Neuerungen in WoltLab Suite 6.0: Weitere Verbesserungen

Verbesserte Sicherheit

Mit WoltLab Suite 6.0 haben wir mehrere Sicherheitsmaßnahmen umgesetzt, die darauf abzielen die Software selbst robuster zu gestalten und bestimmte Angriffsszenarien bereits im Vorfeld zu verhindern. Von besonderer Bedeutung ist der Einsatz des „SpoofChecker“ der „intl“-Bibliothek bei der Prüfung von Benutzernamen zum Schutz vor homographischen Angriffen. Dieser unterbindet das Vermischen von Zeichensätzen aus unterschiedlichen Schriftsätzen, das dazu dient Benutzernamen zu erzeugen, die bestehenden Benutzernamen zum Verwechseln ähnlich aussehen. Zusätzlich setzen wir in der Administrationsoberfläche zusätzliche HTTP-Header, die einen Angriff auf Administratoren mit Hilfe von extern eingebundenen Quellen verhindern, zusätzlich werden beim Aufruf von Links die Übertragung des Referrer unterdrückt, um die unabsichtliche Übermittlung von vertraulichen URLs zu verhindern.

Zu den weniger sichtbaren Sicherheitsmaßnahmen zählt unter anderem die Erzwingung von verschlüsselten Verbindungen beim Abruf von Paket-Server-Daten, um die Vertraulichkeit und Integrität der übermittelten Daten sicherzustellen. Das Paketsystem hat darüber hinaus ein „Audit-Log“ bekommen, in dem alle von Paketen durchgeführten Änderungen am System protokolliert werden und damit auch nachträglich nachvollziehbar bleiben.

Umstellung der Template-Modifier auf eine feste Liste an erlaubten Funktionen

Die letzte Änderung betrifft die Verwendung von Template-Modifier. Es handelt sich hierbei um eine Möglichkeit des Template-Systems, bestimmte Aufgaben, beispielsweise die Umwandlung von Text in Großbuchstaben, an bestehende PHP-Funktionen zu delegieren. Es standen hierbei – mit Ausnahme einiger weniger ausgewählter Funktionen – sämtliche Funktionen zur Verfügung, die PHP zu bieten hat. Grundsätzlich sollten Templates möglichst keine starke Logik aufweisen, weshalb die Nutzung abseits einiger nützlichen Funktionen schon immer fragwürdig war. Das größte Problem ist jedoch, dass die Mehrsprachigkeit von Eingabefeldern technisch auf Sprachvariablen basiert und Sprachvariablen Zugriff auf sämtliche Template-Funktionen haben, denn Sprachvariablen sind technisch als Templates realisiert.

Ein Angreifer mit Zugriff auf die Administrationsoberfläche mit der Berechtigung zur Anpassung von Templates, Boxen, Seiten oder oder mehrsprachige Eingabefelder kann diese potentiell zur Ausführung nahezu beliebiger PHP-Funktionen missbrauchen. In der WoltLab Cloud haben wir jedoch von Anfang an die Sicherheit und Integrität an vorderste Stelle gestellt und nur eine Auswahl von Funktionen für den Zugriff zugelassen – ein Konzept, dass sich in den vergangenen Jahren mehr als bewährt hat. Mit WoltLab Suite 6.0 werden nur noch ausgewählte PHP-Funktionen für den Aufruf über Template-Modifier zugelassen, das bisherige abweichende Verhalten der WoltLab Cloud wird somit zum Standard.

Überarbeitete Zusammenfassung der Reaktionen

Die Liste der Reaktionen unter einem Inhalt wurde technisch modernisiert und basiert nun auf einer Web Component. Der Aufbau im HTML wurde auch im Hinblick auf die Barrierefreiheit verbessert und hebt zusätzlich die von einem selbst vergebene Reaktion hervor. Für Entwickler ergibt sich kein Anpassungsbedarf, die Änderungen wurden im Template für die Zusammenfassung der Reaktionen vorgenommen.

Weitere Verbesserungen kurz vorgestellt

Vereinheitlichung der Abonnieren-Funktion
Die Funktionsweise und Aussehen der Abonnieren-Funktionen wurden über die verschiedenen Apps hinweg angeglichen.

