Page 1 of 2

$g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 15 May 2018, 17:28
by mahindra
Liebes Mantis Team,

zunächst einmal danke für diesen wirklich guten und flexiblen Multi-Projekt Bugtracker.

Leider wird seit Version 2.12 mit $g_show_realname = ON in den Masken und Status Mails die user-ID oder Benutzername anstatt des Realnamens verwendet.
Dies steht im Wiederspruch zu unserer Security-Richtlinie, Usernamen in Statusmals nicht zu verwenden, sondern den Realnamen (Bürgerlichen Namen), wie das seit 2004 in mantisbt unterstützt wurde.

Es gibt mehrere Meldungen, dass ein Rückbau auf die bisherige Funktion - oder eine Verbesserung - wie von atrol beschrieben - so rasch als möglich umgesetzt werden soll, da Admins, welche $g_show_realname=ON in der bisherigen Darstellung benötigen derzeit keine Updates durchführen können! - Sie stecken auf 2.11.1 fest

Dies stellt neben einem Sicherheitsrisiko (nicht aktuelle Version) auch eine unbefriedigende Situation dar!
Vor allem, da bis zur Umsetzung eines als kleinen Fehler eingemeldeten Verbesserung https://www.mantisbt.org/bugs/view.php?id=24139 seit 20.3.2018 (2 Monate!!) nicht viel geschehen ist!

=> Wie ist der Plan für das weitere Vorgehen in diesem Thema?
Bzw. bitte um Feedback hier oder in https://www.mantisbt.org/bugs/view.php?id=24139 wer das noch benötigt, da ein Blocker Ticket https://www.mantisbt.org/bugs/view.php?id=24432 als Duplikat auf erledigt gesetzt wurde, worin bis zur Umsetzung auf Rückbau in die bisherige Darstellungsvariante ersucht wurde.

Danke!

Liebe Grüße,

Karl!

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 16 May 2018, 21:09
by atrol
mahindra wrote: 15 May 2018, 17:28bitte um Feedback hier oder in https://www.mantisbt.org/bugs/view.php?id=24139 wer das noch benötigt
User die lediglich mitteilen, dass sie auch irgendetwas benötigen, werden das Thema nicht voran bringen.

Leider tragen nur sehr wenige Mantis Anwender in irgendeiner Form zu dem Projekt bei.
Derzeit sind es lediglich 3-4 Leute, die mehr oder weniger aktiv sind und sich in ihrer Freizeit ohne Bezahlung um Mantis kümmern.

Alle anderen Anwender nutzen lediglich das System, formulieren Wünsche, melden Fehler und stellen Fragen.
Das ist natürlich erlaubt, aber keiner dieser rein konsumierenden Anwender sollte erwarten, dass sich einer der wenigen Freiwilligen kurzfristig um ihr Thema kümmern wird.
Sorry, aber da sind noch ein paar Dinge mit höherer Priorität vorher zu managen, wie z.B. ein Fulltime Job, Privatleben mit Familie und Hobbies außer Mantis, ...

Ansonsten denke ich, dass ich hier so ziemlich alles beschrieben habe, was für eine saubere Lösung zu berücksichtigen wäre https://www.mantisbt.org/bugs/view.php?id=24139#c59831
Das ist leider nichts, was sich mal gerade so in einer Nacht- und Nebelaktion nebenher erledigen lässt.

Anwender, die keine saubere allgemeine Lösung brauchen, sondern lediglich eine Lösung die im eigenen eingeschränkten Umfeld funktioniert, können sich dank Open Source ihr System patchen wie sie es brauchen.

Ansonsten scheint auch meine kleine Zwischenlösung https://www.mantisbt.org/bugs/view.php?id=24435 zumindest für einige Anwender ausreichend zu sein, s. https://www.mantisbt.org/bugs/view.php?id=24139#c59835
Ich weiß allerdings derzeit noch nicht, ob mein Vorschlag auch von anderen Kernentwicklern akzeptiert werden wird und in Version 2.15.0 landet.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 17 May 2018, 07:14
by mahindra
Danke für den Einsatz Atrol und an alle anderen Mantis Entwickler, die den meiner Meinung nach flexibelsten Multiprojekt Bugtracker geschaffen haben, den es gibt.
Benötigt heißt hier Blocker für Update auf die aktuelle Version, wenn die User IDs nicht in Mails oder Masken auftauchen sollen, wie jensberke hier gut zusammengefasst hat https://mantisbt.org/bugs/view.php?id=24139#c59829

Leider ist die ausgesprochen gute Lösung https://www.mantisbt.org/bugs/view.php?id=24139#c59831

Nicht zuvor umgesetzt worden, wodurch viele erst beim Update vor den Kopf gestoßen werden, wenn in geschlossen Projekten oder Service Desks auf einmal Geschäftspartner die durch den Bürgerlichen Namen (Realname) gut erkennbar sind auf ihre User ID reduziert werden.
Was in vielen Unternehmen so von den Security Guidlines unerwünscht ist.

