Die Surfbar Beta Tester gesucht

[DjBusti]

Funktionen die ich nicht ändern werde:

Es wird keine "Passwort vergessen" Funktion geben (Es gibt Passwortspeichern Funktionen in jedem Browser etc und im Notfall kann das mal über das Kontaktformular geklärt werden was auch nicht einreißen sollte)

Dein Ansatz kann ich verstehen, aber es gibt aktuell genügend Software die z.B. den Passwort-Speicher im Browser ausliest.
Weiter kommt es auch häufig vor, wenn der Account gehackt wird, dass das Passwort dann direkt vom Hacker geändert wird.

Scheinbar wollen die Leute nichts neues, sondern ein Script, welches auf dem Script eines Scriptes basiert.

Es gibt genügend Interesse an etwas neuem, nur leider möchte sich niemand groß dran beleidigen.

Ich habe mir nur den Header des Scriptes angesehen und gleich mehrere Fehler entdeckt und die Tatsache, das dieser Autor auch zu bequem war, das JQuery auf den eigenen Server zu laden, vielmehr wird jQuery mittels Google verlinkt und damit einem Tracking alle Türen geöffnet, ob es so auch im "Datenschutz" steht, ist sehr fraglich

Was ein CDN mit Tracking und "Datenschutz" zu tun hat musst du mir nun erklären.

Ein CDN (Content Delivery Network) wie z.B. Akamai (Wird genutzt von u.a. Apple, Facebook ect.), MaxCDN (Wird genutzt von u.a. Kodak, Adobe ect.), Google (u.a. für jQuery, Prototype ect.) ist ein Dienst (Oftmals auch ein 3-Anbieter) der den Statischen Content (Bilder, Videos, CSS-Files, JS-Files ect.) Speichert und dem Endkunden direkt ausliefert. (Dies erhöht meist Geschwindigkeit der Webseite, da der Statische Content oft schon im Browser-Cache des Endkunden ist und der Webserver der eigenen Seite nicht so viele Abfragen abarbeiten muss.)

Auf jeder Seite ist mind. 1 leere Zeile vor dem HTML (könnte beim BOM zu ungewollten Ergebnissen führen).

Leere Zeilen im Quelltext werden meist nicht beachtet. (Ausnahmen gibt es immer).
Nicht leere Zeilen, sondern der BOM (Byte Order Mark) selber führt oft zu ungewollten Ergebnissen.

Auf der Startseite wird der Latin-Charset genutzt, auf den anderen Seiten teilweise UTF-8, aber egal welcher Charset eingetragen ist, die Umlaute im Header sind defekt (da arbeiten wohl zig verschiedene HTML-Seiten, statt eines Templates).

Wenn du dir das VMSone mal angeschaut hast solltest du sicherlich festgestellt haben, dass das VMSone keine Templates verwendet.

An und für sich gebe ich dir aber recht, dass der Charset auf allen Seiten der gleiche sein sollte. Zudem sollte dieser Charset dann auch im HTML-Header eingetragen sein.

JS-Scripte befinden sich Inline (eine Möglichkeit zum verlinken gibt es schon seit rund 10 Jahren), wieso wird sie nicht genutzt? Inline ist hoffnungslos veraltet,- genau wie Inline-Styles, auch hier gibt es die Möglichkeit zum Verlinken.

JS und CSS kann aus externen Dateien eingebunden werden, macht aber teilweise keinen Sinn, da es mehr Overhead gibt wenn man extra eine Datei dafür einbindet.

Tabellen sollten für Tabellen gebraucht werden und nicht für ein Design

Bis zu den DIV-Designs waren Tabellen-Designs sehr beleibt und weit verbreitet, da es vorher nicht möglich war Elemente nebeneinander anzuordnen.

An und für sich kann ich dir aber recht geben, dass ein Tabellen Design langsam als veraltet gilt und vom DIV-/HTML5-Design abgelöst wurde.

Session-IDs in der URL verleiten jedes Script-Kiddie zum Austesten von Sicherheitslöchern (Session-Hijacking) und dem Anhängen von illegalen Parametern.

Nicht nur Session-IDs verleiten Script-Kiddies dazu illegale Parameter anzuhängen, alles was per GET-Parameter übergeben wird ist potenziell gefährlich, d.h. sollte man ALLE eingaben eines Users, auf Korrektheit überprüfen.

