Neuerungen bis zum 19. Juni 2020

Beginnen wir zunächst mit einem wichtigen Thema, das unseres Erachtens vom Hersteller WoltLab viel zu intransparent behandelt wird:

Registrierung mit Facebook und/oder Account-Kopplung mit Steam

Gleich vorweg: Dies gilt nicht für Discord, es gilt lediglich für Facebook und Steam!


Der Hersteller (also WoltLab) sieht vor, dass wenn eine Kopplung des Accounts mit einem Drittanbieter (nur Facebook und Steam für uns relevant) besteht, der Nutzer sich dementsprechend auch nur noch über den genutzten Drittanbieter (OAuth via Steam oder Facebook) anmelden kann. Aus diesem Grund wird auch nicht nach einem Passwort bei der Registrierung gefragt, sondern es wird ein zufallsgeneriertes Kennwort in der Datenbank hinterlegt.

Ihr kennt das Passwort demnach nicht und müsst prinzipiell einmalig von der "Passwort vergessen?"-Funktion Gebrauch machen, um euch ein Passwort festzulegen. Dieses Passwort wird allerdings beim nächsten Login über den Drittanbieter wieder überschrieben!


Da Steam auch nachträglich verbunden werden kann, greift das mit dem Login und dem Passwort dann ebenso! Falls ihr euch mit Facebook registriert habt, müsstet ihr zunächst euren Account von Facebook lösen, um ihn anschließend mit Steam koppeln zu können. Wenn ihr allerdings strikt darauf achtet, euch danach nicht per diesem Drittanbieter einzuloggen, könntet ihr es euch damit prinzipiell auch als "Hintertüre" für einen alternativen "Notfall-Login" offen lassen. ;)
(Zumindest geht das noch so lange, bis WoltLab evtl. das ganze noch weiter verschärft, wovon aber nicht auszugehen ist.)


Der Entwickler des Steam-Plugins wird prüfen, ob er es wie beim Discord ändern kann, so dass es eine rein optionale Sache ist, die aber nicht diesen unschönen Auswirkungen mit dem Passwort unterliegt.

Sicherheitsmaßnahme: Abgleich mit HIBP-Datenbank

Es wurde eine Anbindung an Have I Be Pwned (HIBP) eingebunden, so dass ihr bei der Registrierung, dem Login und bei der Passwortänderung eine Info erhaltet, wenn euer gewähltes Passwort im Web bekannt ist (etwaige Hacks dritter WebSites, vgl. Liste).


Hinweis: Es werden niemals personenbezogenen Daten (kein Nickname, keine eMail-Adresse, kein Passwort) an den Dienst übermittelt!

  1. Euer Passwort wird zunächst in einen SHA1-Hash umgewandelt.
    ** Das Passwort Test wäre als SHA1-Hash 640ab2bae07bedc4c163f679a746f7ab7fb5d1fa
  2. Die ersten 5 (von 40) Zeichen des Hash werden an HIBP übertragen. Nein, dieser Bruchteil des Hash erlaubt keinen Aufschluss über das eigentliche Kennwort!
    ** Anhand des Beispiels von oben wäre es demnach: 640ab
  3. Der Server von HIBP antwortet nun mit einer Liste die allesamt mit diesem Hash beginnen. Nun gleicht unser Server die erhaltene Liste ab, ob der Hash eures gewählten Passworts in der Liste enthalten ist.
  4. Ist euer Hash in der Liste enthalten, erhaltet ihr eine Meldung. Diese Rückmeldung wird weder gespeichert noch sonstig geloggt, das ist ganz alleine für eure Augen bestimmt! Ihr werdet nun vom System zur Änderung des Passworts aufgefordert und habt zugleich Kenntnis darüber, um diese Maßnahme auf anderen Portalen/WebSites ergreifen zu können.
    Falls der Abgleich hingegen negativ verlief, passiert gar nichts. Das System erledigt einfach seine Arbeit (Registrieren, Einloggen oder das Passwort ändern lassen).

