Du bist nicht angemeldet.

Werbeanzeige

Goldwing Studios

Treue Seele

  • »Goldwing Studios« ist der Autor dieses Themas

Beiträge: 332

Wohnort: Heidelberg

Beruf: Softwareentwickler, Vertriebler

  • Private Nachricht senden

1

02.12.2016, 09:49

ManagedWeb - Entwicklerforen, aber aufgeräumt!

(Mal vorn weg: Ich weiß, dass diese Applikation nichts mit dem erstellen von Spielen zu tun hat und auch kein Spiel ist, aber ich denke es könnte diesem Forum helfen und möchte sie deshalb zentral mit euch teilen. Ich bitte deshalb hier von einer Diskussion in diese Richtung abzusehen. Danke!)
(Hinweis an die Moderation: Ich habe keinen passenden Bereich in der Themen-Liste gefunden und wollte es nicht in den Vorstellungsthread packen, da es sich hier ja nicht um ein Spiel handelt. Falls es euch hier stört, dann bitte ich um ein sinnvolles Verschieben des Themas in ein anderes Unterforum. Danke)

ManagedWeb?
ManagedWeb ist eine Web-Applikation mit dem Anspruch, Sie auf einem Blick mit dem zu versorgen was Sie sich sonst auf einzelnen Foren-Seiten holen müssten: Eine Antwort auf die Frage "Hat sich was getan?"!

Sie haben hierbei die Möglichkeit, die angefallenen Themen (ob neu oder bearbeitet) standardmäßig Filtern zu lassen. Sie können so nur Antworten auf eigene Themen (oder nur Themen in welchen Sie selbst aktiv waren) angezeigen lassen.

Dadurch wird ManagedWeb zu einem Manager von Foren und Websites, welcher Ihnen übersichtlich aufzeigt, was sich auf der jeweiligen Website getan hat, seit Sie sich das letzte Mal dort angemeldet haben.

ManagedWeb?!
ManagedWeb meldet sich mit mit Ihren Login-Daten bei dem/der jeweiligen Forum/Website an und sammelt die Änderungen, welche Sie durch die verfügbaren Filter eingrenzen können, verwandelt diese in kleine übersichtliche Datenhäppchen und zeigt Ihnen diese anschließend in einem Dashboard an.

ManagedWeb!?
ManagedWeb eignet sich für Sie, wenn Sie gerne an einem zentralen Ort alle Neuerungen über die von Ihnen ausgewählten Websites einsehen möchten. Auch besticht ManagedWeb durch das einfache und intuitive Bedienen der Oberfläche. ManagedWeb sorgt zudem für Zeitersparnis, da Sie sich nun auf keiner Seite einzeln anmelden müssen. Diesen Part übernimmt ManagedWeb und zeigt vereinfachte Information für Ihre Sites an.

01001101 01100001 01101110 01100001 01100111 01100101 01100100 01010111 01100101 01100010?
Ihre Daten sind bei uns sicher! Alle Nutzer-Daten (Benutzername und Passwort) werden separat als SHA256-Hash in unserer Datenbank gespeichert. Beim Login werden diese Daten gegen die von Ihnen übermittelten Daten abgeglichen. Sie haben außerdem jederzeit das Recht eine Übersicht über alle, von Ihnen gespeicherten Daten, bei uns anzufragen! Dies steht Ihnen zwar schon den Datenschutzbestimmungen entsprechend zu, wir aber möchten so transparent wie nur möglich sein. Vor allem wenn es um Ihre sensiblen Daten geht!