Das Hijacking der Session-ID könnte man lösen indem weite Parameter wie z.B. den User-Agent u.s.w. gegenprüft. (Es gibt sogar Seiten, die Identifizieren ihre User nicht anhand von Sessions, sondern anhand des User-Agent in Zusammenhang mit einigen anderen Parametern.)

@Lokutos Auch wenn du nichts gescheites hier im Thread beitragen kannst, eine negative Bewertung geht immer, gell?

@breaker auch wenn du nichts außer negative Kritik hier im Thread beitragen kannst, informieren darf man sich schon bevor man einfach nur Negativen mist erzählt.

Zu deiner Beruhigung kann ich dir aber schreiben, das ich sehr wohl weiß, was "Content Delivery Network" ist....es ist (zumindest im Paid4) tot. CDN ist schließlich kein Klammlose-Geheimnis, sondern im Paid4 eines der letzten Möglichkeiten, etwas halbherziges auf die Beine zu stellen, nachdem bereits alles bekannte bis auf den letzten Sponsor zerstört wurde.

Was hat ein CDN (der Statischen Content ausliefert) mit Paid4 zu tun?
Und von welcher "letzten Möglichkeit, etwas halbherziges auf die Beine zu stellen" sprichst du hier?

---

Auf dem erstem Blick muss ich aber sagen, dass die Seite zwar nicht die schönste ist (Meine Meinung ) Aber das was ich so sehen kann, hat Kraemer84 eigentlich gut gemacht.

Sorry für den Langen Beitrag, aber ich musste auch mal meinen Senf dazu geben.

[Sam2004]

Moin,

ich hab noch ne Reihe von Verbesserungsvorschlägen und Ideen bzw. Fragen.

1. AGB
Ich hatte es ja schon in der SB angesprochen, weil ich nicht dahinter komme, warum ich meine kompletten Adressangaben machen muss, damit ich eine Auszahlung
in Lose vornehmen darf. Frage: Warum brauchst du die Daten und warum steht das nicht in den AGB bzw. bei Registrierung?!

2. Fehler und Surfbars
Nachdem Du da ja einen Bugfix gefertigt hast, bleibt noch die Frage, warum man dennoch ohne Klick, ausgeloggt wird?!
Angehängt die Frage: Was hast es mit den "Surf ID'S" auf sich und warum sind die erforderlich.
Wie funktioniert das System denn?! Gibts eine Session oder wie erkennt das System, ob wer on ist oder nicht?!

3. Ideen
Mir fehlt ein "Pause Button" in den Surfbars. Außerdem hab ich kein Link für Problem Kampagnen finden können - á la Framebrecher melden.

4. Account
Wenn ich das richtig sehe, kann man den Account auch nicht eigenständig löschen. Wieso nicht?

Ich hoffe, sofern es ein Bugfix bei der Surfbar gibt, hier auch als Download bzw. generell zum Downloaden bereit gestellt wird.

LG

[Kraemer84]

Kontoinformationen

§ 1.2 - Persönliche Angaben
Macht der Benutzer bei der Anmeldung falsche oder unvollständige Angaben zu seiner Person, so ist die-Surfbar.de berechtigt das Benutzerkonto zu löschen, oder die Benutzung einzuschränken, bis eine ordnungsgemäße Vervollständigung der Daten erfolgt ist. Bei einer Sperrung verfallen in diesem Fall jegliche Ansprüche auf bereits erwirtschaftetes Guthaben.

§ 1.3 - Aktualisierung der Daten
Der Benutzer ist angehalten die Daten zu jeder Zeit auf einen aktuellen Stand zu halten und ggf. zu aktualisieren. Insbesondere hat der Benutzer dafür Sorge zu tragen, dass die Zustellung einer eMail ihn auch erreichen kann. Sollten an den Benutzer gesendete eMails als fehlerhaft gemeldet werden, oder sich der Verdacht ergeben, dass die angegebene eMail-Adresse falsch ist, so kann das Benutzerkonto bis zur Klärung durch die-Surfbar.de in seiner Benutzung eingeschränkt werden.

