Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties

De afgelopen twee weken zijn we druk bezig geweest met iteratie #7. Dit keer hebben we maar liefst 72 tickets weggewerkt. Net als bij de vorige iteratie is er veel werk besteed aan zaken die te groot zijn om in één iteratie af te handelen, waardoor er opnieuw niet veel zichtbare wijzigingen live zijn gezet.

Notificatiesysteem

We hebben ons notificatiesysteem vernieuwd. Ingelogde gebruikers kunnen voortaan notificaties terugzien in de voorkeuren van je profiel. Als je bent ingelogd wordt voortaan ook onthouden of je een bepaalde notificatie al hebt gezien, zodat je niet zo vaak hetzelfde bericht krijgt voorgeschoteld. Ook wordt dit systeem voortaan gebruikt om meldingen weer te geven als er bijvoorbeeld een reactie op je gallery is geplaatst. Daar krijg je nu geen DM meer voor, al kun je wel aangeven dat je van deze notificaties een e-mailtje wil ontvangen.

Notificatiesysteem

Veiligheidswaarschuwing

In iteratie #5 hebben we voor onder andere het algemene inlogscherm https-verbindingen in gebruik genomen. Er zijn echter nog enkele plekken op de site waar je over een onbeveiligde verbinding kan inloggen, bijvoorbeeld bij het plaatsen van een reactie. Hier hebben we nu een waarschuwing met een link naar het beveiligde loginscherm bijgezet, zodat iedereen daar desgewenst eenvoudig gebruik van kan maken.

Veiligheidswaarschuwing

Wachtwoordeisen

In de vorige iteraties zijn er al diverse verbeteringen doorgevoerd aan de wachtwoordeisen. Zo is het nu bijvoorbeeld mogelijk om een wachtwoord van 500 karakters te gebruiken, zodat je pass phrases kan gebruiken. Het oude eisenpakket - met verplicht gebruik van cijfers, hoofdletters, speciale tekens, et cetera - stond daarmee echter op gespannen voet, dus hebben we besloten om die eisen te laten vervallen. Voortaan is het alleen nog maar noodzakelijk dat een wachtwoord een minimale entropie heeft. Het wachtwoord moet volgens de wachtwoordmeter 'sterk' zijn en hoe je dat bereikt, vinden we niet belangrijk.

Password Strength Image credits: xkcd.com

Map-icoontje HoT op GoT

De nieuwste versie van Firefox gaf een klein weergaveprobleem op de Frontpage. De map-icoontjes voor de topics bij HoT op GoT werden niet meer weergegeven. Dit euvel is nu verholpen.

Overige

De volgende iteratie zal in plaats van de gebruikelijke twee weken, drie weken duren. We hopen hierdoor meer tijd te kunnen besteden aan het development-werk en minder aan andere zaken, zoals het schrijven van deze .plan Knipoog smiley Als dit goed werkt, zullen we voortaan drie weken voor de iteraties uittrekken. Dan moet je wel iets langer op de development-.plans wachten, maar als het goed is kunnen we dan nog meer werk verzetten.

Door Koen Kuipers

- Developer

Sinds augustus 2011 developer en tafelvoetbalkampioen bij Tweakers.


Reacties (35)

Reactiefilter:-135034+130+24+30
Moderatie-faq Wijzig weergave
Waarom wordt er niet een redirect naar de HTTPS login pagina gedaan als een user voor een bepaalde actie ingelogd moet zijn? Lijkt mij een veel logischere oplossing dan slechts een linkje.

Ben benieuwd wanneer de vernieuwde Meukalerts en beheer ervan komen, dat blijft momenteel nog rg omslachtig en daarbij krijgen gebruikers niet altijd een mailtje, terwijl een nieuw item (waar ik wel op geabonneerd ben) wl in de meuktracker verschijnt.
De belangrijkste reden dat we die alternatieve logins niet zomaar via HTTPS kunnen doen is omdat ze doorgaans met Ajax te maken hebben. De reactie-plaatscode op de frontpage gaat bijvoorbeeld via Ajax, net als het login-popupje uit de screenshot.

En helaas ziet men een https-variant van hetzelfde domein als een ander domein waardoor je 'cross domain policies' krijgt. Voor zover wij weten is er geen mogelijkheid vanaf een http-pagina naar HTTPS te posten/verbinden met Ajax.