Es würde schon helfen, wenn die Ziel Version auf 2.15 von https://mantisbt.org/bugs/view.php?id=24139#c59829 gesetzt wird und der Schweregrad auf Schwerer Fehler - besser Blocker ( da dieser Usecase nicht mehr dargestellt wird) geändert wird.
Und eine entsprechende Priorität gegeben wird.

https://www.mantisbt.org/bugs/view.php?id=24435 ist ein Folgethema - trifft das Hauptproblem in den Tickets direkt und vor allem in den Mails überhaupt nicht.

Bis es eine Lösung wie https://mantisbt.org/bugs/view.php?id=24139 gibt - lautet die dringende Bitte - zurück zur Funktionalität von 2.11.1 zu kehren!
Sorry aber Patchen jeder Release mit diesem Thema übersteigt unsere Ressourcen - es wäre schade, wenn wir uns deshalb beginnen müssen nach Alternativen umzusehen (was ich persönlich nicht will)


Es ist leider in der Tat so, dass viele, die Mantis nutzen sich denken - dafür gibt es schon ein Ticket oder dieses Thema im Forum.
Ich warte bis es erledigt ist.
Bloß wie sicher ist eine ein bis 2 Jahre alte Version?

Danke!

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 17 May 2018, 08:23
by mahindra
Szenario:

Wenn eine Person, die Dir etwas böses will, in den Besitz Deiner User-ID (Realname=OFF oder mantis Version nach 2.11.1 derzeit) kommt, braucht Sie nur mehr das Passwort zu erraten, um Deine Identität übernehmen zu können.
Die User-ID ist 50% des Logins, Mails und Screenshots von Tickets werden extern verschickt - usw.
Was im Feld Realname steht ist noch ein anderes Thema.

$g_allow_signup= OFF - ist daher bei vielen Mantis ebenfalls Pflicht im Unternehmensumfeld

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 17 May 2018, 14:33
by atrol
mahindra wrote: 17 May 2018, 07:14 Was in vielen Unternehmen so von den Security Guidlines unerwünscht ist.
Würde ich mir interessehalber gerne mal anschauen, insbesondere den Teil rund um den Usernamen.
Gibt es dazu einen Link?

Falls es wirklich ein großes Problem wäre, hätten z.B. GitHub, Twitter und Konsorten ein riesiges Problem.
Außerdem lässt sich der Username häufig leicht aus dem bürgerlichen Namen ableiten.
Das Verstecken des Usernamens bietet lediglich eine recht geringe zusätzliche Sicherheit.

mahindra wrote: 17 May 2018, 07:14 Es würde schon helfen, wenn die Ziel Version auf 2.15 von https://mantisbt.org/bugs/view.php?id=24139#c59829 gesetzt wird und der Schweregrad auf Schwerer Fehler - besser Blocker ( da dieser Usecase nicht mehr dargestellt wird) geändert wird.
Und eine entsprechende Priorität gegeben wird.
Das hilft nicht wirklich.
Das einzige was hilft ist eine User, dem das Thema so wichtig ist, dass er eine Lösung dafür entwickelt.

mahindra wrote: 17 May 2018, 07:14 Bis es eine Lösung wie https://mantisbt.org/bugs/view.php?id=24139 gibt - lautet die dringende Bitte - zurück zur Funktionalität von 2.11.1 zu kehren!
Ich glaube eher nicht, dass das passieren wird, aber warten wir die weitere Diskussion dazu ab.

mahindra wrote: 17 May 2018, 07:14 Sorry aber Patchen jeder Release mit diesem Thema übersteigt unsere Ressourcen
Das sind gerade mal ein paar Minuten (Anpassen von 7 Zeilen) was das Thema Usernamen in E-Mails angeht.

