Register_XH

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Post Reply
cmb
Posts: 13594
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Register_XH

Post by cmb » Tue Jun 12, 2012 1:53 pm

Hallo Community,

ich habe gerade Register_XH 1.4rc1 veröffentlicht.

Register wurde 2007 von Carsten Heinelt entwickelt. 2010 gab er Gert Ebersbach die Erlaubnis es an CMSimple_XH anzupassen und es weiter zu verbessern. Das Plugin wurde dann als Register_mod_XH verbreitet. 2012 stellte Gert Ebersbach die Entwicklung ein und gab mir die Erlaubnis das Plugin zu pflegen und zu verbreiten. Vielen Dank an Carsten Heinelt und Gert Ebersbach für ihre gute Arbeit und die Erlaubnis das Plugin weiterhin pflegen zu dürfen!

Wenn Ihr Register_mod_XH 1.2.3 oder 1.3 bereits nutzt und alles funktioniert, gibt es wohl keinen Grund für ein Update. Aber natürlich bin ich an Rückmeldungen von Testern, und besonders bezüglich der Entfernung der Möglichkeit in den Admin-Modus zu wechseln (hat das jemand genutzt?) interessiert.

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

cmb
Posts: 13594
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Register_XH

Post by cmb » Fri Sep 07, 2012 12:03 pm

Hallo Zusammen,

ich habe gerade Register_XH 1.4rc2 veröffentlicht.

Abgesehen vom Beheben einiger kleinerer Mängel, dem Hinzufügen eines System-Checks, dem Hinzufügen der dänischen und russischen Übersetzung (vielen Dank an maeg bzw. Old dafür), habe ich alle Kennwörter aus den Mails entfernt (abgesehen natürlich von der Kenntwort-Erinnerungs-Mail, die nicht mehr an den Admin geschickt wird). Wenn Ihr also bei den verschlüsselten Kennwörtern bleibt, ist die Kennwort-Privatsphäre Eurer Mitglieder sicher gestellt.

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

cmb
Posts: 13594
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Register_XH

Post by cmb » Thu Sep 13, 2012 4:48 pm

Hallo Zusammen,

heute erhielt ich eine E-Mail mit meinen Register_XH-Benutzerdaten von meiner Domain, obwohl ich diese nicht angefordert hatte! :? Was war passiert? Irgend jemand hat den "Kennwort vergessen" Link angeklickt, und das Formular mit meiner E-Mail-Adresse abgeschickt! :!: Es ist ja kein Problem, dass diese E-Mail an mich geschickt wurde, aber da ich Kennwort-Verschlüsselung aktiviert habe (was ich allgemein nur wärmstens empfehlen kann), wurde das Kennwort automatisch erneuert! Aber selbstverständlich sollte niemand in der Lage sein, das Kennwort eines anderen zu ändern, wenn er dazu nicht autorisiert ist.

Also habe ich die "Kennwort vergessen" Funktionalität verbessert. Wenn die Kennwort-Verschlüsselung aktiviert ist, wird zunächst nur eine E-Mail mit den Benutzerdaten versendet ohne das Kennwort zu ändern. Aber in dieser E-Mail befindet sich zusätzlich ein Link, der angeklickt werden muss, um das Kennwort zu erneuern (ähnlich wie der Aktivierungs-Link). Dann wird eine zweite E-Mail verschickt, die das neue Kennwort enthält.

Also habe ich gerade Register_XH 1.4rc4 veröffentlicht.

Ich freue mich auf Euer Feedback!

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

Holger
Site Admin
Posts: 3242
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany
Contact:

Re: Register_XH

Post by Holger » Fri Sep 14, 2012 10:18 am

Hallo Christoph!

Ich hatte Register_XH jetzt auch einmal getestet, weil ich es in einem Projekt evtl. auch einsetzen möchte.
Das Plugin ist richtig "erwachsen" geworden. Klasse!

