Bearbeiten von „STiNE-Tagebuch“

= 26.07.2006 =

Ich war heute zum zweiten Mal bei der Pressestelle der Universität Hamburg. Beim ersten Mal, vor ca. einem Monat, hatte ich darum gebeten, auf den Verteiler für "mehr Informationen zu STiNE" zu kommen. Diesem Wunsch wurde (angeblich) auch entsprochen, ich habe jedoch bis jetzt noch keine einzige Mail bekommen. Deshalb heute der zweite Versuch. Mir wurde bestätigt, daß ich auf dem Verteiler eingetragen bin, daß aber darüber noch nichts verschickt wurde. Irgendwie klingt das komisch: In zweieinhalb Monaten soll das Projekt laufen, und die Interessierten bekommen einen ganzen Monat lang gar nichts darüber mit? Mal sehen, wie es weitergeht.

Ich war auch im RRZ, um mir mal die Dokumentation zur Risikoanalyse und das Gutachten(?) zur Sicherheit des Systems anzusehen. Der zuständige Mitarbeiter war allerdings nicht da. Dafür bin ich auf Ralf getroffen, der mir geduldig und ausführlich die Windowsversion des STiNE-Clients gezeigt hat. Das System sieht aus wie eine ganz normale Datenbankanwendung, das heißt: viele Menüs und Eingabemasken. Was alles hinter den Kulissen abgeht, habe ich nicht gefragt, da Ralf hierfür auch nicht der Ansprechpartner ist. Die Benamsung der einzelnen Dinge und Aktionen ist an ein paar Stellen noch etwas inkonsistent, aber es ist handhabbar. Bei einigen Daten war zu sehen, daß sie versioniert gespeichert werden, was ich als Softwareentwickler natürlich gut für die Nachvollziehbarkeit finde. Andererseits muß dann auch feststehen, wie detailliert die Versionierung geschieht und wie lange sie vorgehalten wird.

--[[Roland Illig]]

= 22.09.2006 =

Heute war die Schulung für uns Informatiker. Tri hat im Forum einen [http://3773.rapidforum.com/topic=102374236126&startid=#237423612625894856 Bericht von der Schulung] veröffentlicht.

--[[PatrickFey]]

= 03.10.2006 =

Ich habe heute versucht, mich mit meiner Benutzerkennung und meiner gerade erhaltenen TAN-Liste einzuloggen. Das hat auch ganz gut geklappt. Als erstes wurde ich aufgefordert, mein Passwort zu ändern. Dazu sollte ich das alte Passwort eingeben, das hab ich auch gemacht, aber trotzdem die Fehlermeldung "Bitte geben Sie Ihr altes Kennwort korrekt ein" bekommen. Auch nach mehrmaligem Probieren hat das nicht funktioniert. Jetzt weiß ich nicht, ob meine TAN noch gültig ist, einloggen kann ich mich auch nicht mehr (entweder ist mein Passwort jetzt irgendwas anderes oder man wird nach dreimaliger falscher Eingabe automatisch gesperrt).

Der Versuch, den STiNE-Telefonsupport zu erreichen, ist kläglich gescheitert. Der beginnt nämlich erst am 09.10.2006.

Kurze Zeit später ... das Anmelden geht wieder, das Passwort ist immer noch das Initialpasswort. Ich versuch's einfach nochmal. -- Es kommt immer noch die Fehlermeldung ''Fehler: Bitte geben Sie ihr altes Kennwort korrekt ein.''.

= 08.10.2006 =

Ich hab's geschafft, mich einzuloggen und konnte auch mein Passwort ändern. Das Programm sieht bis jetzt ganz nett aus. Mal gucken, was ich heute für [[STiNE-Interna]] rausfinden kann.

--[[Roland Illig]]

= 10.10.2006 =

Ich habe die ersten [[STiNE-Sicherheitslücken]] gefunden. War gar nicht so schwer. :)

--[[Roland Illig]]

= 13.10.2006 =

Ich habe wohl etwas zu viel rumgespielt, denn ich kann mich nicht mehr bei STiNE anmelden. Dabei war ich doch bloß neugierig, in welchen Sprachen man sich STiNE anzeigen lassen kann (siehe [[STiNE-Modul CHANGELANGUAGE]]). Schade, dass jetzt Wochenende ist. Dann muss ich halt am Montag mal zum STiNE-Support im Rechenzentrum gehen.

--[[Roland Illig]]

= 17.10.2006 =

Heute war die Einführungsvorlesung für unsere Erstsemester, und Herr Brunnstein hatte extra dafür neue Folien gemacht und behauptet, ''er'' hätte Sicherheitslücken in STiNE gefunden. Naja, wer das glaubt, ist selbst schuld. Zur gleichen Zeit ging es bei den Datenlotsen wohl sehr stressig zu, denn am Abend dieses Tages waren zwei der drei bisher gefundenen Sicherheitslücken behoben. Die dritte ist nicht kritisch, denn sie lässt sich derzeit nicht ausnutzen.

