Losemenge.de - Mindestlosemenge, Loseumlauf, Losevernichtung, Kontostände von mehr als 40 Projekten!

[chrissel]

Zitat:

Zitat von Shampoo

Ich habe "Signaturbutton" geklickt, möchte den aber trotzdem nicht nutzen, ist das ein Problem?

Werden auch Tresorlose gezählt?

Das ist kein Problem wenn du den Button nicht nutzt, dieser wird dann nach einiger Zeit automatisch vom Server entfernt.
Tresorlose werden auch gezählt.

[jgry]

Hey, wirklich sehr tolle Idee.

Ich fände es schön wenn du eine Übersichtsseite einbauen könntest, die auflistet:

Lose gesamt.
Davon EF.
Davon KlammID.

evtl noch ein paar Diagramme bzgl der Entwicklung wie viele Accounts eingetragen sind, ebenfalls auch getrennt?
und ein paar Diagramme über die bisherige Entwicklung der oben genannten Mengen.

(Für die Diagramme ist jQuery inkl jqPlot zur Darstellung sehr schön )

Wird sobald Daten erfasst wurden, auch die letzte Zählung in den Signatur Buttons eingetragen? Dies wäre ebenfalls ein nettes Feature.

Ebenfalls schön wäre bei den Eingabefeldern in denen der Link und die Codes für den Signaturbutton präsentiert werden, ein

Code:

1:

onClick="this.select();"

dies steigert den Komfort

[chrissel]

Auf der Startseite wird nach der ersten Losezählung eine Grafik (mittels jQuery-Flot ) angezeigt. Nach der zweiten Zählung sollte man dann auch die Entwicklung erkennen können.

Die Entwicklung der angemeldeten Accounts werde ich eventuell noch einfügen, da bin ich mir aber noch nicht sicher.

Lose gesamt werde ich nicht auf ExportForce-Account oder klamm-Account aufspalten, das wird weiterhin alles schön zusammengefasst abgespeichert werden.

Die Signaturbuttons werden keinen Kontostand beinhalten, denke das wollen nicht so viele User. Einmal generiert werden diese nicht wieder geändert


Danke für den Hinweis zu den Eingabefeldern, genau das hatte ich vergessen noch einzubauen. Werde ich nachholen

[jgry]

Zitat:

Zitat von chrissel

[...]

Die Signaturbuttons werden keinen Kontostand beinhalten, denke das wollen nicht so viele User. Einmal generiert werden diese nicht wieder geändert


[...]

Hierbei meinte ich nicht den Kontostand des Users, sondern die gesamt gezählte Menge der Lose. Meinen Kontostand würde ich auch nicht gerne auf den Buttons sehen, gegen eine Anzeige der Gesamtmenge die gezählt wurde hätte ich natürlich nichts.

Ich freue mich schon auf die ersten Ergebnisse hoffentlich machen noch mehr Leute mit damit gute Daten ermittelt werden können.

[smertullus]

In den FAQs steht, dass die eigene Losemenge erst nach und nach zur Gesamtmenge hinzugezählt wird.

Was soll das für ein Sinn haben?

[noname86]

Zitat:

Zitat von kl99

In den FAQs steht, dass die eigene Losemenge erst nach und nach zur Gesamtmenge hinzugezählt wird.

Was soll das für ein Sinn haben?

damit keiner nachvollziehen kann, wem die lose gehört haben, ich versteh den sinn aber auch gerade nicht, da man ja nirgendwo sieht, wer mitmacht

[Stoffi]

Wann werden die Konten eigentlich abgefragt? Gibts da eine bestimmte Uhrzeit am Tag?

[chrissel]

Zitat:

Zitat von kl99

In den FAQs steht, dass die eigene Losemenge erst nach und nach zur Gesamtmenge hinzugezählt wird.

Was soll das für ein Sinn haben?

Um den Sprung bei der Teilnahme eines größeren EFs/klamm-Acc's geringer zu halten.
Wenn nun die EF-Anzeige sich um 3 erhöht und auf einen Schlag dort sagen wir mal 400 MRD drauf kommen sieht man, dass es Benutzer gibt, die eine große Summe auf sich bündeln. Wenn da dann nur 20 oder max 40 MRD drauf kommen könnten diese auch durch Transaktionen auf den anderen Konten auf einmal mit einbezogen werden.. öh ja
Dazu meine ich, dass der damalige Losemenge.de-Betreiber meinte, dass es dort so etwas ähnliches schon gab, da es einige Seitenbetreiber wohl gewünscht hatten.