Verbesserte Internationalisierung / Lokalisierung
Es gibt jetzt das “locale”-Feld, wodurch Zahlen und Uhrzeiten auch Länderspezifisch formatiert werden können. Besonders interessant ist dies für Schweizer (1'000'000 für große Zahlen) und Briten (24 Stunden-Zeitformat). Zudem steht UTC jetzt als Zeitzone zur Verfügung, beispielsweise für digitale Events im Kalender.

Vereinheitlichung von Formulierungen
An diversen Stellen wurden die Texte der Benutzeroberfläche vereinheitlicht.

Verbesserung der Performance
Es wurden diverse Optimierungen vorgenommen, die zu einer besseren Performance führen.

Einfacherer Zugang zu CLI-Workern
Die Anzeigen aktualisieren-Seite in der Administrationsoberfläche listet die notwendigen Befehle für die Ausführung per CLI auf.

Statistiken für die CAPTCHA-Fragen
Für CAPTCHA-Fragen wird nun erfasst, wie oft eine Frage richtig bzw. falsch beantwortet wurde.

Unterstützung für WebP-Avatare
Der Upload von Avataren im WebP-Format wird nun unterstützt.

Termine können nachträglich abgesagt werden
Kalender-Termine können nun auch nach dem Zeitpunkt des Termins noch abgesagt werden.

Höhe Upload-Grenze für Dateiuploads
Für Datei-Uploads (z.B. in Filebase oder Gallery) werden nun Dateigrößen von über 2 GiB unterstützt.

Flood-Control für Vandalismus in alten Beiträgen
Die Flood-Control kommt nun auch beim Bearbeiten von Beiträgen zum Einsatz, um zu verhindern, dass ein User massenweise alte Beiträge in kurzer Zeit verändern kann.

Twitter-Buttons auf X geändert
Die Buttons für das Teilen von Inhalten auf Twitter bzw. das Anmelden über Twitter wurden aktualisiert.

Verbesserter Datenimport
Der Datenimport aus einer anderen WoltLab Suite-Installation kann nun mehr Inhalte übernehmen.

Bessere Unterstützung von Bildern in Desktop-Benachrichtigungen
In Desktop-Benachrichtigungen wird der Inhalt des Alt-Tags von Bildern zur Darstellung genutzt.

Unterstützung von 4K-Bildern als Avatar
Avatare können als 4K-Variante hochgeladen werden.

Bessere Lesbarkeit der Änderungs-Historie
Die Formatierung der Änderungen wurde verbessert, um eine bessere Lesbarkeit zu gewährleisten.

Warnung für unsichtbare Teilnehmer beim Antworten
Unsichtbare Teilnehmer erhalten beim Antworten auf eine Konversation nun eine Warnung, dass sie durch die Antwort nicht mehr unsichtbar sind.

Medienanbieter Spotify aktualisiert
Der Medienanbieter für Spotify wurde auf den aktuellsten Stand gebracht.

Verbesserte Verarbeitung von animierten WebP-Bildern
Animierte Bilder im WebP-Format werden nun korrekt verarbeitet, was die Erstellung von passenden Vorschaugrafiken erlaubt.

Einstellung für Reihenfolge von Blog-Artikel
Der Administrator kann nun die Reihenfolge von Blog-Artikeln konfigurieren.

Box für letzte Beiträge ohne Cache
Die Box für die letzten Beiträge ermittelt die angezeigten Themen nun live und nicht mehr mit einer 5-minütigen Zwischenspeicherung.

Erkennung von URLs in Texten verbessert
Der Algorithmus für die Erkennung von URLs in Texten wurde überarbeitet und arbeitet nun deutlich präziser.

Bessere Erkennung von fehlgeschlagenen Dateiuploads
Schlägt ein Dateiupload durch ein Webserver-seitiges Limit fehl, wird dies nun korrekt erkannt und dem Nutzer gemeldet.

Mobile Sprachauswahl verbessert
In der mobilen Sprachauswahl werden nun zusätzlich die Flaggen-Icons angezeigt.