Sollte das erklären zwecks Daten

Mein persönlicher Hintergrund ist einfach wenn jemand die deutsche Sprache nicht korrekt beherrscht das er mit dem Ausfüllen überfordert ist. Warum ich zb auch nur Auszahlungen freigebe wenn sich die Person persönlich in deutsch bei mir gemeldet hat.

Surfbars und die Ticket´s

Die Surfbars laufen beide korrekt .. es wird alles vergütet und die Ids werden korrekt gelesen da nach Ablauf per Ajax die Daten an ein query gesendet werden (sonst würde die Seite gar nicht neu laden)

Die Tickets sind deswegen vorhanden um auszuschließen das die Surfbars öfter als gestattet geöffnet werden. Hintergrund hierfür die damalige Surfbar die ich bei meiner ersten Seite hatte lies sich auch nur einmal öffnen aber dafür in jedem Browser. Die Tickets resetten sich eben wenn der Surfbar start (also da wo die surfbars gestartet werden) neu geöffnet wird. Bleib dieser Link ungenutzt so ist das komplette Angebot der Seite nutzbar ohne nur ein einziges mal es zu riskieren das die surfbars ausgeloggt werden.

Allgemein ging der Bugfix auch nur darum das sich die Tickets nicht gegenseitig ersetzen bzw der Reload rechtzeitig geschrieben wird.

Ideen

Der Pausebutton ist schon eine gute Idee.. aber im Moment erstmal keine Option. Das zählt für mich zur Feinarbeit.

Account löschen

Mein Script meine Regeln.. auf eine Pn hin kann der Account gerne gelöscht werden

VMS Surfbar

Wie bereits weiter oben erwähnt war der Bugfix eben nur weil es jetzt 2 anstatt einer Surfbar sind und eigentlich ist es nur das der Reload nicht mehr per ajax versendet wird sondern direkt beim öffnen der Surfbar geschrieben wird. So ist ein Umbau für die Vms Version nicht von nöten.

@Djbusti

Passwort ändern

Du könntest rein theoretisch deinen Session&Token link einem kollegen ausserhalb deines Ip Netzwerkes geben und er würde nicht in deinen Account reinkommen. Das Script ist eben so eingestellt das es nur auf eine Ip läuft. Diese wird ständig abgerufen und immer mit der Datenbank abgeglichen.

Ich hoffe ich konnte damit alle noch offenen Fragen damit beantworten

[Sam2004]

Kontoinformationen

§ 1.2 - Persönliche Angaben
Macht der Benutzer bei der Anmeldung falsche oder unvollständige Angaben zu seiner Person, so ist die-Surfbar.de berechtigt das Benutzerkonto zu löschen, oder die Benutzung einzuschränken, bis eine ordnungsgemäße Vervollständigung der Daten erfolgt ist. Bei einer Sperrung verfallen in diesem Fall jegliche Ansprüche auf bereits erwirtschaftetes Guthaben.

§ 1.3 - Aktualisierung der Daten
Der Benutzer ist angehalten die Daten zu jeder Zeit auf einen aktuellen Stand zu halten und ggf. zu aktualisieren. Insbesondere hat der Benutzer dafür Sorge zu tragen, dass die Zustellung einer eMail ihn auch erreichen kann. Sollten an den Benutzer gesendete eMails als fehlerhaft gemeldet werden, oder sich der Verdacht ergeben, dass die angegebene eMail-Adresse falsch ist, so kann das Benutzerkonto bis zur Klärung durch die-Surfbar.de in seiner Benutzung eingeschränkt werden.


Sollte das erklären zwecks Daten

Mein persönlicher Hintergrund ist einfach wenn jemand die deutsche Sprache nicht korrekt beherrscht das er mit dem Ausfüllen überfordert ist. Warum ich zb auch nur Auszahlungen freigebe wenn sich die Person persönlich in deutsch bei mir gemeldet hat.