Dan zouden we natuurlijk de pagina via HTTPS kunnen posten en alsnog de content verwerken, maar dat bijt dus weer met de normale werking van de die formulieren.
Met een iframe en JSONP kan het wel.
Zie bijvoorbeeld hier
Volgens mij gebruiken jullie je eigen js library, maar bijvoorbeeld jQuery heeft hier ingebouwde support voor, als je het dataType van je ajax request op "jsonp" zet.

edit:
jQuery info toegevoegd.

[Reactie gewijzigd door bergamot op 11 oktober 2011 08:56]

Vziw kan je geen POST-requests met die "jsonp"-methode verzenden en we gaan geen logins (of reactieposting) via GET-requests faciliteren, ongeacht of dat via HTTPS loopt of niet.

Verder heb je Cross-Origin Resource Sharing wat uiteraard niet in elke browser ondersteund wordt (en zelfs dan nog niet enorm triviaal in te zetten is). En gedoe met ouderwets iframe's enzo ja...

Allemaal geen oplossingen die we heel erg mooi vinden of heel triviaal zijn om te bouwen. En dat alleen zodat niet-ingelogde gebruikers dan met 1 stap minder beveiligd in kunnen loggen... Maar als je je netwerk niet vertrouwd, dan moet je sowieso niet vanaf een onbeveiligde pagina naar een beveiligde gaan lopen posten, want er is geen enkele garantie dat je huidige, onbeveiligde pagina uberhaupt de juiste is en dus ook niet dat ie geen rare dingen doet met je POST-request...

Kortom, je moet voor echt veilig inloggen toch wel vanaf een HTTPS-pagina naar een andere HTTPS-pagina POST-requests sturen. Dus zelfs als we het technische probleem op kunnen lossen is er nog steeds een stukje onveiligheid dat domweg niet weg te nemen valt, tenzij we elke pagina als HTTPS aan zouden gaan bieden. Maar dat heeft weer allerlei andere praktische bezwaren en dan zou dit probleem sowieso weer niet bestaan :P
Het leek ons dus beter om dan maar een simpele oplossing te bieden, namelijk door de gebruiker erop te wijzen dat de huidige loginmethode onveilig kan zijn en dat dat elders veiliger kan.
Waarom is het niet mogelijk te kiezen in profiel voor https, heb je ook geen gedonder met Cross.... .

Zoals bij twitter ook is, je kunt aanvinken in je profiel "altijd https gebruiken", waarna elke pagina over https loopt :)
We willen advertenties kunnen uitserveren (we moeten tenslotte geld verdienen) en die gaan vziw lang niet altijd via https. Dus dan zou je alsnog krijgen dat iedereen die https kiest dan meldingen van zijn browser krijgt door de advertenties.
En laten we eerlijk zijn, zo belangrijk is tweakers.net nou ook weer niet voor bezoekers, dat we heel veel moeite moeten doen voor https-ondersteuning :)
Mooi werk weer.
Hoeveel tickets komen er gemiddeld per weer week bij? (maw: werken jullie meer weg dan je binnen krijgt?)
maw: werken jullie meer weg dan je binnen krijgt?
Da's een utopie; als je 100 developers hebt dan krijg je simpelweg voor 200 developers aan requests binnen. Op zich is dat ook niet erg, je moet niet alles willen oplossen. Bepaalde requests zullen gewoon na verloop van tijd niet nuttig of belangrijk genoeg blijken en worden dan vanzelf een keer 'wontfix' als ze nog niet door andere ontwikkelingen voorbijgestreeft zijn.
Zoals die spoilers op het forum die je niet kunt lezen op touch-devices? Die staat al heel wat jaar open ;)

Misschien zijn er met 100+ miljoen iPhones en iPads eindelijk eens genoeg van die rare dingen in omloop om daar eens wat meer prioriteit aan te geven.

[Reactie gewijzigd door Bosmonster op 13 oktober 2011 08:03]

