Moodle-Bashing der übelsten Sorte

Hallo,

folgende E-Mail erreichte meinen SL und mich:

Sehr geehrter Herr Auer,
sehr geehrter Herr XXX,

bitte seien Sie mir nicht böse über meine Fragen und meine Kritik.
Ich meine es in der Tat nur gut. Ich kann mir auch gut vorstellen, dass Sie in diesen Zeiten genug Aufgaben und Ärger am Hals haben.

Ich habe drei Fragenthemen 1-3 an Herrn Auer und
drei Herausforderungen zur AFS-Webseite, welche ich
Ihnen Herr XXX und Herr Auer nennen möchte.
Auch das E-Mail-Problem EINER Eltern-E-Mail-Adresse
für MEHRERE Kinder sollte irgendwie bekannt sein

Ich berate eine Familie XXX mit drei Kindern XXX, XXX und XXX.

Die Vielfalt der Zugänge, URLs, E-Mail-Adressen, Logins, Apps, … ist für mehrere Kinder in einer Familie in der Tat eine Herausforderungen für alle Beteiligten und ich berate in dieser Hinsicht auch mehrere Familien in der Verwandtschaft.

Meine und unsere Themen:

  1. Die mitgeteilten Moodle-Zugangsdaten vom Oktober 2020 zum erstmaligen Login für XXX sind offensichtlich nicht mehr gültig. Ein Rücksetzen scheint nichtg möglich, da die hinterlegte E-Mail-Adresse (noch) nicht existiert, oder nicht zugestellt wird. Können Sie bitte Frau XXX (in E-Mail-Kopie) neue Zugangsdaten für XXX mitteilen? Die Zugänge für XXX und XXX funktionieren!

  2. Bei den Töchtern XXX und XXX sind in Moodle die E-Mail-Adressen VOR.NACHNAME@domain.de hinterlegt. Diese wurden NICHT von den Töchtern oder Eltern eingetragen. So fragen wir uns, wohin werden Nachrichten an diese E-Mails umgeleitet? Oder in welchem Postfach (POP-, IMAP- Adresse) können diese E-Mails abgerufen werden? Diese E-Mail-Adressen sind ja wichtig für das Passwortrücksetzen!

Dasselbe Problem mit mehreren Kindern und dem möglichen Passwortrücksetzen bei EINER einzigen E-Mail-Adresse existiert wohl auch bei Webuntis. Können Sie uns da bitte aufklären?

  1. Derzeit haben die Kinder gar keine eigenen E-Mail-Adressen, da ja über den Webuntis-Messenger kommuniziert wird. Somit kann aus meiner Sicht wohl NICHT die EINE E-Mail-Adresse der Mutter in Moodle hinterlegt werden, da dann beim Rücksetzen alle drei Accounts der Kinder betroffen sind. Oder?

Weitere Probleme:

A) Auf der Homepage der Schule findet man die richtigen URLs für Webuntis und Moodle nur sehr schwer. Diese URLs sollten an exponierter Stelle eindeutig sichtbar sein! Und zwar nicht abgekürzt als anklickbare Links, sondern im vollen Syntax https://… So ist ein Kopieren, Abschreiben, und Merken auch für Laien einfacher möglich.

Der mögliche Login auf JEDER Webunterseite der Schule ist ein Sicherheitsrisiko! Erstens melden sichere Passwortmanager dann beim Login eine Warnung, weil die URL und der Seitentitel abweichen. Und zweitens ist gar nicht klar, für welchen Dienst (Moodle) der Login erfolgt. Das sichtbare Wort „Moodle“ fehlt beim Login und beim „Forgotten Password“

Eine Suche nach „WebUntis“ im Suchfenster der AFS liefert
NULL Ergebnisse! Warum das?

B) Das Problem der versteckten URLs gilt übrigen auch für SEHR viele Dateien (wie PDF). Beispiel „Hygieneplan“ auf
Domain.de - Seite nicht gefunden
Beim „Direkten Download“ ist keinerlei Hinweise zu Dateinamen, zur Dateierweiterung, zur Dateigröße und zur Dateiversion vermerkt. Der Leser hat also keine Möglichkeit zum Erkennen, ob die Datei in einer aktualisierten Version vorliegt.
Richtig übel ist dieser Sachverhalt auf der Formularseite. Dort ist nicht einmal mehr mit Mouse-Hover ein PDF-Dateiname ersichtlich.

C) Schlecht programmiert sind leider die Websetien http://domain.de und https://domain.de welche mit sinnfreier Fehlermeldung und NICHT auf https://www.domain.de umgeleitet werden.
Auch die URL http://www.domain.de wird NICHT auf
https://www.domain.de umgeleitet. Das ist ganz schlecht und wäre mit einfachsten Mitteln (.htaccess) korrigierbar.

