Diskussion:Willkommen im Wiki Aventurica!/Neuigkeiten

aus Wiki Aventurica, dem DSA-Fanprojekt
Wechseln zu: Navigation, Suche
Auf dieser Seite soll vorrangig der Artikel diskutiert werden, allgemeine Fragen zur Spielwelt sind meistens besser im dsaforum aufgehoben.
Desweiteren gibt es einen Wiki Aventurica Kanal im dsaforum-Discord, sowie für angemeldete Benutzer die Möglichkeit, Spezial:Webchat zur Kommunikation nutzen.

StipenTreublatt möchte die Frage "Sollen DSA-Neuigkeiten von twitter im Wiki eingebunden werden?" klären. (siehe Abschnitt #Neuigkeiten von twitter einbinden?)

Neuigkeiten von twitter einbinden?[Bearbeiten]

Es gäbe die Möglichkeit, die Beiträge von bestimmten twitter-accounts, z.b. Nandurion, Uhrwerk oder Ulisses, im Wiki als Neuigkeiten einzubinden (siehe dazu diese Diskussion. Wie seht ihr das?--Stip (Disk., Bot) 17:13, 13. Maerz 2014 (CET)

Eine Einbindung kann man beispielhaft auf der Hauptseite des Splitterwiki finden: http://splitterwiki.de/wiki/Hauptseite --Theaitetos (ΔΘ) 20:00, 13. Maerz 2014 (CET)
Funktioniert bei mir nicht, obwohl ich sowohl dem Splitterwiki als auch twitter scripte erlaubt habe.--Stip (Disk., Bot) 20:47, 13. Maerz 2014 (CET)
Hast du Ghostery oder sowas? Dann musst du den Twitter-Button auf splitterwiki.de erlauben. --Theaitetos (ΔΘ) 20:57, 13. Maerz 2014 (CET)
Ah, Problem gefunden. Hatte einen Filter in Adblock, der das blockiert hat.--Stip (Disk., Bot) 21:09, 13. Maerz 2014 (CET)
Hmm, mir gefällt dieses "Antwort"-Fenster unter den Meldungen nicht, das passt nicht dazu, dass das Newsmeldungen sein sollen. Es sieht mir im Quelltext aber so aus, als würde das aus dem von twitter importierten script stammen - was an sich schon mal unschön ist, da ein potentielles Sicherheitsrisiko (Szenario: twitter wird gehackt, der javascript-code wird verändert und sofort an alle webseiten verteilt, die den Code vertrauensseelig einbauen). Andererseits kann man den javascript-code aus rechtlichen Gründen wahrscheinlich auch nicht einfach übernehmen und anpassen, oder was meinst du?--Stip (Disk., Bot) 21:25, 13. Maerz 2014 (CET)
Kann man ja später einfach per CSS abschalten: .timeline-footer {display:none;} --Theaitetos (ΔΘ) 21:40, 13. Maerz 2014 (CET)
Hmm, stimmt. Das Script übernehmen (und damit die Einbindung im WA gegen mögliche hacks der twitter-Server schützen) geht aber nicht, oder?--Stip (Disk., Bot) 22:03, 13. Maerz 2014 (CET)
Nee, aber da sehe ich auch kein Problem für das WA, denn da gibt es wahrscheinlichere Angriffsvektoren, bspw. dein Passwort abzufangen und dadurch Bürokratenrechte zu bekommen: Kein HTTPS. --Theaitetos (ΔΘ) 00:28, 14. Maerz 2014 (CET)
Wenn man das WA gezielt attackiert bestimmt. Wenn man tausende Rechner infizieren will lohnt sich der Angriff über solche zentral verteilten javascripte aber weitaus mehr.--Stip (Disk., Bot) 05:32, 14. Maerz 2014 (CET)
Die Frage ist dann aber, welcher Angreifer ungezielte Angriffe vornimmt. Kriminelle und Hacker haben nur was von gezielten Angriffen. Lediglich Geheimdienste und Skript-Kiddies greifen ungezielt an. Erstere haben bessere Mittel als verteilte Java-Scripte und letztere haben es schwer gegen gesicherte Server von IT-Großunternehmen: Man mag ja von Google & Co. halten was man will, aber deren Sicherheitsteams sind mit die besten der Welt. --Theaitetos (ΔΘ) 13:14, 14. Maerz 2014 (CET)
Naja, man hört ja immer wieder von Schadcode, der über Werbung verbreitet wird... das scheint mir schon ziemlich ungezielt zu sein. Und da dieses twitter-script ja wohl auf einem Haufen Seiten eingebunden wird, wäre das wohl für jemanden, der einen Haufen Rechner angreifen will, ein Jackpot. Ein wohl nicht ganz einfach zu knackender, zugegeben.
Letztlich würde ich es gerne - soweit es eben geht - vermeiden, externen Code automatisch aus anderen domains zu laden.
Hmm, da fällt mir ein, um https wollte ich mich auch noch kümmern... mal sehen ob ich das überhaupt einrichten kann auf dem WA-Server.--Stip (Disk., Bot) 13:28, 14. Maerz 2014 (CET)