Er zitten nog wel wat bugs in dat notificatiesysteem :+

Ten eerste krijg ik alle meldingen nu per mail EN als DM, als ik dat wil wijzigen bij voorkeuren: ik zet alle mail-vinkjes uit en druk op 'opslaan', dan ververst de pagina en staan alle vinkjes bij email weer aan :P
Daar bleek inderdaad een bugje in te zitten; als het goed is zou het nu wel correct moeten werken :)
Ik kreeg net de notification te zien van meuk: Apple iTunes 10.5, met screenshot en beeldschermvullend. Is het mogelijk om ze wat subtieler te maken, zodat ze niet meteen je hele scherm volknallen?
Bijvoorbeeld alleen de titel van de notification, net zoals je van een DM of PM ook alleen het subject te zien krijgt. Dat is IMHO een stuk minder 'intrusive'.
We moeten er idd nog wat aan sleutelen :)
Het is vooral leuk als je meerdere meukalerts ineens krijgt :+ Ik kreeg bijna RSI van het scrollen :')
Er zijn echter nog enkele plekken op de site waar je over een onbeveiligde verbinding kan inloggen, bijvoorbeeld bij het plaatsen van een reactie. Hier hebben we nu een waarschuwing met een link naar het beveiligde loginscherm bijgezet
Ik zit net even op Tweakblogs te kijken in een andere browser, daar heb ik echter (nog) geen linkje om via een beveiligde verbinding te loggen... :>
Ik gok dat die 'vergeten' is... Ik heb daar nog even een ticket voor aangemaakt :)

[Reactie gewijzigd door crisp op 11 oktober 2011 11:42]

Erg goed vind ik de passwordcontrole nog niet:
"1111111111111" = Sterk
"12345qwert" = Sterk
"www.tweakers.net" = Sterk
enz.

Is het niet handig om de wachtwoorden nog op een lijst te controleren? (alle wachtwoorden van 13=< tekens zijn nu sterk
Het zijn ook sterke wachtwoorden bij een brute-force attack (hoewel puur numeriek wellicht wat minder vermits een attacker echt doorgaat tot 13 digits). Een dictionary attack gaan naspelen is praktisch gewoon niet mogelijk (en zal deze voorbeelden waarschijnlijk ook niet kraken).
Ik heb me heel lang zitten storen aan die falende icoontjes onder Firefox (modern, ik zit op Aurora), dus mooi dat dat is opgelost. Ben nu echter wel benieuwd waarom dat alleen in verse versies van Firefox een probleem is?
Omdat ze eindelijk 'text-decoration: ellipsis' native ondersteunden, iets dat IE al sinds versie 6 kan en Opera ook in die tijd al kon... En blijkbaar deed Firefox het net even anders dan IE en Opera, waardoor ook dat plaatje verdween.
"...Als dit goed werkt, zullen we voortaan drie weken voor de iteraties uittrekken. Dan moet je wel iets langer op de development-.plans wachten, maar als het goed is kunnen we dan nog meer werk verzetten."

De lengte van de sprint heeft natuurlijk niets te maken met hoeveel werk je kan verzetten.

Het enige waar het oprekken van de sprint goed voor is, is dat je minder het gevoel hebt tijd 'kwijt' te zijn aan 'overhead' (planningsessie's en het schrijven van een .plan). Hier staat wel tegenover dat je doorlooptijd minimaal drie weken wordt i.p.v. twee weken en dat je meer onzekerheid/onduidelijkheid introduceert omdat je langer van te voren gaat plannen.

Ik ben benieuwd!
In principe heb je gelijk, en heeft de lengte niets te maken met de hoeveelheid werk die je kan verzetten. Maar we wilden nog een extra overhead dag inplannen, waardoor de werk-overhead verhouding ineens niet meer zo goed was (ongeveer 60-40). Dan kun je gewoon niet lekker meer in je development werk komen. En tegen de tijd dat je er goed en wel in zit, is de spring alweer afgelopen. 8)7

We gaan nu dus kijken of we meer development dagen in de iteratie kunnen stoppen door deze langer te maken. De meetings zullen misschien iets langer worden en er zou misschien wat meer onduidelijkheid kunnen ontstaan, maar vooralsnog lijkt het ons een goed plan.

De tijd zal het leren :)
Ja 60-40 is wel heel hoog als je ook nog wat 'echt' werk wilt verzetten. Maar let dan wel op dat, doordat je je iteratie hebt vergroot, je niet extra planningsessie's (o.i.d.) nodig gaat hebben, waardoor de 'extra nuttige tijd' weer teniet gedaan wordt.

Leuk om hier in ieder geval mee bezig te zijn, succes!
:Y) Werkt! Is het dan ook mogelijk om, net als zoals in jullie screenshot, alleen de melding weer te geven en niet de volledige tekst van een reactie op het blog oid?

[Reactie gewijzigd door Pixeltje op 10 oktober 2011 15:52]

Dat is handig! Ik vond het altijd al zo onhandig dat je met regelmaat op je gallerypagina, blogs etc moest kijken om te zien of er nieuwe reacties waren (wat 99 van de 100 keer natuurlijk niet zo is).

Notificaties. d:)b

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True