Branch: main
Priorität: niedrig

Open Source Projekte haben normalerweise Lizenzbedienungen, nicht nur ein 'c' im Kreis. Es gibt viele gute Lizenzvarianten, MIT, Copyleft, BSD, Creative Commons License, GNU etc.

-Welche Lizenz wollen wir?
-Link auf Lizenzbedingungen a la "Kleingedrucktes"

• Ticket schreiben um Zertifikat zu beantragen
• Zertifikate aufspielen
• HTTPS testen
• Http zugriffe von Port 80 auf Port 443 umbiegen

Anleitung für QR Code Scanner auf die Index seite

• Test ob vergessliche Nutzer wirklich um 18:00 automatisch ausgeheckt werden
• Falls technisch machbar, Löschfristentest

Fehler-Code 500.

Der Raumlisten Link in der NavBar ist z.b. von https://ctt.hs-mannheim.de/r/noId?roomId=noroom aus nicht korrekt, sondern zeigt auf https://ctt.hs-mannheim.de/r/printout/rooms.

• Der Link sollte nur relativ zur Domain sein also /printout/rooms statt printout/rooms
• Stimmen alle anderen Links?
  Closes #82

dort sollte jeweils auch ein gehashtes Passwort (SHA256?) angegeben werden
nötige Rollen auf jeden Fall Admin, evtl. Prof o. Mitarbeiter?

Bisher werden nur die Besuche gelöscht, aber nicht explizit die Besucher. Das sollte mit einem Testcase abgedeckt und falls notwendig gefixt werden.

Aktuell kann man sich z.B. mit @stud.hs-mannheim.de einchecken, ohne etwas vor dem @ angegeben zu haben, das sollte sowohl client- als auch serverseitig geprüft werden. Serverseitig dann am besten schauen, dass es eine gültige Mail-Adresse ist. Dafür gibt es in controller.Utilities die Methode checkMailAdressSyntax.

Rolle "Contakt_tracer" für die Kontaktperson zum Gesundheitsamt, statt Admin der alles darf.

Grund: zentrales Feature der Software liegt darin das sie einfach zu benutzen ist, auch für Hygienebeauftragte und Kontaktpersonen zum Gesundheitsamt.

Nebeneffekt: Sicherheitszugewinn

(Optional rolle Professor streichen, wenn sie nicht mit Funktionen verbunden ist)

Es gibt wohl Probleme mit der Locale.

Vermutlich ist das aber nicht 1. Prio, da wir das für die Räume nicht brauchen.

Wenn ein User sich in einen übervollen Raum begeben will kommt:
"Raumkapazität bereits erreicht, bitte den Raum nicht betreten."
das ist gut.

Soll der User trotzdem in den Raum eingeloggt werden?
Falls nicht, braucht er dann einen aus dem letzten Raum abmelden Link?

Beim Pentest wurde nach mehrfachem Login mit der gleichen E-Mail mehrere Personen im Raum angezeigt. Mehrfacher Login mit der gleichen Adresse sollte zur Abmeldung des vorherigen Aufenthalts führen.

Wenn etwas schief geht, nicht funktioniert oder bei alltemeinen Fragen sind ansprechpartner gut. Die sollten Auf der Weboberfläche vermerkt werden.

• Ansprechpartner für technische Probleme
• Ansprechpartner für Interessenten
• Email vom Contact Tracing
• Email auf Error Page
• Link für die Doku
• Links für das Github Repo

• DNS für Fully quallified hoste name
• Posfix konfiguration
• Fail2Ban anpassen
• Autoupdate anpassen

Die Cookie-Meldung verschwindet erst nachdem man die Seite neu lädt.

Getestet unter:
Chrome Version 87.0.4280.88
Firefox: 83.0 (64-Bit)
Safari (Iphone X)

• Soll man später mit den Gebäuden noch etwas tun können? (Suche über das Gebäude nach speziellen Räumen zb)

• Wie oft kann man mit einem Import rechnen: Evtl. Prüfung der CSV auf Korrektheit implementieren?

