Page 2 of 2

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 25 May 2018, 20:37
by mahindra
und da ist immer noch https://mantisbt.org/bugs/view.php?id=24432#c59956

Nicht wirklich ein Duplikat von https://mantisbt.org/bugs/view.php?id=24139 sondern eher ein Folgeblocker!
wegen
https://mantisbt.org/bugs/view.php?id=24186.
[security] CVE-2018-1000162: XSS vulnerability in Parsedown library (dregad)
Resolved in 2.12.1

Bis die Realname Darstellung nicht wie https://mantisbt.org/bugs/view.php?id=24139#c59929 wieder vorhanden ist (mit dem Kompromiss bei Realname = ON und der USER-ID als Tooltip sozusagen als Black-Copy von Realname=OFF) stecken wir auf 2.11.1 fest.

Also nochmals bitte um Umsetzung von https://mantisbt.org/bugs/view.php?id=24139#c59929 in Release 2.15 oder eine Wartungs Release 2.11.1.1
Die Diskussion kann dann für 2.16 ja weiterlaufen, falls wirklich benötigt.
Bloß, wenn https://mantisbt.org/bugs/view.php?id=24139#c59929 falsch wäre, weshalb war hier seit 2003 kein Thema und jetzt so viele?
Ursprünglich ging es nur ums Adden von Beobachtern zu Tickets, welches am besten mit einer Listbox ginge, wie mit bei den Filtern.
Aber das ist eine andere Geschichte - jedoch der Grund für die Verwirrung - diese Lösung ist https://mantisbt.org/bugs/view.php?id=12557 - anscheinend im Verborgenen.....

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 26 May 2018, 16:47
by atrol
Bitte warte die Antwort von vboctor auf meine letzte Argumentation ab.
Vorher macht es für mich keinen Sinn weitere Zeit in das Thema zu investieren.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 28 May 2018, 19:38
by mahindra
Danke!
Aus unserer Realname-Sicht sind dies 2 Darstellungssichten - jene mit User_ID wie Mantisbt.org und jene bei Teams die sich nach dem Nachnamen kennen.
Diese haben strikt unterschiedliche Anforderungen an die Darstellung, die Du/Sie gut als Kompromiss getroffen hast.

Viel anders wird sich das nicht darstellen lassen - ich finde es jedenfalls schade, dass das alles anscheinend nur wegen der Beobachtungsfunktion geschehen ist - die ein ganz anderes Thema darstellt und einfach lösbar ist.
Warten wir ab.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 28 May 2018, 19:49
by atrol
mahindra wrote: 28 May 2018, 19:38ich finde es jedenfalls schade, dass das alles anscheinend nur wegen der Beobachtungsfunktion geschehen ist
Es ging und geht überhaupt nicht um die Beobachtungsfunktion (Monitor) sondern um die relativ neue @ Mention Funktionalität, d.h. die Möglichkeit eine Notiz an einen User zu senden, indem man z.B. @atrol oder @mahindra im Notizentext eingibt.

Das war der Auslöser https://mantisbt.org/bugs/view.php?id=23375

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 28 May 2018, 20:15
by mahindra
Ahso
Wenn ich mir hier als Anwender etwas wünschen dürfte - dann wäre das fein, wenn man das ähnlich wie hier mit Buttons in den Text stellen könnte.
Diese Auswahl-Combo könnte dann oberhalb des Textfeldes platziert werden.
Alternativ gibt es das Feature halt bei Relname=ON nur über die Erinnerungssenden Funktion oben im Ticket und nicht im Textfeld.
Oder wie bisher auch beim Adden, wenn man Realnamen kennt

Spricht was dagegen das so zu schreiben @"Max Mustermann" und in den Anführungszeichen den Realnamen?

