Sven Woltmann
- Admin
- Staff
- Forum-Beiträge: 1.922
27.11.2009, 16:40:41 via Website
27.11.2009 16:40:41 via Website
Ich hatte ja versprochen mir nach Fertigstellung des AndroidPIT-Wikis anzuschauen, warum der G1-Browser beim Schreiben von Forum-Posts die eigene E-Mail-Adresse ins Titel-Feld einträgt. Nach einem halben Tag wilden Herumprobierens habe ich es endlich herausgefunden.
Während man einen Forum-Beitrag (oder einen Blog-Eintrag, einen Kommentar oder sonstwas anderes) schreibt, könnte im Hintergrund unbemerkt die Browser-Session ablaufen. Dies hätte zur Folge, dass beim Versuch den Eintrag zu speichern der Server nicht mehr weiß, wer gerade eingeloggt ist.
Viele Webseiten ignorieren das Problem... soll sich der User halt neu einloggen und seinen Artikel nochmal schreiben. Wer den Artikel vor dem Posten nicht in die Zwischenablage kopiert hat, hat Pech. Andere Webseiten zeigen den eingegebenen Text zumindest noch mal an, so dass man ihn dann noch in die Zwischenablage retten kann.
Ich habe gedacht: Wir können das besser!
Wenn beim Speichern eines Artikels auf der AndroidPIT-Seite die Session abgelaufen ist, wird per Javascript ein Passwort-Feld angezeigt, in dem man lediglich sein Passwort eingeben und dann noch mal auf "Speichern" drücken muss. Dadurch wird man wieder eingeloggt und der Artikel wird gespeichert.
Und jetzt kommt's: Das versteckte Passwort-Feld lässt den G1-Browser glauben, dass es sich beim Forum-Eingabe-Formular um ein Login-Formular handelt!!! Und er denkt sich:
"Was??? 'RE: Finde App nicht im Market' soll ein Login sein? Das kann ja wohl nicht sein. Das ändere ich doch besser mal schnell in die E-Mail-Adresse, die der User eingegeben hat, als er sich vor drei Tagen auf dieser Webseite eingeloggt hat. Ich bin ja sooo schlau!!!"
So... nachdem ich einen halben Tag gebraucht habe das herauszufinden, wird es in maximal einer Stunde gefixt sein. Das Passwort-Feld darf nicht von vornherein versteckt im Formular enthalten sein, sondern muss erst dann, wenn die "Session abgelaufen"-Fehlermeldung vom Server kommt, eingefügt werden.
Das ganze natürlich nicht nur auf der Forum-Seite, sondern auf allen Seiten mit Formularen...
Während man einen Forum-Beitrag (oder einen Blog-Eintrag, einen Kommentar oder sonstwas anderes) schreibt, könnte im Hintergrund unbemerkt die Browser-Session ablaufen. Dies hätte zur Folge, dass beim Versuch den Eintrag zu speichern der Server nicht mehr weiß, wer gerade eingeloggt ist.
Viele Webseiten ignorieren das Problem... soll sich der User halt neu einloggen und seinen Artikel nochmal schreiben. Wer den Artikel vor dem Posten nicht in die Zwischenablage kopiert hat, hat Pech. Andere Webseiten zeigen den eingegebenen Text zumindest noch mal an, so dass man ihn dann noch in die Zwischenablage retten kann.
Ich habe gedacht: Wir können das besser!
Wenn beim Speichern eines Artikels auf der AndroidPIT-Seite die Session abgelaufen ist, wird per Javascript ein Passwort-Feld angezeigt, in dem man lediglich sein Passwort eingeben und dann noch mal auf "Speichern" drücken muss. Dadurch wird man wieder eingeloggt und der Artikel wird gespeichert.
Und jetzt kommt's: Das versteckte Passwort-Feld lässt den G1-Browser glauben, dass es sich beim Forum-Eingabe-Formular um ein Login-Formular handelt!!! Und er denkt sich:
"Was??? 'RE: Finde App nicht im Market' soll ein Login sein? Das kann ja wohl nicht sein. Das ändere ich doch besser mal schnell in die E-Mail-Adresse, die der User eingegeben hat, als er sich vor drei Tagen auf dieser Webseite eingeloggt hat. Ich bin ja sooo schlau!!!"
So... nachdem ich einen halben Tag gebraucht habe das herauszufinden, wird es in maximal einer Stunde gefixt sein. Das Passwort-Feld darf nicht von vornherein versteckt im Formular enthalten sein, sondern muss erst dann, wenn die "Session abgelaufen"-Fehlermeldung vom Server kommt, eingefügt werden.
Das ganze natürlich nicht nur auf der Forum-Seite, sondern auf allen Seiten mit Formularen...
Svens Java-Entwickler-Blog: https://www.happycoders.eu
Empfohlener redaktioneller Inhalt
Mit Deiner Zustimmung wird hier ein externer Inhalt geladen.
Mit Klick auf den oben stehenden Button erklärst Du Dich damit einverstanden, dass Dir externe Inhalte angezeigt werden dürfen. Dabei können personenbezogene Daten an Drittanbieter übermittelt werden. Mehr Infos dazu findest Du in unserer Datenschutzerklärung.