ManagedWeb!
Sie haben genug gehört? Werden Sie hier übersichtlich: ManagedWeb


Das war der Werbetext, nun zu ein paar technischen Infos der Website:
- Bei ManagedWeb (der hier beschriebenen Website) handelt es sich um eine Webanwendung oder auch Website. Man loggt sich ein und schon bekommt man alle Infos zu seinen hinterlegten Seiten. Kein unnötiger Schnick-Schnack.
- ManagedWeb basiert auf ASP.NET 4.6 mit MVC 5. Die Website läuft auf einem Windows Server 2008 R2 und wird gehostet von 1&1. (Warum 1&1? Hatte von meiner Ausbildung nur gute Erfahrungen mit denen mitgenommen) Als Datenbank dient ein MySQL Server der Version 5.6. Für die Oberfläche sind HTML 5 (in Ansätzen), Javascript + Jquery, sowie Bootstrap und Css + Scss im Gepäck.
- Das Projekt befindet sich momentan noch in Arbeit (habe die in diesem Thread angesprochen Tipps und Anregungen bereits aufgenommen). Einige Features sind noch nicht in gänze umgesetzt und z.B. das aufrufen ohne eingetragene Nutzerdaten ist noch nicht implementiert.
- Momentan ist das Abrufen von neuen Themen für Nutzer (deren Nutzerdaten hinterlegt sind) und deren Administration implementiert. Kommen sollen noch die oben angekündigten Filter-Funktionen und das abrufen von Änderungen ohne hinterlegte Nutzerdaten.
- Gespeichert wird nur die aktuelle "Version" der Nutzerdaten, die ein Nutzer pro Seite hinterlegt. Davon abgesehen noch die Daten, welche bei der Registrierung anfallen.
- Der MySQL-Server befindet sich auf der selben Maschine. Es werden keine Daten über das Internet mit einem anderen Server ausgetauscht.
- Es werden von folgenden Daten, SHA256-Hashes in der Datenbank abgelegt: Passwort des Benutzer (für ManagedWeb)
- Die Daten für den Seiten-Login werden als AES-Hash gespeichert und zur Laufzeit dekodiert und an die jeweilige Seite zum Login übergeben.
»Goldwing Studios« hat folgendes Bild angehängt:
  • managedWebDashboard.png

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »Goldwing Studios« (03.12.2016, 01:35)


2

02.12.2016, 10:15

Zitat

Falls es euch hier stört, dann bitte ich um ein sinnvolles Verschieben des Themas in ein anderes Unterforum. Danke

Bitte...
fka tm

Schorsch

Supermoderator

Beiträge: 5 162

Wohnort: Wickede

Beruf: Student

  • Private Nachricht senden

3

02.12.2016, 13:03

Das sieht ja eher wie ein Werbetext aus. Interessanter fände ich jetzt ein paar mehr Infos zu dem Projekt. Ist das eine klassische Anwendung, eine Website oder eine App? Vielleicht möchtest du dazu sagen womit du das ganze erstellt hast? Ist das Projekt schon fertig oder noch in Arbeit? Was funktioniert aktuell und was soll noch kommen? Was wird bei "euch"/dir denn überhaupt gespeichert? Hast du einen Server mit einer Datenbank wo Nutzerdaten gespeichert werden? Was wird davon durch sha256 gehauen? (ist übrigens keine Verschlüsselung sondern ein Hash) Einfach ein paar mehr Infos zum Projekt selbst könnten interessant sein.
„Es ist doch so. Zwei und zwei macht irgendwas, und vier und vier macht irgendwas. Leider nicht dasselbe, dann wär's leicht.
Das ist aber auch schon höhere Mathematik.“

Toemsel

Treue Seele

Beiträge: 320

Wohnort: OÖ

Beruf: Student und Programmierer

  • Private Nachricht senden

4

02.12.2016, 14:41

Habe mich angemeldet, kann jedoch keine Seite hinzufügen. Zum Glück habe ich kein echtes Passwort von mir angegeben....

Goldwing Studios

Treue Seele

  • »Goldwing Studios« ist der Autor dieses Themas

Beiträge: 332

Wohnort: Heidelberg

Beruf: Softwareentwickler, Vertriebler

  • Private Nachricht senden

5

02.12.2016, 18:28

Hallo Schorsch,

bin grade unterwegs, aber reiche die Infos gerne nach.


Hallo Toemsel,

hast du Javascript aktiviert? Denn wenn ich es probiere, bekomme ich ein Javascript-Alert ob die Seite korrekt hinzugefügt wurde. Dies kommt auch wenn man keine korrekten Daten für eine Seite angibt.

Kannst du mir bitte einmal schildern wie du vorgehst?

David Scherfgen

Administrator

Beiträge: 10 195

Wohnort: Bonn

Beruf: Wissenschaftlicher Mitarbeiter

  • Private Nachricht senden

6

02.12.2016, 18:48

Sorry, aber ich würde sowas nie benutzen, weil ich damit alle meine Zugangsdaten einer Privatperson anvertrauen müsste, die ich nicht kenne.

Ob die Zugangsdaten nun verschlüsselt werden oder nicht (wie gesagt, SHA256 ist überhaupt keine Verschlüsselung, das sollte einen schonmal nachdenklich stimmen), spielt keine Rolle, denn:
- Der Admin kann, wenn er möchte, die entschlüsselten Zugangsdaten loggen und später selbst verwenden.
- Wenn die Seite bzw. der Server gehackt wird*, kann der Angreifer dies ebenfalls.