Mit ist klar, dass Sie mit Moodle und Webuntis und einem CMS von Belwue
nur begrenzte Eingriffsmöglichkeiten haben. Leider sind viele dieser Plattformen bekannt durch unzureichende Sicherheit, Datenschutz und Benutzerfreundlichkeit. Schade, dass unsere Schüler, Lehrer und Eltern keine vorbildlicheren Schulwebseiten benutzen können.

Sie können mich gerne jederzeit telefonisch im Fest- oder Mobilnetz kontaktieren. Ich benötige ja keine geheimen Informationen, sondern helfe Familie XXX dann nur beim Einrichten.

Mit herzlichem Dank und freundlichen Grüßen

Diese Mail steckt so voller Unwahrheiten und dreisten Lügen, dass ich gerade echt auf 180 bin und wirklich keinerlei Lust auf eine Antwort habe.

Im letzten Absatz steckt dann auch endlich des Pudels Kern - mal wieder:
Freie Systeme sind grundsätlich schlecht und unsicher und es müsste unbedingt was „professionelles“ her.

Vermutlich ist der Herr Dipl-Ing für M$, Apple oder sonst ein kommerzielles superduper System tätig.

By The Way:
Wenn man die Domain seiner Mailadresse aufruft, landet man auf einer Seite ohne jedes Impressum

Wie kann man mit so wenig Ahnung nur so viel Sch… von sich geben :see_no_evil:

Ich brauche jetzt erst mal ganz viel Oooooommmmmmmmmmm

Viele Grüße
Steffen

Hi Steffen,

Das ist wirklich traurig … manche Leute haben echt null Ahnung aber fühlen sich wie die allerschlauesten.

Wenn ich sowas lese bin ich immer wieder froh, dass es bei uns im Verein genau andersrum ist. (wir haben vor ein paar Jahren Slack eingeführt und ein paar Mitglieder wollten da partout nicht mitmachen, weil es nicht selbst gehostet ist). Jetzt sind alle ganz froh, dass wir komplett auf Open source umsteigen.

VG, Dorian

Hallo Dorian,

im Prinzip könnte man dem Mann seine ganzen Behauptungen widerlegen.
Ob es meine Zeit Wert ist :thinking:
Ich habe so meine Zweifel, denn soche Leute mit so viel überheblicher Selbstüberschätzung kriegst du eh nicht überzeugt.

Viele Grüße
Steffen

Hi Steffen,

Nein, ist es nicht. Jede Energie die dafür draufgeht ist verschwendet. Am besten du antwortest mit einem Standardtext nach dem Motto:
„Danke für das Feedback, wir arbeiten beständig daran, die Nutzbarkeit unserer Plattformen zu verbessern“

VG, Dorian

Hallo,

das mit dem fehlenden Impressum muss ich revidieren, wenn man auf seinen Namen klickt findet man entsprechende Daten. Ob das so aber zulässig ist :thinking:

Jetzt kommt der Hammer:

Starting September 2020 I am working fulltime as IT-Security Analyst with XXX & Co. KG

Also ich weiß ja nicht, wie man als so jemand so abstruse Behauptungen von fehlener Sicherheit aufstellen kann. Da hat man so was von keinerlei Ahnung von seinem Job und bekommt dafür offensichtlich sogar noch Geld.

Viele Grüße
Steffen

Hallo Dorian,

guter Satz, werde ich vieleicht verwenden.

Wenn man die Lügen insbesondere zu „Sicherheitsücken“ ignoriert, werden sie allerdings sicher weiter verbreitet. Na gut, wahrscheinlich selbst dann, wenn man sie widerlegt.

Viele Grüße
Steffen

Verweise diesbezüglich doch einfach auf die GitHub Seite von Moodle und bitte ihn, sich mit Sicherheitslücken direkt an die Entwickler zu wenden, ihr als Schule habt da ja keinen Einfluss drauf.
Und wenn er sich tatsächlich traut, dort issues zu eröffnen, wird er vermutlich schnell zerfetzt.

VG, Dorian

Hallo Dorian,

auch sehr gut :+1:

und noch an Belwü:
Denn die Behauptung

Schlecht programmiert sind leider die Websetien http://domain.de und https://domain.de welche mit sinnfreier Fehlermeldung und NICHT auf https://www.domain.de umgeleitet werden.
Auch die URL http://www.domain.de wird NICHT auf
https://www.domain.de umgeleitet. Das ist ganz schlecht und wäre mit einfachsten Mitteln (.htaccess) korrigierbar.

ist schlicht gelogen. Alle Varianten leiten fehlerfrei auf https://www.domain.de um.

Boah, ich reg mich schon wieder mehr auf als der das verdient.