mahindra wrote: 17 May 2018, 07:14 es wäre schade, wenn wir uns deshalb beginnen müssen nach Alternativen umzusehen (was ich persönlich nicht will)
Das Umschauen nach Alternativen und der Umstieg darauf ist sehr aufwändig, insbesondere wenn man Inhalte aus dem Altsystem übernehmen will.
Falls das Patchen bereits die Ressourcen übersteigt, wäre ein Umstieg ein utopisches Unterfangen.

mahindra wrote: 17 May 2018, 08:23Mails und Screenshots von Tickets werden extern verschickt
Hinweise am Rande:
Mails enthalten neben dem bürgerlichen Namen auch die E-Mail Adresse. Diese wird bei einigen Systemen auch als Userid zugelassen, bzw. es lässt sich daraus ein Userid ableiten.
Die Mails selbst sind mit hoher Wahrscheinlichkeit bei euch nicht verschlüsselt. Aus meiner Sicht ein weit größeres Sicherheitsrisiko als z.B. das Usernamen Thema.
Wer es richtig Ernst mit Sicherheitsthemen nimmt, sollte daher auf E-Mails (insbesondere mit Anhängen wie ihr es tut) komplett verzichten.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 18 May 2018, 06:08
by mahindra
Danke für die Ausführungen.
Jeder Admin, der abstrakte Usernames vergibt, ist sich der oberhalb beschriebenen Themen bewusst.
Die Emailadresse als User ID zuzulassen ist die eine Sache - auch Facebook macht das, stellt sie aber aus gutem Grund nicht öffentlich zur Schau.

Genau das ist das Thema - nicht E-Mails, sondern die Datenspur, welche unvermeidlich ist nicht unnötig mit Informationen anzureichern.

Sowie jensberke geschrieben hat, um die Zusammenarbeit von Teams, die sich nach dem Bürgerlichen Namen kennen, aber nicht nach der UserID JSchulz und JSchulz1 wer ist Johann und wer ist Josef oder Johanna?
Bei uns sind die IDs noch abstrakter usw.

Warten ist immer der schlechteste Weg, wenn man Anwender vor den Kopf gestoßen hat, indem man einen Weg verbaut und dann anbietet zu Patchen, was Jahrzehnte Grundfunktionalität war, aber gut - der Erfinder der genialen Lösung aus https://mantisbt.org/bugs/view.php?id=24139#c59327 tut sich damit leichter bzw. wer nicht alle Versionsupdates mitmacht auch.
Nur ist das in der Regel auch nicht so sicher - aber das ist eine andere Geschichte.

Das Patchen der Mails ist nur der eine Teil - die Darstellung in den Masken der Tickets und Filter sind wesentlich mehr als 7 Zeilen Code - oder?
Daher ist ein Rückbau auf vor 2.12 betreffend der Maskendarstellung unbedingt nötig.
Das Thema ist wesentlich größer als nur Mails.
Das dies vom Änderungs-Konzept übersehen wurde sieht man an den vielen Folgetickets. Die bei einem strukturell sauberen Weg in Richtung von https://mantisbt.org/bugs/view.php?id=24139#c59327 und Beibehaltung der Funktion bis 2.11.1 - bis zur Realisierung der Verbesserung aus #24139, nicht nötig sind.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 18 May 2018, 21:26
by atrol
mahindra wrote: 18 May 2018, 06:08wenn man Anwender vor den Kopf gestoßen hat
Wer ist mit "man" gemeint?

Ich kann auch nicht erkennen, dass irgendjemand irgendwo Anwender vor den Kopf gestoßen hat.
Liegt möglicherweise an einer anderen Sicht der Dinge, für mich sieht es derzeit wie folgt aus:

Ein Mantis User (vboctor) möchte etwas an Mantis verbessern (@mentions und Anzeige von Usernamen, https://mantisbt.org/bugs/view.php?id=23375).
Er tut das nach bestem Wissen und Gewissen, behebt nebenbei noch einige Schwächen der bisherigen Implementierung, und ist sich dabei nicht bewusst, dass es User gibt, die Probleme damit haben, wenn Usernamen nach außen sichtbar sind.
Darauf muss man auch erst Mal kommen, denn schützenswert ist auf den ersten Blick lediglich der bürgerliche Name, schließlich existiert dafür die Option $g_show_user_realname_threshold.
Es existiert keine Option und keine Dokumentation, dass man in Mantis Usernamen vor der Veröffentlichung schützen kann.
vboctor hat also erst mal nichts falsch gemacht, denn er kann nicht wissen, dass Anwender undokumentierte Funktionalität verwenden.