Ein paar Sachen sind mir da aber noch aufgefallen bzw. würde ich mir wünschen:

Mails
  • die Mails an (B?)CC kommen nicht an (rc2). Das ist vielleicht schon in der neuesten Version gelöst.
  • Die Mails an den Admin sind identische Kopien der Mails an den User. Das verwirrt den "Otto-Normal-User" vielleicht etwas (bei meinen war's zumindest so). Eventuell sollte die Kopie für den Admin einen abgewandelten Text haben oder irgendwie anders als Hinweis/Kopie ausgezeichnet werden (können).
Vorname / Nachname
die Prüfung auf ein Leerzeichen ist hinderlich, wenn man das Feld als "Organisation" (Verein) oder "Abteilung" (Tennisabteilung)
deklarieren möchte. Die Validierung auf ein Leerzeichen in diesem Feld könnte IMO ganz entfallen. Ich hab's vorerst einfach heraus gelöscht.


"Passwort vergessen" - Funktionalität
cmb wrote:heute erhielt ich eine E-Mail mit meinen Register_XH-Benutzerdaten von meiner Domain
Nur eine Mail? Ich hatte sie 2x angefordert :mrgreen: :mrgreen: :mrgreen:
Jetzt ernsthaft: genau dieses Problem war mir auch aufgefallen. Ich hoffe, Du bist jetzt nicht böse, aber der Punkt wäre damit ja auch erledigt :) .


Backend:
für eine übersichtlichere Userverwaltung, schon bei einer kleinen Anzahl von Usern, wäre die Paginierung des Formulars wirklich sehr hilfreich.
Optimal fände ich aber die Darstellung der wichtigsten Daten in Tabellenform, dann mit jeweils einem Button zum vollständigen Änderungsformular.
jQuery.Tablesorter wäre da schon super. Noch cooler, wegen der integrierten Suchfunktion, wäre vielleicht Flexigrid oder jqgrid.
Ändern der Daten per Ajax ist nicht nötig. Im Gegenteil, denn dann müssten ja alle änderbaren Felder in der Tabelle angezeigt werden, was sicher oft zu Platzproblemen führen wird.


Von Code-Seite sollte noch einmal überdacht werden, ob die unglückliche Namensvergabe der Session-Variablen ( z.B. $_SESSION['username'] etc. ) nicht doch geändert werden sollte. Die Bezeichner schreien geradezu nach Inkompatibilitäten. Ich bin aber nicht sicher, ob andere Plugins die Variablen verwenden.
Mit Blick auf die etablierten Arrays $cf oder $tx wäre doch $_SESSION['pluginname']['key'] naheliegend?


Nochmals sorry für die Passwort-vergessen-Geschichte,

LG
Holger

cmb
Posts: 13594
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Register_XH

Post by cmb » Fri Sep 14, 2012 11:30 am

Hallo Holger,
Holger wrote:Das Plugin ist richtig "erwachsen" geworden. Klasse!
Danke für das Lob, :) aber allzu viel habe ich eigentlich gar nicht geändert.
Holger wrote:die Mails an (B?)CC kommen nicht an (rc2).
Es sind immer BCC Mails; und wenn diese nicht ankommen, liegt es vermutlich an einer serverseitigen Beschränkung: soweit ich weiß, blocken manche Server die BCCs. CC wäre die einfache Lösung, aber mit dem folgenden hast Du natürlich recht:
Holger wrote:Eventuell sollte die Kopie für den Admin einen abgewandelten Text haben oder irgendwie anders als Hinweis/Kopie ausgezeichnet werden (können).
Ja, ich denke es wäre besser, wenn 2 separate Mails verschickt werden.
Holger wrote:Vorname / Nachname
die Prüfung auf ein Leerzeichen ist hinderlich, wenn man das Feld als "Organisation" (Verein) oder "Abteilung" (Tennisabteilung) deklarieren möchte
Ja, das hat mich auch schon gestört als ich mich als "Christoph Michael Becker" registrieren wollte. Ähnlich problematisch finde ich die Beschränkung, dass das Passwort nur alphanumerische Zeichen + den Unterstrich enthalten darf.
Holger wrote:Nur eine Mail? Ich hatte sie 2x angefordert
Ja, es waren zwei Mails, was mich besonders irritiert hat, denn ich dachte, das wohl fehlerhafterweise hier ein BCC rausgegangen ist, und war dann völlig verdutzt, dass das Passwort unterschiedlich war. In der Beschreibung habe ich nur eine Mail erwähnt, um nicht auch andere zu verwirren.