Ansonsten:
Meiner Meinung nach ist Realname ON stärker da man sonst nicht mit Mantis arbeiten kann.
Da verzichte ich lieber auf so ein Feature und muss nicht 100 UserIDs umbenennen

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 28 May 2018, 20:26
by atrol
mahindra wrote: 28 May 2018, 20:15 Spricht was dagegen das so zu schreiben @"Max Mustermann" und in den Anführungszeichen den Realnamen?
Ja, unter anderem dass Realnamen im Gegensatz zu den Usernamen nicht eindeutig sind.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 28 May 2018, 21:43
by mahindra
Es spricht nichts dagegen auch Realnamen eindeutig zu machen.
Genauso wie es die Mailadressen bereits aus gutem Grund sind.

Das einzige Feature was benötigt wird ist ein Nummernsetzen (Also Realname, Realname1, wenn es Realname zweimal gibt - nach find First) beim Update falls es eine Installation mit doppelten Realnamen gibt.
Wir haben keine doppelten bei uns - ist auch nicht der Normalfall aber möglich.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 29 May 2018, 08:03
by atrol
mahindra wrote: 28 May 2018, 21:43 Es spricht nichts dagegen auch Realnamen eindeutig zu machen.
Man kann etwas was nicht eindeutig ist (Realnamen / Bürgerliche Namen) nicht eindeutig machen, z.B. gibt es Tausende von "Peter Müller" in Deutschland.
Der Bürgerliche Name ist der, der im Personalausweis steht, beim Einwohnermeldeamt hinterlegt ist, usw.
Falls man daran etwas ändert, ist es nicht mehr der bürgerliche Name.

mahindra wrote: 28 May 2018, 21:43 Das einzige Feature was benötigt wird ist ein Nummernsetzen (Also Realname, Realname1, wenn es Realname zweimal gibt - nach find First) beim Update falls es eine Installation mit doppelten Realnamen gibt.
s. oben, wenn man hier etwas künstlich ändert, z.B. "Peter Müller (2)", dann ist es nicht mehr der bürgerliche Name.
Unabhängig davon, kann ich mir kaum vorstellen, dass es jemand mag, wenn er z.B. in einer E-Mail als "Herr Peter Müller (2)" erwähnt wird.

Außerdem, wie bereits mehrfach erwähnt, stellt Mantis nicht sicher, dass Realnamen eindeutig sind, oder überhaupt gesetzt sind.
Es würde auch wenig Sinn ergeben, s. oben.

mahindra wrote: 28 May 2018, 21:43 Wir haben keine doppelten bei uns - ist auch nicht der Normalfall aber möglich.
Das nutzt nichts. Mantis muss nicht nur bei euch funktionieren.

Wenn ich es mir recht überlege, spricht eigentlich wenig dagegen, den bürgerlichen Namen (ggf. mit einer Nummer) als Username zu verwenden.
Damit wären doch selbst mit der aktuellen Mantis Version 2.14.0 wenn man $g_show_realname = OFF setzt, alles machbar was ihr braucht.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 29 May 2018, 17:10
by mahindra
Auf der Geburtsurkunde stimme ich zu, dass es mehrere "Peter Müller" gibt.
Technisch kann man entscheiden einen "Peter Müller2" zu machen - es ist erklärbar - ob man es will ist ein anderes Thema.

Einigen wir uns darauf - es ist nicht gewollt.

Dies macht die Fehleintscheidung - nur wegen der Beobachtungsfunktion (Monitor) - die gesamte Realnamesicht schlagartig zu vernichten.
=> Der Kompromiss ist meiner Meinung nach momentan wirklich die beste Lösung um

1. Upgrades - auch aus sicherheitstechnischer Sicht zu ermöglichen -
2. Auf Realname=Off stabiler zu werden
3. Zeit zu gewinnen - um das Thema umfassender zu sehen, während alle Anwender (Realname=On/Off) ungestört weiterarbeiten können.

Das sind aus meiner Sicht die Top Prioritäten.

Sind diese gewährleistet - kann anhand der Entscheidung https://www.mantisbt.org/bugs/view.php?id=24139#c59566 oder eine Auswahl-Combobox umgesetzt werden.