• Docker
• Als Auto-Start-Service einrichten
• Firewall
• Backups (für Postgres)
• Tomcat logs

Currently there is no way to manually enter the PIN code to enter a room. Additionally the pin code input (automatic or otherwise) is not yet verified and is missing Tests.

Es muss eine Möglichkeit geben alle Personen aus dem Raum auszuchecken

• Nutzer muss gewarnt werden was passiert
• Nutzer kann die Warnung nur schließen, wenn er bestätigt, dass er sich im klaren ist was er da macht
• Hinweis auf Rechtliche Folgen bei Missbrauch

versucht man sich auf bsw. https://ctt.hs-mannheim.de/r/A007a über 'Oder nur vorherigen Check-in beenden?' abzumelden ohne das der Nutzer existiert, wird zwar auf https://ctt.hs-mannheim.de/r/checkOut weitergeleitet aber ein 'Fehler-Code: 404', ohne Erklärung geworfen.

Aktuell werden einfach nur Dateien mit der Endung .csv angezeigt.
Der Nutzer kann das jedoch einfach ändern und somit beliebige Dateien hochladen. (Alles außer CSV gibt einen Fehler-Code:500)

Wäre es sinnvoll eine serverseitige Prüfung einzubauen ?

bzw. auch abweichende Groß- und Kleinschreibung

Kurze Info Mail an die Mailverteiler.

• Neue Türschilder, QR Code scannen für Corona Tracing
• Anleitung und mehr Infos unter www....
• Ausloggen nicht vergessen
• Papier und Excel listen nicht mehr nötig

Wenn bestehende Räume mit dem Upload einer neuen Liste überschrieben werden, wird deren PIN nicht beibehalten.

Branch: Main
Priorität :mittel
Aktuell enthält Home ein paar links und die Veranstaltungsliste. Für die Liste gibt es noch einen extra Link.

Für bessere Usabilltiy würde ich mir als Benutzer, der auf einen Link klickt wünschen schnell zu verstehen, worum es auf der Seite geht.

Ein paar erklärende einleitende Sätze währen toll ZB

• was ist das für eine webapp
• was kann die App (Erklärungssatz + Link)
• wieso Selbstbau, und von wem

Neues Template nutzten!

evtl.: http://www.aboutmyip.com/AboutMyXApp/Watchdog.do

https://uptimerobot.com/
Das wurde noch oft empfohlen und die kostenlose Version sollte uns reichen

Bitte diese Adresse dort eintragen: [email protected]

Server schmiert ab wenn ich auf das Home Icon klicke

2020-12-21 10:34:58.043 WARN 7740 --- [nio-8080-exec-6] o.h.engine.jdbc.spi.SqlExceptionHelper : SQL Error: 42122, SQLState: 42S22
2020-12-21 10:34:58.043 ERROR 7740 --- [nio-8080-exec-6] o.h.engine.jdbc.spi.SqlExceptionHelper : Column "VERANSTALT0_.RAUMKAPAZITAET" not found; SQL statement:
select veranstalt0_.id as col_0_0_, veranstalt0_.name as col_1_0_, veranstalt0_.raumkapazitaet as col_2_0_, veranstalt0_.datum as col_3_0_, veranstalt0_.angelegt_von as col_4_0_ from veranstaltung veranstalt0_ where veranstalt0_.datum>=? order by veranstalt0_.datum asc [42122-200]
2020-12-21 10:34:58.045 ERROR 7740 --- [nio-8080-exec-6] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcherServlet] threw exception
.....
HTTP Status 500 – Internal Server Error
ERROR 7740 --- [nio-8080-exec-6] o.a.c.c.C.[Tomcat].[localhost] : Exception Processing ErrorPage[errorCode=0, location=/error]

Branch: Main
Priorität: Hoch

Nach einchecken von 4 Testnutzern, in eine Veranstaltung mit Kapazität 3 wird bei keinem ein Kontakt gefunden/angezeigt.