Nun melden sich User die verschiedene Problemen nach der Änderung haben.
Einige Probleme sind bereits behoben, einige sind vermutlich bald behoben und ein Thema lässt sich möglicherweise nur beheben,
indem man meinen (atrol) Vorschlag umsetzt, der leider recht aufwändig in der Implementierung ist.

Dass es überhaupt soweit kommt, haben Anwender teilweise selbst zu verantworten.
Jeder Anwender hat die Möglichkeit die Entwicklung zu beobachten, sich Nightly Builds zu installieren und ggf, einzuschreiten, bevor ein offizielles Release erscheint.

Nun gilt es das weitere Vorgehen festzulegen und es umzusetzen, dazu braucht es einige Zeit.
Selbst wenn ich wollte, könnte ich meinen Vorschlag nicht kurzfristig umsetzen, da ich dazu Urlaub nehmen müsste (völlig utopisch bei meinen derzeitigen Projekten).

vboctor hat sich bisher nicht zu dem Thema geäußert.
Ob und wann er das tun wird, weiß ich nicht.
Wo wir letztendlich landen (Umsetzung meines Vorschlags, neue Ideen, ...), weiß ich nicht.

Falls das Thema für euch sowohl sehr wichtig als auch dringend ist, könnt ihr das Vorankommen beschleunigen, indem ihr einen Pullrequest auf GitHub einreicht https://github.com/mantisbt/mantisbt
mahindra wrote: 18 May 2018, 06:08Darstellung in den Masken der Tickets und Filter sind wesentlich mehr als 7 Zeilen Code - oder?
Ich dacht, dass dieses Thema mit https://mantisbt.org/bugs/view.php?id=24436 erledigt ist.
Falls ja, muss man entweder abwarten bis/ob das so im Produkt landet, oder zu den genannten 7 Zeilen kommen noch 4 Zeilen hinzu.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 19 May 2018, 04:04
by mahindra
"man" ist ähnlich John Doe - es ist passiert.

Der Fehler ist, dass seit 2.12.0 trotz Realname=On in Masken und Mails der Username angezeigt und verwendet wird.
Mantis verhält sich damit wie bei Realname = Off
Image
Image
Das ist der Blocker.

Die Lösung dass beim mouseover der Realname angezeigt wird ist unzureichend und kannibalisiert die Realnamedarstellung.
Es gibt hier 2 Sichtweisen - öffentlich ist ein Synonym oder Username gut für Anonymität (Realname Off)
Im Unternehmensumfeld gibt es nur den bürgerlichen Namen Realname = ON
Technisch ist es immer die User-ID - angezeigt wird bei ON der Name (Overlay), damit analoge Menschen damit zurecht kommen.

Beim Verbessern von Mantis wurde leider https://mantisbt.org/bugs/view.php?id=12557 übersehen.
Dies ist die Lösung (siehe unten)

Ich habe diesbezüglich ein Ticket ein gemeldet, welches wohl aufgrund dieses Missverständnis von Ihnen/Dir auf erledigt gesetzt wurde, womit ich nicht einverstanden bin. https://mantisbt.org/bugs/view.php?id=24432
Ich bin auch nicht begeistert, wenn mir als Zusatzarbeit noch ein Pullrequest angeboten wird, anstatt das Ticket entsprechend zu bearbeiten, Entschuldigung ich bin kein GitHub User und werde auch keiner.

Ich gehe schon von bester Absicht aus - aber "die User, welche das zu verantworten haben" sind ein paar uralt Tickets und ein Missverständnis - im Gegensatz zu vielen begeisterten Installationen, die noch auf einer Version unter 2.12. laufen.

In https://mantisbt.org/bugs/view.php?id=24139#c59830 hat dregad sich für die Zusammenfassung von https://mantisbt.org/bugs/view.php?id=24139#c59829 jensberke ausgesprochen, der ebenfalls mit
As a result, I suggest to raise the priority of this ticket, target the fix for one of the next versions and change the summary into something like this:

"Make display of real name and/or username configurable
Empfohlen hat.

Bis dahin können alle Betroffenen nicht upgrades und haben unter anderem folgendes Sicherheitsthema

https://mantisbt.org/bugs/view.php?id=24186.
[security] CVE-2018-1000162: XSS vulnerability in Parsedown library (dregad)
Behoben in 2.12.1
Warten ist nie eine gute Lösung - im Gegensatz zu Gelassenheit.