Aber gut, dass jetzt klar ist, wer der Übeltäter war. Ich werd gleich mal Ipban_XH installieren... :P
Holger wrote:Backend
Das steht bei mir schon länger auf dem Plan. Derzeit liebäugele ich mit jTable, das auch in Ipban_XH seinen Dienst tut. Da ist dann auch die Breite der Tabelle kein Problem, weil nicht alle Informationen angezeigt werden müssen (und der Anwender kann es dynamisch noch konfigurieren), und dennoch bearbeitet werden können.
Holger wrote:Die Bezeichner schreien geradezu nach Inkompatibilitäten.
Ja, das gefällt mir auch nicht. Aber soweit ich es überblicke, sind nicht nur die Session-Variablen, sondern auch andere Bezeichner (PHP und HTML/CSS) u.U. problematisch.
Holger wrote:Mit Blick auf die etablierten Arrays $cf oder $tx wäre doch $_SESSION['pluginname']['key']
Das hatte ich bei einem Plugin mal gemacht, und als ich es dann auf einem Server installiert habe, gab's einige seltsame Phänomene. Schließlich fand ich die Ursache: dort war register_globals angeschaltet, und dann wurde $pluginname immer gesetzt, was den Admin-Modus getriggert hat. Also sicherheitshalber $_SESSION['Pluginname'], $_SESSION['_pluginname'] oder eben $_SESSION['pluginname_key']. Und dann ist zu Bedenken, dass ein paar Plugins das Login von Register mitbenutzen -- die müssten dann entsprechend erweitert werden.

All diese Änderungen sind aber für 1.4 bei weitem zu umfangreich. Und eigentlich hatte ich vor mir mit einer 1.5 oder 2.0 Zeit zu lassen, da bisher ja wenig Wünsche/Anregungen aus der Community kamen (nur Joe hatte sich vor längerem mal bzgl. der Userverwaltung mehr Übersicht gewünscht). Ich schau mal, wie ich's mache.
Holger wrote:Nochmals sorry für die Passwort-vergessen-Geschichte,
Ich bin nicht böse -- im Gegenteil. Wie ein Bug reported wird, ist mir eigentlich egal, Hauptsache er wird reported. Danke also dafür.

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

Holger
Site Admin
Posts: 3242
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany
Contact:

