Bug, Designfehler oder Unverständnis?
Moderator: mirko
Ich hätte auch was besseres zu tun gehabt, als tagelang ins Forum zu schreiben und die Qualitätskontrolle von SWM zu machen. 
Ich suche mir die Probleme mit SWM auch wirklich nicht aus :augenroll: Ich finde sie leider nur. 
Im eigenen Interesse möchte ich dich natürlich in Ruhe lassen, aber ich habe schon wieder ein Problem:
Klickt man den Änderungslink in einer gesendeten E-Mail, wird ja das interne Änderungsformular aufgerufen. Ich dachte in einem Post von dir gelesen zu haben, dass dann von diesem internen Formular auch die der Adresse zugeordneten Gruppen angezeigt werden. Dies passiert aber nicht. Es ist immer nur die erste Gruppe ausgewählt.
Marcus
Ich suche mir die Probleme mit SWM auch wirklich nicht aus :augenroll: Ich finde sie leider nur. Im eigenen Interesse möchte ich dich natürlich in Ruhe lassen, aber ich habe schon wieder ein Problem:
Klickt man den Änderungslink in einer gesendeten E-Mail, wird ja das interne Änderungsformular aufgerufen. Ich dachte in einem Post von dir gelesen zu haben, dass dann von diesem internen Formular auch die der Adresse zugeordneten Gruppen angezeigt werden. Dies passiert aber nicht. Es ist immer nur die erste Gruppe ausgewählt.
Marcus
Wieso, du kannst doch eine Liste der Gruppen, in denen der jeweilige Kunde angemeldet ist ausgeben? Im HTML-EMail durch <br> getrennt und im Text-E-Mail durch Zeilenschaltung.
Man kann sich als zweiten Schritt Formatierungsoptionen überlegen, aber wichtig wäre einfach mal eine ausgegebene Liste.
Optional könnte man auch alle Gruppen der Liste ausgeben und dahinter Ja oder Nein (bzw. gewählt oder nicht gewählt, etc.) schreiben.
Marcus
Man kann sich als zweiten Schritt Formatierungsoptionen überlegen, aber wichtig wäre einfach mal eine ausgegebene Liste.
Optional könnte man auch alle Gruppen der Liste ausgeben und dahinter Ja oder Nein (bzw. gewählt oder nicht gewählt, etc.) schreiben.
Marcus
Klar braucht\'s das nur bei Double-Opt-In. Aber ich habe ja Double-Opt in für An- und Abmelden gewählt. Beim Abmelden kann es nur entfallen, wenn die Abmeldung über einen E-Maillink ausgeführt wird, der eine eindeutige nicht vorhersehbare ID enthält. Hier kann man es dem Kunden einfach machen, ohne die Sicherheit zu vernachlässigen.
Das gleiche Problem hast du, wie ich in einem anderen Post geschrieben habe, beim nochmaligen Aufrufen des Anmeldeformulars. Hier kann jeder einfach Gruppen für eine bereits eingetragene E-Mail hinzufügen. Das unterläuft wieder das Double-Opt-In.
Ich denke, dass das Handling der Gruppen generell überarbeitet gehört. Ich glaube, es erscheint dir auch so kompliziert, weil es eben nicht konistent ist. Wichtig wäre es, dass es einen [Groups] Platzhalter gibt, der die ausgewählten Gruppen in einer versendeten E-Mail (Newsletter oder Bestätigungsemails) anzeigen würde. Die Kunden wissen später nicht mehr, was sie gewählt haben. Das wäre zumindest eine große Hilfe, bis es einen Webservice oder eine leichte Anpassung der internen Formulare geben wird.
Marcus
Das gleiche Problem hast du, wie ich in einem anderen Post geschrieben habe, beim nochmaligen Aufrufen des Anmeldeformulars. Hier kann jeder einfach Gruppen für eine bereits eingetragene E-Mail hinzufügen. Das unterläuft wieder das Double-Opt-In.
Ich denke, dass das Handling der Gruppen generell überarbeitet gehört. Ich glaube, es erscheint dir auch so kompliziert, weil es eben nicht konistent ist. Wichtig wäre es, dass es einen [Groups] Platzhalter gibt, der die ausgewählten Gruppen in einer versendeten E-Mail (Newsletter oder Bestätigungsemails) anzeigen würde. Die Kunden wissen später nicht mehr, was sie gewählt haben. Das wäre zumindest eine große Hilfe, bis es einen Webservice oder eine leichte Anpassung der internen Formulare geben wird.
Marcus
Gut beim Ändern muss es eine Bestätigungs-E-Mail geben, sicherer ist es, gebe ich dir recht. Die Bestätigungs-E-Mail selbst wird es aber nur geben, wenn Double-Opt-In aktiviert ist, ansonsten entfällt das natürlich.
Das Ändern-Formular macht keinen Sinn aber gibt es halt, es schadet ja niemand, wenn diese gibt.
Das Ändern-Formular macht keinen Sinn aber gibt es halt, es schadet ja niemand, wenn diese gibt.