--[[Roland Illig]]

= 18.10.2006 =

STiNE ist um einige Funktionen ärmer. Zum Beispiel geht das Verschicken von Nachrichten nicht mehr. Nachdem gestern die Sicherheitslücken behoben wurden, fanden die Datenlotsen es wohl sicherer, diese Funktion ganz abzuschalten. Warum, weiß ich nicht, es gibt zumindest keine offensichtlichen Angriffspunkte mehr. Dafür sehen die anfangs verschickten Nachrichten jetzt sehr komisch aus, denn da waren (absichtlich) HTML-Tags drin benutzt worden, um Absätze und Hervorhebungen darzustellen. Auf einmal scheint die Sicherheit doch wichtiger zu sein als eine schick aussehende Oberfläche. Die Sicherheitslücke wurde gründlicher behoben als eigentlich nötig, denn auch einfache Anführungszeichen werden nun als HTML-Entities (''apos'') codiert. Dabei sind die doch nur in SQL-Anfragen gefährlich ...

--[[Roland Illig]]

= 21.10.2006 =

Nachdem nun das sog. Ranking-Wochenende für unseren Fachbereich offenbar schon vorbei ist, habe ich also meinen neuen Stundenplan bekommen. Und siehe da: STiNE hat es tatsächlich geschafft, dass sich keine einzige Veranstaltung mit einer anderen überschneidet. Ich muss in der zweiten Runde also rein gar nichts ändern und bin begeistert. Entweder hat Datenlotsen doch noch einen Algorithmus dafür entwickelt oder es war nur Zufall. Oder es wurde eben doch vieles manuell gemacht. Unschön ist jetzt allerdings noch, dass im Stundenplan nach wie vor alle Übungen angezeigt werden, für die ich Prioritäten gesetzt hatte. Darum musste ich mir erstmal die Seite "Veranstaltungsliste" anzeigen lassen und meinen Stundenplan wie immer auf ein Blatt Papier malen. Wenn man schon so tolle Funktionen baut, sollte man wenigstens dafür sorgen, dass sie benutzbar sind. So kann ich mit dem Stundenplan in STiNE jedenfalls nichts anfangen. Aber vielleicht gibt sich das ja noch im Laufe des Semesters...

--[[PatrickFey]]

= 30.10.2006 =

Ich hatte heute meinen ersten Arbeitstag bei den Datenlotsen als ''Sicherheitsbeauftragter für STiNE''. In dem Arbeitsvertrag steht unter anderem, dass ich nicht über Dinge reden darf, die ich während der Arbeit erfahren habe. Schade eigentlich, denn so kann ich das schlechte Bild, das wir (Informatikstudenten) den Datenlotsen verpasst haben, gar nicht mehr geraderücken. Ich könnte ja was dazu sagen, aber ich darf halt nicht. Vielleicht besinnen sich die Datenlotsen ja noch eines besseren. Ich werde nächsten Montag mal nachfragen.

--[[Roland Illig]]

= 11.12.2006 =

Heute habe ich meinen Arbeitsvertrag bei den Datenlotsen wieder gekündigt. Ich hatte mich beim Vertragsschluss über die kurze Kündigungsfrist gewundert, aber noch nicht vermutet, dass ich so schnell Gebrauch davon machen würde. Aber "14 Tage zum Monatsende" kann ich nur weiterempfehlen. Zu den Gründen sage ich lieber nicht so viel, wer's genau wissen will, kann mich ja fragen. Ich habe zumindest viel darüber gelernt, was ich von zukünftigen Arbeitgebern erwarten werde. Aber das scheint immer wieder das gleiche mit Beziehungen zu sein, egal ob zu anderen Menschen oder zu ganzen Firmen, am Ende ist man meistens schlauer.

--[[Roland Illig]]

= 08.02.2007 =

Nachdem ich ein paar Monate lang vergeblich versucht habe, an die Verfahrensbeschreibung von STiNE zu kommen, um ein bißchen mehr Informationen zu haben, wer eigentlich was darf, habe ich heute zufällig [http://www.verwaltung.uni-hamburg.de/k/7/hochschulrecht/allg_satzungen.html das hier] auf der Homepage der Universität gefunden. Endlich ein bißchen Lesefutter. --[[Roland Illig]]

== Cachen ?==
Kann man diese Seiten mal irgendwie Speichern? Ich hab Angst, dass die zubald verschwinden ;-) --Muelli

Sind doch nur PDF-Dateien. Sollte also nicht so schwierig sein... --[[PatrickFey]]

Da es nicht einfach nur ein paar PDF-Dateien sind, die zufällig irgendwo rumliegen, sondern auch auf einer Seite explizit verlinkt sind, denke ich nicht, dass das ein Versehen ist. Aber ein Backup hab ich mir trotzdem mal gemacht. Nur für den Fall, dass die Dateien später nochmal geändert werden. --[[Roland Illig]]

