von WoltLab aktiv in Betrieb), ist mir persönlich das Feature nicht wert. Dir einmalig 20€ rüber zu schieben und dafür ein Paket zu bekommen, dass aller Voraussicht nach mindestens bis WSC 6.0, wenn nicht 7.0 kompatibel ist und (außer Bugfixes) keine Updates benötigt, ist für mich einfach deutlich angenehmer.


    WebAuthn repräsentiert konzeptionell zwei verschiedene Methoden:

    Das ist mir bewusst, aber wie du schon sagst es sind zwei konzeptionell verschiedene Methoden, daher hatte ich auch erwartet, dass ihr gezielt auf zwei Pakete hinarbeiten werdet.


    Beides war von uns von Anfang an klar und daher auch Bestandteil unserer Planungen.

    Das habt ihr aber nicht kommuniziert; was ich auch verstehe, da die Implementation aktuell ja noch in der Schwebe steht wie ihr ausgeführt habt.


    und der Weg ins Büro ist ja so weit *hust*

    Wenn ich richtig informiert bin, sind es 10m von einem Zimmer zum anderen. :D


    Das was ich aber gar nicht nachvollziehen kann ist das mit Brandig-Free.

    Ich schätze der Sinn dahinter ist, das Geld denen abzuknöpfen, die es eh im Überfluss haben und ansonsten Werbung auf der Seite stehen zu haben und so Interesse zu schüren und die Reputation der Seite hier zu stärken. Mache ich bei einem Produkt auch nicht anders; auch, wenn ich dafür nicht jährlich zur Kasse bitte. ;)

  • Ich schätze der Sinn dahinter ist, das Geld denen abzuknöpfen, die es eh im Überfluss haben und ansonsten Werbung auf der Seite stehen zu haben und so Interesse zu schüren und die Reputation der Seite hier zu stärken. Mache ich bei einem Produkt auch nicht anders; auch, wenn ich dafür nicht jährlich zur Kasse bitte. ;)

    Im großen und ganzen spricht da ja nix gegen aber dann sollte man es eben so machen das nur bei Business Anbieter jährlich kostet und für private eben bleibt wie es ist das wäre meiner Meinung nach ein guter Kompromiss wo beide Seiten etwas von hätten.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!