Überarbeitete Breadcrumbs
Die Breadcrumbs wurden technisch komplett überarbeitet.

Nutzung des Meter-Tags
Der Meter-Tags kommt beispielsweise für die Anzeige der Auslastung des Konversationskontingent zum Einsatz und sorgt für eine bessere Semantik.

Reset-Button in Datumsauswahl überarbeitet
Der Button ist nun zugänglicher und kann beispielsweise auch per Tastatur gesteuert werden.

Ausblendung von überflüssiger Sprachauswahl
Die Sprachauswahl für mehrsprachige Inhalte wird nun automatisch ausgeblendet, wenn nur eine Sprache zur Auswahl steht.

Platzhalter für E-Mail-Adresse in Rundmails
{$email} kann als Platzhalter in Rundmails genutzt werden, um die E-Mail-Adresse des jeweiligen Empfängers anzuzeigen.

Boxen-Darstellung vereinheitlicht
Die Darstellung von Inhalts-Boxen wurde vereinheitlicht.

Darstellung von Artikel-Buttons überarbeitet
Die Darstellung der Buttons in der Artikeln wurde überarbeitet und an die Darstellung aus anderen Bereichen angeglichen.

Verbessertes Löschen von Artikeln
Im Bestätigungsdialog für Artikel wird nun der Titel des jeweiligen Artikels angezeigt.

Darstellung von Rezensions-Buttons überarbeitet
Die Darstellung der Buttons in Rezensionen wurde überarbeitet und an die Darstellung aus anderen Bereichen angeglichen.

Verbesserte E-Mail-Benachrichtigungen
Die Betreffzeile von verschiedenen Benachrichtigungs-E-Mails wurde angepasst, um diese besser verständlich zu gestalten.

Datenbank-Name in System-Informationen
Die System-Information auf der Startseite der Administrationsoberfläche listet nun den Namen der verwendeten Datenbank auf.

Ausdrucken von MFA-Backupcodes verbessert
Die Ansicht für das Ausdrucken der MFA-Backupcodes wurde überarbeitet und benutzerfreundlicher gestaltet.

Widget für eingebetteten Inhalt überarbeitet
Das Widget für den eingebetteten Inhalt würde komplett überarbeitet und ist nun benutzerfreundlicher und zugänglicher gestaltet.

Erweitertes Suchformular verbessert
Der Bereich für die erweiterten Filter klappt nun automatisch aus, wenn ein Filter aktiv ist.

Bearbeiten von Umfragen verbessert
Beim Bearbeiten von Umfragen kann man nun sehen, ob es sich um eine öffentliche Umfrage handelt.

Individuelle Icons für Suchergebnisse
Suchergebnisse können nun mit individuellen Icons versehen werden.

Vereinfachtes Erstellen von Cronjobs
Cronjobs können nun mittels Expression erstellt werden.

Einbetten von Audio- und Video-Medien
Das Einbetten von Medien vom Typ Audio oder Video führt nun zur Anzeige eines entsprechenden Audio- bzw. Video-Players.

Besserer Hinweis auf aktivierten Debug-Modus
Die Administrationsoberfläche weist nun besser darauf hin, dass der Debug-Modus aktiv.

Generischer Teilen-Button
Es wurde ein generischer Button für das Teilen der jeweiligen Seite eingeführt.

Verbesserte Seite für getaggte Inhalte
Beim Aufruf der Seite mit einem bestimmten Tag wird nun noch der Inhalt zur Filterung angeboten, für den Ergebnisse vorhanden sind.

Eingabe für MFA-Codes verbessert
Die Eingabe für die MFA-Codes wurde überarbeitet und benutzerfreundlicher gestaltet.

Verbesserte Vorschläge für Tags bei mehrsprachigen Inhalten
Die Vorschläge für die Tags passen nun besser zur jeweiligen Sprache.

Verbessertes Kopieren von Templates
Beim Kopieren von Templates wird nun nicht mehr die erstbeste Templategruppe ausgewählt.

Irreführende Option „Vollzugriff“ entfernt
Die Option „Vollzugriff“ führte in den Berechtigungen oft zu unnötig komplizierten Konfigurationen.