Ich hab das ja schon mal geschrieben und schreib das hier auch nochmal:
Wenn Du alle Daten verlangst, müssen diese bei Registrierung ersichtlich sein, und nicht erst bei einer möglichen Auszahlung.
Vielmehr kann ich den Sinn dahinter nicht nachvollziehen, warum es den User auferlegt wird, für den Nachweis seiner Herkunft zu sorgen,
noch warum es für eine AZ in Lose erforderlich sein soll. Spätestens bei Prüfung der IP (sofern Proxy ausgeschlossen werden kann),
sieht man ja, woher der User kommt oder lebt^^

Surfbars und die Ticket´s

Die Surfbars laufen beide korrekt .. es wird alles vergütet und die Ids werden korrekt gelesen da nach Ablauf per Ajax die Daten an ein query gesendet werden (sonst würde die Seite gar nicht neu laden)

Wir können und jetzt um die Meinungen anderer fetzen und geteilter Meinung sein, aber es macht kein Sinn, Fakten in Frage zu stellen!
Die Surfbar funktioniert eben nicht korrekt, weil User ohne ersichtlichen Grund vom System rausgeschmissen werden. Und da war
ich nicht der einzigste. Die ID Geschichte an sich ist ja nicht verkehrt, der Hintergrund plausibel, aber die Umsetzung bedarf einer Überarbeitung

VMS Surfbar

Wie bereits weiter oben erwähnt war der Bugfix eben nur weil es jetzt 2 anstatt einer Surfbar sind und eigentlich ist es nur das der Reload nicht mehr per ajax versendet wird sondern direkt beim öffnen der Surfbar geschrieben wird. So ist ein Umbau für die Vms Version nicht von nöten.

Da komm ich nochmal drauf zurück, wenn ich mal die Zeit gefunden haben, sie einzubauen und intensiv laufen zu lassen. Im Code hab ich so auf anhieb
schon stellen gefunden, die für mich nicht erklärbar sind. Lass ich dann hier nochmal Infos zukommen, wenns soweit ist.

Account löschen

Mein Script meine Regeln.. auf eine Pn hin kann der Account gerne gelöscht werden

Solange, bis dir mal einer per Abmahnung aufs Dach steigt^^ Ich bitte auf diesem Wege um die Löschung meines Accounts, da ich mit "deinen Regeln" nicht einverstanden bin
und meine Sichtweise dargelegt habe. Das Guthaben kannst in die Rally packen

LG
Sam

[Kraemer84]

Danke für deine Ausführliche Meinung .. ich hoffe mein Autosurf kann dich trotzdem erfreuen .. Wenn du Hilfe bei der Installation brauchst oder der Anpassung dann melde dich bitte

lg Kraemer84

[auron2008]

Nach der Registrierung sollte nicht wieder das Registrierungsformular angezeigt werden. Eine Extra Seite für eine erfolgreiche Registrierung würde mir besser gefallen.

[Kraemer84]

es gibt einen direkten redirect nach dem registrieren .. falls das nicht funktioniert würd ich mal empfehlen deinen browser auf den neuesten Stand zu aktualisieren

[auron2008]

Der ist auf aktuellen stand. Was auch nervt ist das ständige ausgelogge

[Kraemer84]

Du bist aber nicht zufälligerweise Flying_angel ? Sorry war heute vormittag ein wenig lustig drauf

ich bin ehrlich .. ich kann mir das nicht erklären ..

ganz einfach mal erklärt

wenn man sich einloggt wird die ip verschlüsselt in die Datenbank gespeichert..

Bei jedem Seitenaufruf wird die aktuelle Ip abgerufen und verschlüsselt mit der verschlüsselten Ip in der Datenbank geprüft ala

PHP-Code:

// Schreib das gerade ausm kopf sry für schreibfehler
// Aktuelle Ip in md5 verschlüsselt
$ip_aktuell = md5(server_remote_adress);

// Ip aus der Db anhand der jetzigen Db laden
$sql_check = mysql_query('SELECT ip_db FROM user WHERE token = '".$token."' LIMIT 1');
$output_check = mysql_fetch_assoc($sql_check);
$ip_db = $output_check['ip_db'];

// ip vergleichen
if ($ip_db == $ip_aktuell)
{
//normale Session
}
else
{
//logout
} 


Ich hab das eben so simpel wie genau erstellt das das geprüft wird .. warum user jetzt rausfliegen kann ich mir nicht erklären

[auron2008]

Nö ich bin einfach der auron2008.

Also md5 ist keine Verschlüsselung sondern eine Hashfuntkion. Ohne den Rest vom Code zu kennen kann man wenig mit anfangen. Man könnte jetzt sogar fragen : Was passiert wenn ein User zufällig die IP Adresse eines anderen Users bekommt ? Ist er dann bei dem eingeloggt ?