= 22.05.2007 =

Die URL der STiNE-Dokumente (siehe 08.02.2007) hat sich [http://www.verwaltung.uni-hamburg.de/k/7/hochschulrecht/persoraete.html geändert], und ich weiß nicht mehr, wo ich die Backups gemacht habe. Schade eigentlich, denn jetzt muss ich das nochmal machen. --[[Roland Illig]]

= 06.06.2007 = 
Man muss sich jetzt, wenn an an der Uni Hamburg studieren moechte, online ueber STiNE bewerben.
Ich tat dies mal mit den Daten


{| class="wikitable"
! Vorname !! a' OR 1=1/* 
|-
| Nachname || bar 
|-
| Geburtsname || test<b>tor 
|-
| Geburtsdatum || wronginf 
|-
| Geburtsort || 1' 
|-
| Geburtsland || Afghanistan 
|-
| E-Mail 
|}


Das auch nur nochmal zum Thema "Application Firewall", die Eingaben filtert und so...

Ich hab eine Mail bekommen, juhu:
<pre>
Hallo a' OR 1=1/* bar,
Ihre Zugangsdaten f�r die Online-Bewerbung an der Universit�t Hamburg lauten:
Kennung: STINE@MAILINATOR.COM
Kennwort: K9172xPnT9J7
Online-Bewerbung unter: http://www.stine.uni-hamburg.de
</pre>
Ich hab mich eingeloggt und folgende Meldung bekommen:

<pre>
Kennwort und Sicherheitsfrage bearbeiten
Hinweis:  Bitte ändern Sie Ihr Kennwort und geben Sie eine Sicherheitsfrage ein.
Beim Kennwort wird zwischen Groß- und Kleinschreibung unterschieden: "SchwarzBrot91" und "schwarzBrot91" sind zwei verschiedene Kennwörter.
Die Sicherheitsfrage besteht aus einer Frage und einer dazu passenden geheimen Sicherheitsantwort. Bitte wählen Sie eine Frage, auf die nur Sie Antwort geben können. Ihre Sicherheitsantwort wird verschlüsselt und kann später nicht mehr angezeigt werden. Die Sicherheitsfrage wird Ihnen beim Anfordern eines neuen Kennworts gestellt.

Das neue Kennwort muss folgenden Regeln entsprechen:

    * Die Länge muss mindestens sieben Zeichen betragen.
    * Es muss mindestens ein Großbuchstabe, ein Kleinbuchstabe und eine Ziffer enthalten sein.
    * Das System unterscheidet zwischen Groß- und Kleinschreibung.
    * Verwenden Sie keine gängigen Worte (wie geheim oder kennwort).
    * Ihr neues Kennwort muss sich von den letzten 24 genutzen Kennwörtern unterscheiden.
    * Ihr Kennwort darf keine wesentlichen Teile Ihres Namens oder Ihrer Benutzerkennung enthalten.
</pre>
Das Passwort "stine" geht trotzdem?!

Juhu. Ich bin fuer *gruebel* Erziehungswissenschaften oder so angemeldet und hab Fehler uA in [[STiNE-Modul INQ DISPATCH]] gefunden.

<pre>
Freigabe war erfolgreich.



Vielen Dank für Ihre Bewerbung.
Mit dem "Abschicken" Ihrer Daten wird Ihre Bewerbung an das Team für Zulasungsangelegenheiten übermittelt.
Der Bescheidversand beginnt am 24.08.2007.
Bitte stellen Sie sicher, dass Sie ab dem 24.08.07 regelmäßig das Postfach der von Ihnen angebenen mail-Anschrift kontrollieren, damit Sie die Fristen zur Immatrikulation nicht verpassen.
</pre>

Das heisst also, alles wird im Klartext per Mail verschickt? :( Wo doch eMail so unzuverlaessig und unsicher ist.

== Kommentar ==
Du tauchst aber bisher nicht in der Bewerberliste von [[STiNE-Modul MESSRECIPSEARCH]] auf.
Der Grund dafür könnte sein, dass es Dich gar nicht mehr gibt.
Einloggen kann ich mich jedenfalls unter dieser Kennung nicht. :( --[[Roland Illig]], 06.06.2007
: bei mir geht alles wunderbar. Probier nochmal...
:: Bei mir jetzt auch: Ich hatte nur immer versucht, das Passwort aus der Mail zu benutzen. Egal. Jetzt gibt's auch stine2@mailinator.com mit Passwort stine2.

= 07.06.2007 =

Ich habe jetzt auch einen STiNE-Bewerber-Account. Was die da alles an Informationen haben wollen, ist schon beeindruckend. Allerdings wird so gut wie gar nichts überprüft. Ich bin jedenfalls weiblich, möchte aber als "Herr Nachname" angeredet werden.
Aber langweilig ist mir schon, da die Wartezeit für eine Seite ca. 30 Sekunden beträgt. Das erinnert mich mal wieder an die Aussage der Universität, dass durch die Fehler und Unzulänglichkeiten in STiNE den Studenten keine Nachteile entstehen. Ein ungerechtfertigter Zeitaufwand ist also nach Ansicht der Universität kein Nachteil. --[[Roland Illig]]