Aber ehrlich gesagt: Das habe ich so vor mehreren Monaten eingebaut als ich mal mit der Seite anfing, aber dann wieder beiseite gelegt habe. Ob das hier nun meine genaue Absicht war weiß ich gerade nicht mehr so genau

Zitat:

Zitat von Stoffi

Wann werden die Konten eigentlich abgefragt? Gibts da eine bestimmte Uhrzeit am Tag?

Ja, derzeit täglich 1x, ab 12 Uhr (variiert jeden Tag ein wenig).
Ich nehme mir vor, das eventuell auf ein weiteres mal zu erhöhen (habe ich ja auch in den FAQ erwähnt, dass es max. 2x wird)

[Die-Fackel]

Kannst Du das auch manuell machen?
Mir kribelts zu wissen ob schon paar mitgemacht haben

[chrissel]

Zitat:

Zitat von Die-Fackel

Kannst Du das auch manuell machen?
Mir kribelts zu wissen ob schon paar mitgemacht haben

Kann ich machen, ja. Vielleicht mache ich gleich ausnahmsweise mal die erste Zählung, damit man dann morgen bei der nächsten Zählung auch schon einen Graphen erkennen kann. Allerdings fehlt derzeit noch genau 1 Account, damit die Zählung überhaupt stattfinden kann
Setzt ja 20 Accounts voraus und wie viele sind somit eingetragen? Richtig: 19 derzeit!

Also ein paar Accounts sind schon dabei.. das werden aber hoffentlich noch deutlich mehr. Muss ja auch erst einmal anlaufen und sich herumsprechen..


EDIT: Erste Zählung erfolgreich gelaufen.

[Bububoomt]

Habe erstmal mein Klammaccount eingetrgen, aber da liegt selten was rum.

Bin ja mal gespannt wie sich das entwickelt.

[chrissel]

Ich habe nun doch noch umgestellt, dass es 2 Zählungen am Tag gibt.
Ab 0 Uhr sowie 12 Uhr (variiert auch jeden Tag ein wenig) werden nun die Lose gezählt.

[DaxDony]

Es gibt schon erste Werte.

Zitat:

Zitat von jgry

ich denke man kann dies wesentlich schöner lösen, LC ist ja das beste beispiel da müsste man nur die Mediadaten auslesen xD

Auf den Teil mit dem PHP-Parser möchte ich jetzt mal nicht eingehen ().
Der Sinn dieser Aktion ist es ja verlässliche Daten zu bekommen, einfach die Mediadaten auslesen bringt da nichts, ggf. könnten die Werte ja nicht stimmen.

Zitat:

Zitat von Mano1805

Aufgrund des Fehlens eines reinen Statistik-PWs für EFs ist es nicht möglich die Losemenge sicher zu ermitteln.

Vielleicht sollten wir dieses Feature einfach mal bei Lukas anfragen.

[chrissel]

(Zitate kommen aus dem Thread der GLVA)

Zitat:

Zitat von jgry

aua... das Script tut echt weh...
Wenn da einmal der PHP Parser aussetzt sind die EF IDs und PW öffentlich einsehbar sofern jemand die URL des Scriptes kennt... das ist keine feine Art.

Oder sehe ich das gerade falsch?

Sollte der PHP-Parser aussetzen auf einer Loseseite, werden dort auch die Passwörter sichtbar. Dann muss man dort nämlich nur die Konfigurationsdatei aufrufen und hat mindestens das MySQL-Passwort.. damit kommt man dann gut weiter.
Wenn man die URL des Losemenge-Scriptes kennt und der PHP-Parser setzt aus sieht man den Inhalt des Scriptes auch im Klartext und somit das Passwort, da hast du völlig recht. Das ist genau so schlimm dann, als wenn man direkt die Loseseite aufruft. Dafür muss dann der böse Mensch auch die URL zu dem Script wissen, die auf Losemenge auf jeden Fall verschlüsselt gespeichert wird, ob der Seiteninhaber die URL dann verbreitet oder nicht ist seine Sache.

Zitat:

Zitat von Mano1805

Naja, hier werden unverschlüsselt EF-Daten rumgeschickt, aber das ist nicht unbedingt das Hauptproblem, sollte jedoch einmal sein Server geknackt werden, hat derjenige der es knackt sozusagen den Lotto-Jackpot gewonnen.