Btw, dass Kriminelle gezielt angreifen, halte ich für unwahr. Phishing-mails z.B. werden ja wohl an einen Haufen Adressen geschickt, in der Hoffnung, dass jemand anbeißt. Genauso könnte ich mir das bei einem javascript-Angriff vorstellen: Schadcode einbauen, der möglicherweise bei top-aktuellen Browsern nichts bewirkt, in der Hoffnung, dass genügend Leute mit veralteten Browsern unterwegs sind.--Stip (Disk., Bot) 13:32, 14. Maerz 2014 (CET)
Aber bei Phishing wird man zu einer bestimmten Seite gelockt, sodass Kriminelle dort Bankdaten o.ä. bei der Eingabe abgreifen können. Sowas ist bei JS nicht möglich. Und angenommen wenn doch, dann stehen die Kriminellen vor einem Riesenproblem, denn ihr eigener Server müsste dann ja auch all die vielen Anfragen stemmen können, wie die Twitter-Server es sonst tun – das ist ein nicht zu unterschätzendes Infrastrukturproblem, denn nur wenige Institutionen/Unternehmen haben solche Kapazitäten. --Theaitetos (ΔΘ) 14:55, 14. Maerz 2014 (CET)
Der Schadcode über die Werbesysteme wird auch ungezielt verteilt. Mails mit verseuchten Anhängen werden ungezielt verschickt. Kriminelle nehmen, was sie kriegen können. Die Botnetze, die immer mal wieder auffliegen, sind bestimmt auch nicht dadurch entstanden, dass jemand gezielt den Rechner von Herr Müller aus Mainz angegriffen hat...
Wie auch immer: Wenn es nicht anders geht, werde ich das Einbinden des twitter-javascripts zulassen, falls die Mehrheit der WA-Nutzer sich dafür ausspricht. Ich wollte allerdings mal drüber gesprochen haben. ic_smile.gif
Da fällt mir ein, dass ich mal dafür sorgen wollte, dass solche Diskussionen sichtbarer werden... Ich bastel mal am Mitarbeiterportal herum, die internen Neuigkeiten können da ja wohl weg, da sie auch auf der Hauptseite stehen.--Stip (Disk., Bot) 16:57, 14. Maerz 2014 (CET)
Mails mit verseuchten Anhängen? Da muss man unterscheiden: "Nur Schaden verursachen" oder "keinen sichtbaren Schaden verursachen". Ersteres, bspw. ein Virus, wird nicht von Kriminellen verwendet, denn davon haben die nichts, denn die bekommen ja nichts, wenn bei jemand anders was kaputt geht – darum werden solche Sachen nur von Skriptkiddies verwendet. Zweiteres sind Keylogger/Trojaner/Rootkits/o.ä. und nur diese werden von Kriminellen verwendet, denn damit können sie wieder Bankdaten abgreifen oder ein Botnetz aufbauen. Bei beiden Fällen käme aber wieder das Problem auf, dass Twitter sehr schnell reagieren kann, sodass die Kriminellen nur ein kleines Zeitfenster haben und wohl in ihren Kapazitäten überfordert wären – weder Botnetze noch Trojaner & Co. kämen da lange durch. Das Problem bei Trojanern & Co. ist ja, dass sie lange unentdeckt bleiben und Kriminelle damit lange Zugriff auf infizierte Rechner haben. Twitter-Server zu hacken wäre allerdings ein schnell entdeckter Angriff, der all das zunichte machen würde. Darum verbreiten sich solche Sachen auch eher über Porno- oder Nachrichten-Seiten: Meist wenig bis keine Sicherheit + hohe Besucherzahlen.
Zu den Neuigkeiten: Bei Java Script gibt es als Sicherheitsbedenken eigentlich nur die Cross-Site Vulnerabilities (XSS) (die moderne Browser wie Firefox oder Chromium verhindern sollten), die aber nur auf sensiblen Seiten wirklich Schaden anrichten können, denn bei einer XSS bekommt das schadhafte JS die selben Priviligien wie der eigentliche User. Wenn man also gerade im Onlinebanking eingeloggt ist und sich dort XSS-JS einfängt, dann kann das böse JS ebenso auf die Bankdaten zugreifen wie man selbst, aber wenn man auf der Neuigkeiten-Seite des Wikis ist, dann kann das böse JS auch nur das tun, was man als eingeloggter User tun könnte: Die Seite editieren. Von daher ist JS im Wiki eine eher geringe Gefahr.
Gut zu wissen. ic_smile.gif --Stip (Disk., Bot) 20:51, 14. Maerz 2014 (CET)

Überarbeitung[Bearbeiten]

Ich habe die Seite Hauptseite/Neuigkeiten auf eine automatische DPL-Liste umgestellt, die automatisch die obersten 5 Neuigkeiten von Neuigkeiten/Archiv anzeigt. Mit der Vorlage ist es etwas einfacher eine neue {{Neuigkeit}} einzutragen. Gleichzeitig kann man die Neuigkeiten auch auf anderen Seiten einbinden und gegebenenfalls auch nach Tags ordnen, also bspw. nur Aventurien- oder Myranor-Neuigkeiten anzeigen lassen. --Theaitetos (ΔΘ) 21:32, 18. Aug. 2014 (CEST)