Es reicht auch eine 2.11.1.2 anzubieten
https://mantisbt.org/bugs/view.php?id=24432 ist aktuell

Die Stärke des Mantis Teams war immer den Kontakt zu den Anwendern zu halten ich denke GitHub schafft hier Distanz.
Username und Realname als konfigurierbare Option, wie von Ihnen/Dir in https://mantisbt.org/bugs/view.php?id=24139 erarbeitet ist das Non plus Ultra im Gegenzug zu der anderen Möglichkeit wie bis 2.11.1 weiter zu verfolgen und das Adden von Benutzern über den Realnamen ggf. wie von mir empfohlen über die Erinnerungsfunktion oder eine Auswahl-Combo zu machen, wo gleich mehrere User geaddet werden können, was ich empfehle. https://mantisbt.org/bugs/view.php?id=24436#c59824

Wenn ich richtig verstehe ist die Ursache für das Thema das Adden von Usern zu einem Ticket:

Dies geht viel einfacher, als der eingeschlagene Weg, der sich nun mit https://mantisbt.org/bugs/view.php?id=24436 im Kreis dreht.
Dejavu https://mantisbt.org/bugs/view.php?id=23375


  • :arrow: Lösung: - siehe auch https://mantisbt.org/bugs/view.php?id=12557
    Anstatt eines Textfelds zum Adden eines Users mit Realname (Umständlich bei Nachname Vorname Titel) soll eine Auswahlliste (Drop-down) wie bei den Filtern angezeigt werden.
    In dieser sollen 1-n Anwender ausgewählt werden können, die das Ticket beobachten sollen.

    Anzeige
    =>$g_show_realname = ON; => Realname zur Auswahl (wie bei Filter, Tickets usw)
    =>$g_show_realname = OFF; => Anzeige der User-ID bzw. Username

    Image

    Diese Lösung löst alle derzeit exisitierenden Themen seit 2.12 #24139, seit #24436 on hold please, #23375, #24435, #24378, #24087

Geben wir vboctor die Zeit dazu dies zu organisieren, es gibt seit dem Knopf mit 2.12. eine menge an Themen, die es abzuwägen gibt.

Danke für die Möglichkeit dies diskutieren zu können!
Gute Lösungen sind die Basis für den Erfolg von Mantis - diese zu erarbeiten Kosten auch viel Zeit.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 19 May 2018, 18:11
by mahindra
https://mantisbt.org/bugs/view.php?id=24139#c59861
Vielen Dank für die Unterstützung und den vorbildlichen Einsatz für eine Lösung atrol - dies ist der Unterschied des Erfolgs von mantisbt.

Betreffend der Notiz

Für einen alten Mann wie mich:
Wenn realnames = on - Das bedeutet, dass wie in 2.11.1 in allen Namensfeldern der Realname (bürgerliche Name) angezeigt wird?
If $ g_show_assigned_names = ON; - auch im Feld Assigned to (Bearbeitung durch) ?
Auch in view_all_bug_page.php , in der Filter Auswahl, den Mails und Erinnerung senden?

Wenn ja - dann ist das ein guter Kompromiss und eine Weiterentwicklung, für das Adden von Usern in einem Unternehmens Mantis, wo sich die Personen nur vom Realnamen kennen! - DANKE! 8) :D

($ g_show_user_realname_threshold ist nur nützlich wenn realnames, = off
- das ist der usecase in einen offenen Mantis wie mantisbt.org Managers, admins, developers können den Realnamen sehen und verwenden und Reporter Testers und das www sehen diese Information nicht - wie gewollt
Bei Realnames=on soll $ g_show_user_realname_threshold keine Auswirkung haben)

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 21 May 2018, 15:44
by atrol
mahindra wrote: 19 May 2018, 18:11 Für einen alten Mann wie mich:
Wenn realnames = on - Das bedeutet, dass wie in 2.11.1 in allen Namensfeldern der Realname (bürgerliche Name) angezeigt wird?
If $ g_show_assigned_names = ON; - auch im Feld Assigned to (Bearbeitung durch) ?
Auch in view_all_bug_page.php , in der Filter Auswahl, den Mails und Erinnerung senden?
Von einem noch älteren Mann: Ja, das sollte alles so sein.
Der wesentlich Unterschied gegenüber der alten Version ist, dass der Username an einigen Stellen als Tooltip bzw. in Listen zusätzlich in Klammern angezeigt wird.
Da dies aber bei Screenshots keine Rolle spielt, hoffe ich, dass das für alle Seiten akzeptabel ist.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 21 May 2018, 17:58
by mahindra
Vielen herzlichen Dank atrol!
Eine wirklich unglaubliche Leistung - auf die Schnelle habe ich funktionell keine Fehler gefunden!

