Protokoll der Sitzung der PG Basisentscheid "Thema BEO CH"¶
- Ort: Mumble PPS
- Datum: 02.04.2017
- Zeit: 20:00 CET
- Ende: hh:mm CET
- Leitung: Moira Brülisauer
- Protokoll: Gemeinsam, Verantwortlich MBR
Anwesende¶
- Moira Brülisauer (PPV PPS)
- Tobias Stenzel (Entwickler Portal, Anpassung Discourse)
- Entropy (Entwickler ID Server)
Abwesende
- Stefan Thöni (Technik PPS, Juristisches PPS) (entschuldigt)
- Robert Arnold (Entwickler VVVote) (entschuldigt)
- Foo (Entwickler pseudonymes Voting) (unentschuldigt)
- (entschuldigt/unentschuldigt)
Informationen und Übersicht des Stands der Teilsysteme¶
Stand der einzelnen Systeme?¶
Discourse (CH)¶
Portal (CH)¶
ID Server (CH)¶
VVVote (CH)¶
BEO-Pseudonymes-Voting (DE)¶
Traktanden¶
Nächste Schritte¶
Discourse (CH)¶
- Dinge die weiter unten stehen.
- Gastzugang
Portal (CH)¶
- votezilla anschauen, evtl. Lösungen von dort übernehmen
ID Server (CH)¶
VVVote (CH)¶
BEO-Pseudonymes-Voting (DE)¶
BPT Nachlese¶
eingereicht von Escap
- Gespräch mit Pakki und Friedrich, (Mit-)entwickler von votezilla
- votezilla basiert auf dem Portal von Magnus, wurde von Friedrich und einem Externen angepasst (u.a bootstrap-Design)
- evtl. läuft votezilla mit dieser technischen Basis als BEO für NRW an
- wir streben aber eine gemeinsame Lösung auf Python-Basis an (mit ID-Server)
(Ungelöste) Supportfälle¶
eingereicht von: MBR
STH:
- 2x Mitglied aus Backend (member und invitations) und ID Server (account und invitations) gelöscht und dann neue Mails gesendet.
solange wir kein gegenteiliges Feedback bekommen, nehmen wir hier vorerst mal an dass diese beiden Fälle behoben werden konnten
ID Server verlangt nach Referrer¶
eingereicht von: JoWi
Discourse Diskussion
Der ID Server wirft bei einem fehlenden HTTP Referer Header einen Fehler. Die Verwendung dieses Headers als Massnahme gegen CSRF ist aber unsicher, da der Header beliebig gesetzt werden kann. Stattdessen sollte ein CSRF Token generiert werden. Das würde dann auch die Anmeldung ohne Referrer ermöglichen.
Fehlermeldung
Forbidden (403)
CSRF verification failed. Request aborted.
You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.
If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests.
More information is available with DEBUG=True.
Diskussion
Content Security Policy implementieren¶
eingereicht von: JoWi
Discourse Diskussion
Das Einbinden externer Inhalte in Discourse führt, wie bereits beim alten Forum, zu Mixed Content Fehlern.
Darum schlage ich vor, eine restriktive CSP auszuarbeiten und zu implementieren. Dies dürfte hier wesentlich einfacher umzusetzen sein, als die Seiten, die noch von unseren alten Proxy abhängig sind.
Diskussion
- Escap Das Problem ist vor allem die Einbindung von Bildern von externen Quellen über HTTP, versuche, mich zu informieren.
- **
Featurewunsch Discourse: Keine Einbindung fremder Inhalte¶
eingereicht von: STH
"onebox" bindet die Bilder von Fremdservern ein. Ich möchte aus Datenschutzgründen möglichst keine Fremdinhalte einbinden.
Kann eingestellt werden, dass die Bilder kopiert werden? Oder eventuell "onebox" deaktivieren?
Diskussion
- STH Ich möchte nicht dass externe Server mitbekommen welche User sich was auf unserem Server anschauen.
- jowi Auch mit CSP möglich (sowohl externe Inhalte verbieten, als auch Referer unterbinden)
- Escap ich werde mir das anschauen und es wahrscheinlich ganz deaktivieren. Gibt in diesem Bereich nur wenige Einstellmöglichkeiten. Evtl. gibt es dazu schon passende Feature-Requests an Discourse. Wenn nicht, könnte man einen stellen.
Featurewunsch ID-Server: Suchen nach uuid¶
eingereicht von: STH
Wäre nützlich für Supportfälle.
Diskussion
- Entropy: sollte eigentlich schon funktionieren. Habt ihrs schon mal probiert.
- STH: ja habe es getestet und ging nicht, versuche nochmals. Jetzt geht es, mindestens bei den Benutzern.
Featurewunsch Discourse: Längere Login-Zeit¶
eingereicht von: STH
Es nervt sich jeden Tag neu anmelden zu müssen und ist nicht notwendig.
Diskussion
- MBR ICh möchte das auch gerne haben
- Escap ist bereits passiert, habe ich auf das Maximum gesetzt, was in etwa zwei Monate sind.
Unicode Emojis¶
eingereicht von: JoWi
"Discourse Diskussion": https://discourse.piratenpartei.ch/t/unicode-emojis/174
Discourse verwendet anstelle von Unicode Bilder für Emojis. Das ist für Maschinen (Screenreader, Suchfunktion etc.) nicht wirklich lesbar. Da jedes Bild einzeln vom Server geholt werden muss, ist dieser Weg auch nicht sonderlich effizient.
Können wir stattdessen richtige Emojis nutzen?
Das Aussehen ist über Schriftarten beliebig anpassbar. Mozilla nutzt im Firefox bspw. "EmojiOne": https://github.com/mozilla/emojione-colr/releases.
Vgl. Bilder vs. Schrift:
Diskussion
- Escap ich weiss nicht warum das Discourse das so gemacht haben. Ich wüsste nicht wie man das ändern könnte.
- Entropy https://blog.discourse.org/2015/12/emoji-and-discourse/
- Escap Das ist von Ende 2015, ich weiss nicht was sie seither diesbezüglich gemacht haben.
- Jowi Als Alternative kann man das Emoji als Alt Text im Bild verwenden. Das macht bspw. Twitter so. Das behebt aber das Performance Problem nicht.
Fragen der Mitglieder¶
Frage des Mitglied¶
Fragender ist: jowi
Lässt sich der Counter hinter Links in Discourse Beiträgen deaktivieren?
Diskussion
- MBR Finde ich eine gute Frage.
- Escap: Ich habe auf die Schnelle nichts gefunden. Schaue nach, was da genau passiert
Schluss und nächste Sitzung¶
Sitzung wird durch den Sitzungsleiter geschlossen um 20:42.
Die nächste Sitzung wird im Slack festgelegt.
Footer¶
Was soll das ganze?¶
Bitte im Redmine der PPS nachlesen, was die PPS hier umsetzt
Und wer macht das? Projektgruppe
Vorherige Protokolle¶
Die Protokolle der Entwicklungsarbeit am Urabstimmungssystem für die Piratenpartei Schweiz finden sich im Wiki
h3. Vorherige Protokolle
Die Protokolle der Entwicklungsarbeit am Urabstimmungssystem für die Piratenpartei Schweiz finden sich im Wiki