Eine Verschlüsselung schützt höchstens ein bisschen gegen einfache SQL-Injections.

*Frisch selbstprogrammierte Software hat meistens irgendwelche Lücken, und ein Server, der MySQL-Verbindungen von außen annimmt, ist mir auch suspekt.

Tobiking

1x Rätselkönig

  • Private Nachricht senden

7

02.12.2016, 21:00

Wenn die Verbindung zum Forum über HTTPS geschieht, ist es auch ein ziemlicher Rückschritt wenn deine Seite kein HTTPS unterstützt.

Alternativ zum Nutzen der Anmeldedaten bietet es sich auch an die RSS Schnittstelle des Forums zu nutzen (hier ist es https://www.spieleprogrammierer.de/index…eed&format=rss2). Damit verlierst du zwar die Möglichkeit die Threads zu filtern wo man aktiv war, aber es geht ohne Zugangsdaten.

David Scherfgen

Administrator

Beiträge: 10 195

Wohnort: Bonn

Beruf: Wissenschaftlicher Mitarbeiter

  • Private Nachricht senden

8

02.12.2016, 21:14

In den meisten Foren braucht man eigentlich gar keine Zugangsdaten, um nur zu lesen. Die braucht man nur, wenn man schreiben will. Also sollten die Zugangsdaten optional sein (vielleicht sind sie das schon, hab's nicht ausprobiert).

Goldwing Studios

Treue Seele

  • »Goldwing Studios« ist der Autor dieses Themas

Beiträge: 332

Wohnort: Heidelberg

Beruf: Softwareentwickler, Vertriebler

  • Private Nachricht senden

9

03.12.2016, 00:54

- Der Admin kann, wenn er möchte, die entschlüsselten Zugangsdaten loggen und später selbst verwenden.
- Wenn die Seite bzw. der Server gehackt wird*, kann der Angreifer dies ebenfalls.

*Frisch selbstprogrammierte Software hat meistens irgendwelche Lücken, und ein Server, der MySQL-Verbindungen von außen annimmt, ist mir auch suspekt.


Danke für den Tipp mit der Datenbank, ist angepasst und der Port geschlossen.
Das stimmt schon, das frische Software meist Fehler hat, aber deswegen habt Ihr ja die Möglichkeit das ganze ein Stück sicherer zu machen.

Zum Thema der Login-Daten finde ich die Idee gut, die Grund-Funktionalität auch ohne Benutzerdaten bereitzustellen. Steht nun auf meiner Liste, danke dafür!


Mit dem Satz "Alle Nutzer-Daten werden mittels SHA256 verschlüsselt und so in unserer Datenbank gespeichert" das war mein Fehler, danke fürs Aufzeigen! Bei ManagedWeb werden die Benutzerdaten als Hashes in der Datenbank gespeichert und beim Login gegen die übermittelten abgeglichen.
Ist im Start-Post angepasst.

Sorry, aber ich würde sowas nie benutzen, weil ich damit alle meine Zugangsdaten einer Privatperson anvertrauen müsste, die ich nicht kenne.

Das respektiere ich, ManagedWeb ist zwar ein leichterer Weg zum Ziel, aber natürlich kein muss.

Wenn die Verbindung zum Forum über HTTPS geschieht, ist es auch ein ziemlicher Rückschritt wenn deine Seite kein HTTPS unterstützt.

SSL bzw HTTPS ist ebenfalls ein guter Punkt und landet somit ebenfalls auf meiner Liste der anstehenden Punkte. Danke für den Tipp!

Wie findet Ihr die Grund-Idee? Ist die soweit gut oder noch ausbaufähig?

Nimelrian

Alter Hase

Beiträge: 1 260

Beruf: Softwareentwickler (aktuell Web/Node); Freiberuflicher Google Proxy

  • Private Nachricht senden

10

03.12.2016, 10:07

Bei ManagedWeb werden die Benutzerdaten als Hashes in der Datenbank gespeichert und beim Login gegen die übermittelten abgeglichen.

Nochmal: Reines Hashen ist keine ordentliche Technik zum Speichern von Passwörtern. Wenn 2 User als Passwort "Pa55W0RT" angeben, dann haben beide denselben Hash in der Datenbank. Abhilfe schaffen hier Salts, am besten verwendest du aber einfach ordentliche Encryption-Algorithmen, die meist auch in der Standardlib der Sprachen enthalten sind.
Ich bin kein UserSideGoogleProxy. Und nein, dieses Forum ist kein UserSideGoogleProxyAbstractFactorySingleton.

Werbeanzeige