"Anmelden oder registrieren" leitet weiter

1st Official Post
    Affected Version
    WoltLab Suite 5.5
    Affected App
    WoltLab Suite Core

    Moin,


    da es mir auch aufgefallen ist:

    Als Gast, wenn man sich einloggen will, war man es gewohnt ein Popup-Dialog zu bekommen.

    Das ist wohl kaputt gegangen, da ein Klick auf den Button nun direkt nach /login/?url= weiterleitet.

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

    Wäre es möglich, da mehr Details zu bekommen?

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

    Thanks 1
    • Official Post

    Ja, gerne. Ich bin aktuell mit den Arbeiten an den Korrekturen beschäftigt und war daher leider etwas „zu kurz angebunden“, ich bitte um Verzeihung.


    Grundsätzlich bietet der Login-Dialog abseits der Gewohnheit keine wirklichen Vorteile, im Gegenteil leidet dieser in Folge zusätzlicher Optionen immer stärker unter einer reduzierten Übersicht. Insbesondere die Integration individueller Lösungen ist aufwändiger, weil dieselbe Logik sowohl im Dialog als auch auf der dedizierten Seite bereitgestellt werden muss. Einige Login-Lösungen bauen beispielsweise automatisch (via JavaScript) eine Verbindung zum Anbieter auf und dies hat man in solchen Fällen vollkommen unnötig auf allen Seiten.


    Die Nutzung separater Login-Seiten kann vielfach beobachteten werden und bietet vier entscheidende Sicherheitsvorteile:

    • Die reduzierte Informationsdichte macht es leichter, die Funktion und den Kontext zu erfassen. Idealerweise würde diese noch stärker reduziert sein, aber das lässt sich mit der Software aktuell nicht anders lösen.
    • Idealerweise ist auf der Seite kein „user generated content“ zu sehen, damit sinkt die Wahrscheinlichkeit zum Abgreifen von Zugangsdaten (beispielsweise via „stored XSS“) deutlich.
    • Passwort-Manager können zum Teil auf eine spezifische URL begrenzt werden. In der Vergangenheit gab es immer wieder Angriffe auf Passwort-Manager, die „blind“ die Felder mit passenden Namen ausgefüllt haben, obwohl diese nicht Bestandteil des Logins waren.
    • Der Login-Dialog war Bestandteil eines gemeinsamen Templates für das Benutzer-Menü und dadurch teilweise durch veraltete Templates in Stilen betroffen. Sicherheitsverbesserungen konnten so teilweise nur verzögert einkehren. Änderungen am Benutzer-Menü wurden häufiger vorgenommen als Änderungen am dedizierten Login-Formular. Das ist zwar eher eine „Randerscheinung“, aber sollte dennoch erwähnt werden.


    Der einzige Vorteil des Login-Dialogs war die etwas höhere Geschwindigkeit, weil das Login-Formular und die damit verbundene Logik fester Bestandteil des HTML/JS war.

    Ich danke.

    Dann kann ich das nun auch nachvollziehen.

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login