Die EF-Daten werden mittels POST an meinen Server direkt geschickt.
Wenn man EF-Abfragen im allgemeinen macht werden diese Daten an dem klamm-ExportForce-Server geschickt.
Man hat also in beiden Fällen das Risiko, dass jemand zwischen den Leitungen "sitzt" und mitliest.

Zitat:

Zitat von Die-Fackel

Dann geht in das Thread und macht Verbesserungsvorschläge Ihr Experten.
Ich will das das Teil funktioniert und da auch mitgemacht wird.

Danke! Genau das wäre am besten, denn eure Fragen hier sind genau passend für den Thread.
Die Bedenken dürfen schließlich alle mitbekommen! Stehe ich durchgehend zu, dass man die ruhig haben darf.
Ich versuche nur diese Bedenken möglichst bedenkenlos zu machen und habe vor Veröffentlichung des Projektes mir einige Gedanken gemacht, wie man das alles so schafft und alles was mir dazu eingefallen ist umgesetzt.

Zitat:

Zitat von Mano1805

Es gibt keine sichere Lösung, das ist das Problem daran. Entweder ist der EF mal von der Sicherheit von chrissel abhängig, oder die Menge wird manipulierbar. Aufgrund des Fehlens eines reinen Statistik-PWs für EFs ist es nicht möglich die Losemenge sicher zu ermitteln.

Du hast das Problem erfasst. Wobei es ein Statistik-PW für ExportForce-Accounts vermutlich nie geben wird...
Ich werde allerdings jeden weiteren Vorschlag umsetzen, um die Sicherheit weitergehend maximieren zu können.
Wer also Ideen hat -> raus damit!!

Zitat:

Zitat von Die-Fackel

Irgendwie muss man doch die Datenbankeinträge mit einer Verschlüsselung speichern können die man nicht einfach dadurch knacken kann das man Zugang zum FTP bekommt und den Hash einfach runterläd.

Verschlüsselt sind ja alle relevanten Einträge (FAQ: Sicherheit und Datenspeicherung), allerdings liegt der Hash hierfür auf meinem Webserver und wäre über FTP Zugang erreichbar.
Das FTP-Passwort wird allerdings mit höchster Sorgfalt bei mir verwahrt. D.h. es hat Sonderzeichen, ist lang, wird in einer KeePass-DB gespeichert (diese ist durch ein kompliziertes PW verschlüsselt, welches ich nirgendwo notiert habe) und sonst nirgendwo. Ich bin da bei der Eingabe also nicht so faul und benutze Firefox zum Passwort speichern oder so.. das wäre ja fahrlässig

Zitat:

Zitat von Mano1805

Es geht auch nicht um die Speicherung (die erfolgt hoffe ich garnicht), aber irgendwie muss chrissel mindestens einmal das PW im klar, pro Abfrage des Losestandes, bekommen und wenn jemand seinen Server knackt, dann kann dieser jemand die Abfrage durchführen und das PW einfach mitschreiben.
Wenn er das EF-Zeug speichern würde, wäre es noch schlimmer, aber das tut er (soweit ich richtig gelesen habe) nicht.

Welche Daten gespeichert werden, seht ihr ja in den FAQ.
Diese sind soweit es geht ohne Bezug untereinander gespeichert und Accountbezogene Losemengen oder EF-Passwörter werden auf keinen Fall gespeichert!


Guckt euch bitte nochmal alle die Alternative Möglichkeit an beim ExportForce eintragen!
Diese Möglichkeit benötigt KEINE Übermittlung des EF-Passwortes an meinen Server. Alle nötigen Operationen mit dem Passwort werden auf dem Server des Teilnehmers durchgeführt! Lediglich das Statistik-Passwort (des damit verbundenen klamm-Accounts) wird hierfür benötigt.

[ice-breaker]

Du könntest als Anfang ja wenigstens dafür sorgen, dass:

• die Passwörter in dem Script verschlüsselt sind
• die Übertragung verschlüsselt stattfindet

ich würde da empfehlen auf RSA zu setzen, jedes Script kennt deinen öffentlichen Schlüssel, die PWs werden im Script direkt nur mit dem öffentl. Schlüssel verschlüsselt gespeichert und Decodieren kannst nur du es mit dem privaten Schlüssel.

Du wolltest ja Verbesserungsvorschläge

Wenigstens etwas Sicherheit für das generell schon imho zu unsichere Verfahren, aber wie du sagtest, es ist eine Vertrauensfrage