IT-Sicherheits Analyst - ja neee, is klar :see_no_evil:

Vielleicht sollte der mal seine eigene IT-Infrastruktur auf Sicherheitslücken überprüfen (lassen - selber kann er das offensichtlich nicht) und vielleicht sollte man dem Arbeitgeber mal einen heißen Tipp geben…

Viele Grüße
Steffen

Hallo Steffen,

jetzt erst einmal Oooooommmmmmmmmmm und dann eine Nacht drüber Schlafen.
Wenn es mir dann noch einer Antwort schreit, dann schreiben.

So würde ich es jetzt an deiner Stelle machen.

Beste Grüße

Thorsten

Muss das nicht IT Securety Analyst heisen? :wink:
Unser Hausmeister ist auch ein Sicherheits-Analyst, einer der Besten muhaha

Hallo,

Im Oiginal steht da IT-Security Analyst

Viele Grüße
Steffen

Tag auch,

ueber so eine Mail wuerde ich mich nicht aufregen, immerhin macht er sich die Muehe und versucht Unbedarften zu helfen, dass er sich dabei vielleicht ein bisschen zu wichtig nimmt, geschenkt.

Anrufen und abklaeren und um Himmels Willen bloss keine „Widerlegungsmail“, das ist verschwendete Zeit, die liest er naemlich nicht…wuerde ich auch nur querlesen.
Ich bin mir sogar sicher, dass das Telefonat ganz interessant werden wird.

Gruss Harry

Hallo,

ich kann Harry hier nur unterstützen. Mit etwas „OM“ vorher lese ich auch, dass er die Situation für alle etwas vereinfachen will. Bestimmt lassen sich einige Punkte am Telefon ganz gut klären. Ich habe hier für die kleine Schule viele solcher Mitteilungen und habe die bisher immer durch die rosa Brille gesehen und dankbar angenommen. Wenn man am Telefon noch einfließen lässt, was für tolle Informatiker das doch sind, bleiben sie auf ewig dankbar.
VG
Christian

Hallo Harry.

Da hast du wahrscheinlich Recht.

Ich weiß nicht. Wie soll man jemanden Ernst nehmen, der angeblich Sicherheitsexperte ist und behauptet

Schlecht programmiert sind leider die Websetien http://domain.de und https://domain.de welche mit sinnfreier Fehlermeldung und NICHT auf https://www.domain.de umgeleitet werden.
Auch die URL http://www.domain.de wird NICHT auf
https://www.domain.de umgeleitet. Das ist ganz schlecht und wäre mit einfachsten Mitteln (.htaccess) korrigierbar.

obwohl die Eingaben www.domain.de, http://www.domain.de, domain.de und http://domain.de absolut fehlerfrei auf https://www.domain.de umgeleitet werden?

Mein Chef will heute Abend mit mir telefonieren, wie wir darauf reagieren.
Gar nicht zieht bei so jemandem wahrscheinlich einen Zeitungsartikel in der örtlichen Presse oder was auch immer nach sich, dass er als großer Zampano uns in seiner unedlicher Güte in unserer Unwissenheit helfen wollte und man ihn völlig ignoriert :sob: - wobei völliges Ignorieren wohl die einzige sinnvolle Art der Reaktion auf so einen :face_vomiting: wäre.

Viele Grüße
Steffen

Hallo Christian,

wo steht da was von vereinfachen?
Moodle macht die Links nunmal wie es sie macht, und das wird sicher seine Gründe haben.

Das Einzige vielleicht, dass https://www,domain.de nicht ausgeschrieben da steht, aber ehrlich:
Was nützt mir das, wenn ich mich bereits auf der Seite befinde :thinking:

Die meisten geben inzwischen doch eh nur den (Schul-)Namen in Google ein, wenn sie auf eine Webseite wollen :crazy_face:

Viele Grüße
Steffen

Hallo,

jetzt erst einmal Oooooommmmmmmmmmm und dann eine Nacht drüber Schlafen.
Wenn es mir dann noch einer Antwort schreit, dann schreiben.

genau das empfehle ich auch.
Eine NAcht schlafen, email Fomulieren, Luft schnappen und nochmal lesen:
dann schicken.

Zu der Nachricht an sich: er hat ja auch an manchen Stellen recht …
möglicherweise … oder?

Übliches Problem: Familie hat 3 Kinder und 0 email Adressen für diese,
brauchen aber 3 für moodle, weil moodle jede email Adresse nur einmal nimmt.
Das mit der voreingestellten email ist halt quark: er bekommt beim
ersten login ja sein Profil gezeigt und muß eine eintragen: hat er nciht
gemacht, also wird er moodle nie richtig benutzen können und es
dementsprechend auch scheiße finden.

