Sicherererererer: WBCE CMS 1.6.5
»Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind.«
(Joseph Heller, Catch-22)
Endlich! Weniger Benutzerfreundlichkeit!
Nein, wir finden es nicht geil, unsere Nutzys zu gängeln, und wir haben das nicht gemacht, "weil wir es können". Vielmehr hat sich herausgestellt, dass der Brute-Force-Schutz vergleichsweise einfach zu umgehen ist, wenn man über die entsprechenden Tools verfügt - das heißt, jemand Böswilliges könnte ungebremst tausende von Benutzernamen-/Passwort-Kombinationen durchprobieren. Mit dem neu eingefügten CAPTCHA-Schutz ist das jetzt etwas schwieriger und langwieriger geworden.
"Brauch ich nich, will ich nich?" Na gut. Aber auf eigenes Risiko - sag nicht, wir hätten nicht davor gewarnt. Die Zeile define('NO_LOGIN_CAPTCHA',true); in der config.php deaktiviert den mühsam reingedengelten Schutzmechanismus wieder.
Wo ist denn auf einmal Gruppe XY...?
Weil man ja heutzutage niemandem mehr trauen kann, mussten wir auch die Nutzer- bzw. Gruppenverwaltung kastrieren. Man kann andere Accounts jetzt nur noch den Gruppen hinzufügen, in denen man selbst Mitglied ist. Warum? Weil - auch hier entsprechende Werkzeuge und kriminelle Energie vorausgesetzt - bestehende Nutzys sich hätten zu Administratorys aufschwingen können. Und das will man ja nun auch nicht.
Passwort1234 statt Passwort123 m(
Passwortlänge mindestens 12 Zeichen - und das ist noch freundlich... siehe Passwort-Knackzeit-Tabelle
Musste das sein....?
Jawohl - das musste sein. Aber zum Trost - ein paar andere Bugs sind auch noch gefixt worden und die angestaubte jQuery-Version aufgefrischt worden. Uuuund der Kalender beim Start-/Ablaufdatum von Abschnitten flackert in Safari nicht mehr !121eins!1! Allein das macht doch alles andere wett, nicht wahr?