Re: Register_XH

Post by Holger » Fri Sep 14, 2012 12:24 pm

Hi Christoph,

Ui, jTable sieht ja wirklich klasse aus. So umfangreich kannte ich bisher nur jquery-datatables-editable. Das ist IMO aber recht "murksig" und unübersichtlich gemacht.
Auf den ersten Blick scheint jTable da wirklich viel sauberer zu sein.
cmb wrote:Ähnlich problematisch finde ich die Beschränkung, dass das Passwort nur alphanumerische Zeichen + den Unterstrich enthalten darf.
Das würde ich lassen. "Username" ist eh nur für interne Zwecke gedacht und so muss man sich nicht so viele Gedanken ums escaping machen, wenn man die Variable weiter verwenden will.
cmb wrote:Schließlich fand ich die Ursache: dort war register_globals angeschaltet, und dann wurde $pluginname immer gesetzt, was den Admin-Modus getriggert hat.
Örks, register_globals. Klar. Danke für den Tipp!
cmb wrote: All diese Änderungen sind aber für 1.4 bei weitem zu umfangreich. Und eigentlich hatte ich vor mir mit einer 1.5 oder 2.0 Zeit zu lassen, da bisher ja wenig Wünsche/Anregungen aus der Community kamen (nur Joe hatte sich vor längerem mal bzgl. der Userverwaltung mehr Übersicht gewünscht). Ich schau mal, wie ich's mache.
Ja klar, keine Hetze.
Ich muss mein Projekt so Mitte Oktober fertig haben.
Das Mail-Problem löse ich mir dann mit einer zweiten Mail an den Admin, wenn's wirklich am BCC liegt. Den Server kann ich nicht wechseln und ich brauche auch PHP 5.3.
Und für das Backend muss ich mir dann eine Low-End Lösung einfallen lassen; jTable ist vermutlich doch etwas aufwändiger in die bestehende Code-Basis zu integrieren.
cmb wrote:Ich werd gleich mal Ipban_XH installieren...
Bringt nix, denn noch kann ich mir keine statische IP leisten :mrgreen: .
cmb wrote:Ich bin nicht böse -- im Gegenteil.
Dann ist's ja gut!

LG
Holger

cmb
Posts: 13594
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Register_XH

Post by cmb » Fri Sep 14, 2012 12:52 pm

Hi Holger,

perfekt ist jTable nicht. Was mir dabei aber gut gefallen hat, war dass die Tabelle eben kein Inline-Editing erlaubt, sondern ein separater Dialog verwendet wird, der aber automatisch generiert wird. Ich hatte vorher ein Auge auf Editable Grid geworfen, aber da waren im Back-End die Inline-Inputs um die Höhe des Admin-Menüs verschoben. ;)
Holger wrote:
cmb wrote: Ähnlich problematisch finde ich die Beschränkung, dass das Passwort nur alphanumerische Zeichen + den Unterstrich enthalten darf.
Das würde ich lassen. "Username" ist eh nur für interne Zwecke gedacht und so muss man sich nicht so viele Gedanken ums escaping machen, wenn man die Variable weiter verwenden will.
Mir ging's nicht um den Username, sondern ums Password -- schließlich wird dort oft empfohlen Sonderzeichen einzubauen.
Holger wrote:Und für das Backend muss ich mir dann eine Low-End Lösung einfallen lassen; jTable ist vermutlich doch etwas aufwändiger in die bestehende Code-Basis zu integrieren.
Soo wild dürfte es nicht sein, da die Komponente recht unabhängig agiert: eine JS-Datei für die Konfiguration und dann eben die AJAX-Requests/-Resonses, die ja nur die CSV-Datei lesen/schreiben müssen. Und dafür gibt's sogar schon Funktionen. Ich schau mal, ob ich das als Prerelease schon mal über's WE umsetzen kann.

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

cmb
Posts: 13594
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Register_XH

Post by cmb » Sun Sep 16, 2012 2:21 pm

Hallo Zusammen,

ich habe gerade Register_XH 1.4rc5 veröffentlicht.

Ich habe eine "arbitrary code execution" Sicherheitslücke geschlossen. Das Update wird dringend empfohlen.

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

cmb
Posts: 13594
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Register_XH

Post by cmb » Wed Oct 17, 2012 6:21 pm

Hallo Zusammen,

ich habe gerade Register_XH 1.4.

Gegenüber dem jüngsten RC hat sich nichts geändert (außer der Versionsnummer und der Warnung in der Hilfe-Datei).

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

cmb
Posts: 13594
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Register_XH

Post by cmb » Wed Oct 17, 2012 8:58 pm

Hallo Zusammen,

ich habe gerade Register_XH 1.5beta1 veröffentlicht.

Es ist eine Beta-Version mit einer verbesserten Benutzerverwaltung.

@Ele: ich habe hier Register_loggedInForm() ergänzt (siehe Handbuch).

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

Post Reply