Ein anderes Problem: unterschiedliche Zugangsdaten für WebUntis, moodle
, nextcloud, Webseiteirgendwas (Portfolio?) …das ist schon doof.
Und wenn eine Familie 3 Kinder hat, dann wachsen einem da schon graue Haare.

Die Stelle über moodle war halt reine Polemik ohne irgendwelche Ahnung.
Da könnte man nachfragen, was er den genau meint, da moodle Seit 17
Jahren vom Land verwendet wird und noch nie gehackt wurde …

Also: nicht zu sehr auf Abwehr gehen: hier und da hat er vielleicht
nicht ganz unrecht.

LG

Holger

Hallo Steffen,

habe die Mail jetz noch 2x gelesen:

Auf jeden Fall ein Schlauschwätzer, der bei wenig inhaltl. Aussage viele Worte macht.

Naja, wenn ich eine Supportanfrage mache und dann noch den „Supportern“ Ratschläge, im wahrsten Sinne des Wortes, gebe, ist das ein unglücklicher Kommunikationstil …

Viel heisse Luft …, ziehe es Dir nicht persönlich rein, verschwendete Lebenszeit.

Vor 3 Monaten gab es bei einem deutschen Spitzensportverband (A-Trainer) „Ärger“, weil einer dieser …Oberfunktionäre … meinte in Moodle wieder die Mail-basierende Selbsteinschreibung zu aktivieren, obwohl ich es dem Personenkreis 5 Monate vorher haarklein erläutert - und damit faktisch untersagt hatte.

OK, mein Chef hat dennen dann auch noch einen Brief geschrieben und seinen Frust von einigen Jahren der Zusammenarbeit raus lies. War etwas unglücklich :wink:

In deren Antwort wurde nicht etwa auf meine Kritik eingegangen, Abbitte geleistet etc., sondern mich ich darauf hingewiesen, dass unser Moodle ja 3 (Unter)-Versionen lang nicht aktualisiert worden sei.

Da ist mir echt was aus der Tasche gefallen … Habe ich in über 25 Jahren noch nicht erlebt!

Lange Rede: Versuche Dich innerlich abzugrenzen und nimm es nicht persönlich!

Liebe Grüße
Andre

Hallo Holger,

klar ist das doof, aber das ist ja nicht nur bei Moodle so. Auch andere Systeme erlauben keine dopelten Mailadressen in verschiedenen Profilen.
Imho eher Sicherheitsmerkmal als das Gegenteil.

Das geht leider nicht anders, wenn man Moodle nicht an den LDAP angebunden hat.
Wenn ich die User per csv-Datei anlege, verlangt Moodle eine Mailadresse, sonst kann ich den User nicht anlegen.
Ok, kann man natürlich auch dem „schlechten“ Moodle anlasten.

Ich dachte, kein Problem, nehm ich die schulische Mailadresse der SuS. Warum das - wie ich erst später erfahren habe, trotzdem doof ist, steht unten.

Tja, sowohl das als auch die Tatsache, dass die SuS seit 2018 ihre schulische Mailadresse nur noch im PC-Raum in der Schule abrufen können, verdanken wir an unserer Schule nochmal wem… :thinking:

Ein Hoch auf meinen Exchef und ein Hoch auf unseren „kompetenten Diensteister“ :+1:

Viele Grüße
Steffen

Ich wuerde das Moodleprinzip mit der Mailadresse nichtmal so schlecht machen, ich finde jeder Bundesbuerger, auch die Kinder, sollten eine Mailadresse haben, genauso wie eine Hausadresse und einen Personalausweis und dann auch gleich richtig, in dessen Chip noch einen von D-Trust signiertes S/MIME-Schluesselpaar.

Die sitzen ja quasi als anerkannte CA in der Bundesdruckerei. Von mir aus kostet dann der Perso 5€ mehr und von mir aus duerfen sich die deutschen Dreibuchstabenbehoerden auch den Private Key irgendwohin kopieren. Gueltig 10 Jahre.

Die Eltern verwalten die Mailadressen bis die Kinder soweit sind und gut ist, Thema erledigt. Passwort zuruecksetzen tut dann auch.
In Zukunft geht sowieso nix mehr ohne Mailadresse, Corona muesste eigentlich die Leute mal so langsam daran gewoehnen.
Ich krieg einen Anfall, wenn ich jemanden nach der Mailadresse frage und dann kommt ein familiemaier@gmx.de oder „nehm die von meiner Frau“, Alter!

Gruss Harry

Hallo Steffen,

mit lmn wäre das nicht passiert dass man für verschiedene Dienste verschiedene Passwörter hat.

Bei uns läuft alles über den LDAP des Linuxmuster Server (außer Office 365 und damit haben die Kollegen oft Probleme, da der Login Name ähnlich dem für alles andere ist und sie versuchen sich mit dem „üblichen“ Login anzumelden ).

Gruß

Alois