Neuerungen in der WebDisk

  • [WebDisk] Repaintkategorie für den Bremer MAN
  • [WebDisk] Diverse fehlende Payware-AddOns und Repaint-Kategorien
  • [WebDisk] Polygon 400 MMC in Vorausgesetzte kommerzielle Erweiterungen
  • [Forum] Kommentarmöglichkeit für Beiträge hinzugefügt (resultierend aus: Umgang mit den Screenshot Thread)
  • [Forum] Themen können ignoriert werden (resultierend aus: Thema ignorieren)
  • [Profil] Profilfeld Lieblingsmap hinzugefügt
  • [Account] Der Postfach-Füllstand für Konversationen wird angezeigt, wenn das Kontingent bei 75% (und höher) liegt;
    via persönliches Kontrollzentrum > Allgemein: "Postfach Füllstand anzeigen" kann dies deaktiviert werden.
  • [2FA] Die Geräteverifizierung, eine Komponente der Zwei-Faktor-Authentisierung (2FA), lässt sich im Kontrollzentrum an-/abschalten.
  • [Team] Erstellung einer Benutzergruppe: Ehemalige Teammitglieder.
  • [Team] Erstellung einer Benutzergruppe inkl. Layout für HALYCON.
  • [Profil] Falls du außerhalb der regulären Mitgliedschaft ("User") in anderen Benutzergruppen bist, kannst du es in deinem eigenen Profil einsehen.+
  • [Sicherheit] Anbindung an HIBP etabliert.
    => Siehe obiger Absatz "Sicherheitsmaßnahme: Abgleich mit HIBP-Datenbank".
  • [Admin/MOD] Der Bann-Grund wird im Profil angezeigt, falls jemand gesperrt wurde.
    Hinweis: Wir sperren auch User, wenn die User inaktiv sind und E-Mails aufgrund Unzustellbarkeit zurück kommen, um damit zukünftige Rückläufer zu verhindern. In der Sperrmeldung machen wir darauf aufmerksam und fordern lediglich zur Kontaktaufnahme auf, womit die Entsperrung eingeleitet würde. :grins:
  • [Server] Diverse zwischenzeitig eingespielten Updates.

Fehlerbehebungen in der WebDisk

  • [Spenden] Beim Versuch zu Spenden wurde der Betrag stets auf den Mindestwert zurückgesetzt.
  • [Global] Audiosteuerung bei neu erhaltener Konversation ausgeblendet (vgl. "Sie haben Post" - Audio wird anzeigt),
    nach erneutem Auftreten global gelöst (vgl. Sie haben Post Audio - erneutes Anzeigen)
  • [Discord-OAuth] Die WebDisk konnte nicht mit Discord verbunden werden. User mit dem Rang OMSI-Modder und höher erhalten ihren Rang vollautomatisch nach der Kopplung. (vgl. Discord Verknüpfung)
  • [Team] Neue Teamseite: Deplazierte Punkte korrigiert
  • [WebDisk] Wiederherstellung unseres Standards, dass in der WebDisk nicht immer die zuletzt hochgeladene bzw. eingetragene Download-Datei gedownloadet wird, sondern bei mehreren Einträgen auf die "Dateien"-Seite gewechselt wird, wo der User selbst downloadet kann, was er haben möchte.
    (vgl. Einzelne Dateien können nicht mehr heruntergeladen werden)
  • [WebDisk] Ein kritisches Problem mit der Datenbank wurde behoben. Dateien >2,1 GB konnten nicht hochgeladen werden, weil WoltLab (Entwickler) 32bit-Systeme als Basis ansetzt. Unsere Datenbank wurde auf 64bit angepasst, um die datenbankseitige Limitierung zu umgehen.
    (vgl. File upload >2,1 GB)
  • [Global/BB-Code] Ein Problem bei der Nutzung von Boxen (infobox, warnbox, errorbox, successbox) wurde behoben.
    => Dieser Fehler lässt sich NICHT vollständig beheben! Die genannten Anweisungen zur problemlosen Anwendung im Meldungs-Thread Fehlerhaftes setzten der Boxen müssen befolgt werden!
  • [Steam-OAuth] Ein Fehler in Verbindung mit dem Steam-Plugin wurde (von Entwicklerseiten) behoben, wodurch das eigene Passwort nicht geändert werden konnte. Unabhängig davon, ob sich mit Steam registriert wurde oder nicht, gaukelte das System durch eine fälschliche Datenbankeingabe die Kopplung mit Steam vor. (vgl. Passwort ändern)
    => Siehe hierzu Anmerkung "Kopplung des Accounts" oben!
  • [Global] Ein kritisches Problem mit der Datenbank wurde behoben und zugleich wurden Vorkehrungen getroffen, diese Problematik zukünftig zu verhindern.
  • ... und die Behebung diverser anderer kleinen Fehlerchen.
Anzeige