Ich weise nochmals darauf hin, dass der Produktionsbetrieb von Mantis Installationen mit Realname=ON durch Neuentwicklungen nicht gestört werden sollte.
Daher https://www.mantisbt.org/bugs/view.php?id=24139#c59929 für 2.15 und alles andere danach - bitte.
Alleine aufgrund der Tatsache, der weitreichenden Darstellungsänderungen - das sind Blocker - war das Tempo zu schnell gewählt für Realname=ON.
Der Kompromiss daher die beste Variante - da er fertig ist und Realname=Off nicht beeinträchtigt.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 30 May 2018, 19:12
by atrol
mahindra wrote: 29 May 2018, 17:10 Ich weise nochmals darauf hin, dass der Produktionsbetrieb von Mantis Installationen mit Realname=ON durch Neuentwicklungen nicht gestört werden sollte.
Es wird nicht helfen. Ein Entwickler kann nicht wissen welcher User sich durch welche Neuentwicklung möglicherweise gestört fühlen könnte.

Ich möchte abschließend festhalten, dass im konkreten Fall der Entwickler nicht ahnen konnte, dass es Anwender gibt, die Probleme damit haben, wenn Usernamen nach außen bei E-Mail Benachrichtigungen sichtbar sind.
Woher auch? Es existiert keine Option und keine Dokumentation, dass man in Mantis Usernamen vor der Veröffentlichung schützen kann.
Außerdem kann man den Usernamen an anderer Stelle sehen.

Meine nun in 2.15.0 verfügbarer Kompromisslösung ist daher als reine "Guter Wille Aktion" zu sehen, aber nichts was einer Argumentation von allen Seiten standhält und daher als "richtig" zu sehen wäre.

Falls also z.B. in ein paar Monaten ein anderer User wünscht, dass die Historie in E-Mails exakt so dargestellt werden soll wie auf der Webseite, also "Realname (Username)", dann klingt das erst Mal vernünftig.
Ich schließe daher nicht aus, dass in diesem Umfeld noch Änderungen kommen, insbesondere dann wenn ein Anwender selbst aktiv wird und einen Pull Request einreicht.

Oder ein anderer Entwickler macht interne Überarbeitungen um Code zu vereinfachen und zu vereinheitlichen, was dann als Seiteneffekt zu funktionalen Änderungen führt.

Ich rate daher die Entwicklung zu verfolgen und frühzeitig Testversionen zu installieren, um von derartigen Änderungen nicht überrascht zu werden.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 31 May 2018, 05:16
by mahindra
Ich bedanke mich für die großartige Unterstützung und den Einsatz hier einen Kompromiss herbeizuführen.
Die oberhalb beschriebenen Themen sind mir klar - daher mein ersuchen sich in beide Rollen zu versetzen (ich verstehe auch den Sinn von Realname=Off - uns beiden sind diese Anforderungen auf unterschiedliche Darstellung klar verständlich).
Das ist ein Thema aus der Vielseitigkeit von Mantis, dass es so gut macht, andererseits durchaus abstrakt zu verstehen - erst recht, wenn man manche Funktion nicht selbst benötigt.

Ich kann aus Anwendungssicht nur empfehlen, Anwenderauswahl - wo möglich außerhalb des Textes (Erinnerung, Combo usw.) zu machen und ersuchen vor Darstellungsumstellungen - gerade, wenn es um Namensdarstellung geht - geradlinig - ohne Brüche zu darzustellen.

Nochmals vielen Dank, auch an das Mantis-Team und alle anderen im Hintergrund beteiligten Personen!
Ich werde berichten ob ich Themen, wegen der besseren User-ID Sicht bekomme, die bei unserer Anwendung von Mantis lieber versteckt gesehen wird.

Re: $g_show_realname seit Version 2.12 und Security Anforderungen

Posted: 12 Jun 2018, 11:58
by mahindra
Seit heute haben wir die neue Version eingesetzt und ich bedanke mich nochmals für die Unterstützung!
Falls es widererwarten irgendwelche Themen gibt werde ich berichten..,