Hallo Mirko,
das ist nicht gut. Inzwischen ist das ein rechtliches Problem für den Mailinglistenbetreiber. Du hast vor Gericht keine Chance, wenn sich herausstellt, dass jeder eine E-Mailadresse oder die Gruppenzugehörigkeiten ändern kann. Das einzige, was man wissen muss, ist die E-Mailadresse. Das ist nach dem heutigen Stand der Technik nicht ausreichend.
Du gehst davon aus, dass man die E-Mailadresse kennen muss. Zum einen kennen Freunde und Feinde auch die E-Mailadresse. Auf Websiten und Facebook findet man diese auch häufig. Es ist nicht das erste Mal, dass aus Rache jemand auf allerelei Mailinglisten eingetragen wird. Nach der aktuellen Rechtslage kann der Mailinglistenbetreiber von jeder Person abgemahnt werden.
Zum zweiten kann man automatisierte Attacken gegen die Mailingliste fahren. Z.B. mit Burb kann man einfach eine Liste von E-Mailadresse durchprobieren oder man probiert mit Brute Force die Adressen mit @google.de etc. durch.
Gibt es eigentlich ein Log für den Admin, das fehlerhafte Änderungsversuche anzeigt, damit der Admin erkennen kann, wenn eine Attacke ausgeführt wird?
Ich kann nur jedem wärmstens \"Application Hacker\'s Handbook\" von Dafydd Stuttard und Marcus Pinto empfehlen. Es ist das Beste, was ich kenne.
Klar man kann meine Ausfürhungen als Schwarzmalerei und Paranoia bezeichnen, aber die Erfahrung hat gezeigt, dass die Bedrohungen real sind. Wenn man mal mit Hacker- und Spamattacken zu tun hat, weiß man, dass das kein Spaß ist und viel Zeit verschlingt, die man besser nutzen hätte können. Man hat keine 100% Sicherheit, aber die momentane vorgehensweise von SWM entspricht leider nicht mehr dem Stand der Technik. Hacking ist inzwischen ein Business geworden.
Wenn es hier keine schnelle Lösung gibt, werden wir wohl SWM wieder verwerfen müssen. Schade.
Marcus
das ist nicht gut. Inzwischen ist das ein rechtliches Problem für den Mailinglistenbetreiber. Du hast vor Gericht keine Chance, wenn sich herausstellt, dass jeder eine E-Mailadresse oder die Gruppenzugehörigkeiten ändern kann. Das einzige, was man wissen muss, ist die E-Mailadresse. Das ist nach dem heutigen Stand der Technik nicht ausreichend.
Du gehst davon aus, dass man die E-Mailadresse kennen muss. Zum einen kennen Freunde und Feinde auch die E-Mailadresse. Auf Websiten und Facebook findet man diese auch häufig. Es ist nicht das erste Mal, dass aus Rache jemand auf allerelei Mailinglisten eingetragen wird. Nach der aktuellen Rechtslage kann der Mailinglistenbetreiber von jeder Person abgemahnt werden.
Zum zweiten kann man automatisierte Attacken gegen die Mailingliste fahren. Z.B. mit Burb kann man einfach eine Liste von E-Mailadresse durchprobieren oder man probiert mit Brute Force die Adressen mit @google.de etc. durch.
Gibt es eigentlich ein Log für den Admin, das fehlerhafte Änderungsversuche anzeigt, damit der Admin erkennen kann, wenn eine Attacke ausgeführt wird?
Du hast prinzipiell Recht und das kommt sicher auf die Art der Mailingliste an. Bei uns ist das kein Problem und hier solltest du deinen SWM-Kunden die Entscheidung überlassen. Wenn jemand das Riskio auf sich nehmen möchte, sollte das die Entscheidung des Kunden sein und nicht des Herstellers.man sollte den Nutzer nicht nerven. Ganz im Gegenteil man muss froh sein, wenn überhaupt die Änderung der E-Mail-Adresse mitgeteilt wird
Ich kann nur jedem wärmstens \"Application Hacker\'s Handbook\" von Dafydd Stuttard und Marcus Pinto empfehlen. Es ist das Beste, was ich kenne.
Klar man kann meine Ausfürhungen als Schwarzmalerei und Paranoia bezeichnen, aber die Erfahrung hat gezeigt, dass die Bedrohungen real sind. Wenn man mal mit Hacker- und Spamattacken zu tun hat, weiß man, dass das kein Spaß ist und viel Zeit verschlingt, die man besser nutzen hätte können. Man hat keine 100% Sicherheit, aber die momentane vorgehensweise von SWM entspricht leider nicht mehr dem Stand der Technik. Hacking ist inzwischen ein Business geworden.
Wenn es hier keine schnelle Lösung gibt, werden wir wohl SWM wieder verwerfen müssen. Schade.
Warum gibt es dann die Formularoption überhaupt? Das macht keinen Sinn.Zur Änderung der Daten sollten ebenfalls der Änderungslink im Newsletter selbst verwenden werden und nicht das direkte Formular.
Marcus