Ich habe die Testversion angesehen - die einzige Kleinigkeit ist bei den Auswahlboxen, wo die ID noch direkt sichtbar ist.
Es wäre schön die ID dort auszublenden.

Alles andere sieht wunderschön aus - inkl. Mails.

Test erfolgte mit

# -- show users with their real name or not
$g_show_realname = ON;
$g_show_user_realname_threshold = ANYBODY; # Set to access level (e.g. VIEWER, REPORTER, DEVELOPER, MANAGER, etc)
#$g_show_assigned_names = ON;

Wann haben wir das in 2.15??? - echt cool!!!!!

Nice to have wären Parameter - gleichwertig
$g_show_username = OFF - aber bitte vorher diesen Kompromiss damit wir Updates einspielen können im generellen Zweig zur Verfügung stellen.
$g_show_user_username_threshold = MANAGER;

Sonst - Echt Coole Sache!!!! 8) 8) 8) 8) 8)

Image Image

Image
Die Rolle Manager ist OK die Rolle ID wäre schön, wenn sie hier nicht ist - als Kompromiss OK
Image

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 22 May 2018, 07:03
by mahindra
Atrol nochmals vielen Dank!
Ich hoffe, wir sehen das in 2.15
Das ist nicht nur ein guter Kompromiss, sondern auch eine Basis für die weitere Entwicklung.

Eventuell mit Zusätzlich in diese Richtung
$g_show_username = OFF
$g_show_user_username_threshold = MANAGER;


Wichtiger ist aber diese Weiterentwicklung bald zu haben.

Nochmals Danke!

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 25 May 2018, 09:20
by mahindra
Betreffend
https://github.com/mantisbt/mantisbt/pu ... -391495880 - Kommentare unterhalb:

realname=on ist höherwertiger/stärker als show_realname_threshold welches primär bei realname=off nützlich ist um höherberechtigten Usern (z.B.: Manager oder Admin) den bürgerlichen Namen anzuzeigen.

Wenn realname ist ON dann soll der Realname wie überall anders in email notifications, csv export, und Excel export verwendet werden.

Danke für diesen Hinweis!

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 25 May 2018, 11:37
by atrol
Wie du nach den neuesten Bemerkungen von vboctor sehen kannst, ist es gelinde gesagt nicht gerade einfach diese Änderungen durchzubringen.
Ich habe nochmal Zeit investiert, um auf die Fragen einzugehen.

Falls das nicht ausreicht tut es mir leid für User wie dich, da ich dann lediglich die Änderungen für https://mantisbt.org/bugs/view.php?id=24435 und https://mantisbt.org/bugs/view.php?id=24436 einbringen werde. (was sowohl für mich als auch z.B. für die User Ruzhelovich Vladimir und jensberke ausreichen würde)

Sorry, aber mehr geht wirklich nicht von meiner Seite.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 25 May 2018, 19:22
by mahindra
@atrol

in https://github.com/mantisbt/mantisbt/pu ... -392003699
" All I could offer to replace this PR, is a new PR that reverts even more to the old behavior but keeps just your refactoring to have less places where we deal with user/real names."


Sorry - wir benötigen https://mantisbt.org/bugs/view.php?id=24139#c59929 - wie in der Tabelle und im Testverhalten festgestellt.
Nichts anderes deckt die Anforderungen an eine bedienerfreundliche Benutzererfahrung.
Es soll klar sein, wer was geschrieben hat und worauf sich die Antwort (z.B.: meine eigene) bezieht - oder etwa nicht?

Es wäre gut, wenn sich mehrere Kernentwickler direkt mit einer Mantis Welt, ohne Selbstregistruerung von Usern mit Realname=ON arbeitend als Reporter und Manager auseinandersetzen - dann wird klar, dass atrols Darstellung von Realname ON die vernünftigste Lösung darstellt.

(Solche Mantis bzw. Projekte sind privat damit andere Projekte oder Projektmitglieder sich nicht sehen.)