."Für die angegebene Mail-Adresse konnten keine Kontakte gefunden werden"
Ich bin mir sicher das ging mal.

Aktuelles Reposatory bereinigen, so das es öffentlich gestellt werden kann, oder neues erstellen ohne git history. (.git Datei löschen)

• [ ]
• Klassen und Methoden Refactoren so dass Sprache Einheitlich Englisch ist
• Keine Hochschulspezifischen Dokumente
• Kein Privatsphären/Datenschutz relevanten Inhalte
• Installationsanweisung als Sepperate Datei, (Englisch)
• Inhalt von ReadMe zu "About" (auch auf englisch?)

Sollten wir den Zeitraum etwas einschenken, wann Veranstaltungen angelegt werden können?

Diese beiden Test veranstaltungen sind nicht unbedingt realistisch, oder?

"Herzlich willkommen zu warp kern test (10.03.2050, 11:02)"
"Herzlich willkommen zu HS bekommt ersten Computer (10.01.1960, 11:06)"

wollen wir Veranstaltungen in der Vergangenheit erlauben? kann sich da überhaupt jemand einchecken?

Opensource Zertifikate auf Github ins git Reposatory hochladen.

• Schilder druckfertig
• Satz "Informationen und Anleitung unter"
• URL mit Anleitung auf Schilder
• Zuständige benachrichtigen sagen
• stichprobenhaft prüfen ob schilder aufgehängt sind

Wird die Startseite mit dem Erklärbild direkt geladen, funktioniert das Laden. Wird dann allerdings ein falscher Raum eingegeben, wird die Fehlerseitse unter url.../r/... geladen, bzw. das Bild unter http://localhost:8080**/r/**example.png gesucht.

Morittz: Gegen die Fake-Einträge hatte ich noch die Idee einen z.B. 4 stelligen Pin auf die Printouts für jeden Raum zu schreiben, den man beim Check-in eingeben muss. Im QR wäre der natürlich integriert. Das verhindert zwar nicht alle Attacken, aber ich glaube kaum das sich jemand in der HS die Mühe macht, alle Zettel abklappert und die PINs Online leakt.

Tasks:

• PIN im backend #76
• PIN auf printouts #81
• PIN input und Überprüfung #79

Viele Corona Apps haben ein Feature "andere Teilnehmer eintragen".

Manche wollen das ein Admin nachträglich sehr viel Papier abtippt. :(

Andere erlauben das ein zweiter User in anderem Browser Tab eingetragen werden kann, und beide wieder aus checken. Ich kann nicht einschätzen wie gut/schlecht das mit den Session Tolkens/ cookies passt.

Wie realistisch ist dieses "Nice to have?"

• Sicheres, gehashtes Passwort generieren. (für Röper, Albrecht und Admin)
• Termin in ausmachen mit Ansprechpartner fürs Gesundheitsamt
• In Person treffen
• Passwort Übergabe
• Einarbeitung in die Software

Der Upload wird momentan nicht automatisch getestet.

Folgende Testfälle sollten mindestens abgedeckt werden:

• Erneutes hochladen der Liste überschreibt Kapazitäten, aber behält Raum PINs bei #90
• Hochladen einer Teilliste mit gemischt neuen und bestehenden Räumen
• Import sollte Batch Operation verwenden bzw nicht jeden Raum einzeln speichern
• Auch der neue Excel-Import sollte mitgetestet werden

Die Klasse und ihre Member sind noch auf Deutsch und sollten umbennant oder durch Refactoring der Kontaktverfolgung entfernt werden.

die aktuelle Lösung mit dem Popup-Menü ist anscheinend irritierend, wir sollten uns noch eine bessere Lösung überlegen (z.B.. mit Tabs für Student, Mitarbeiter, Gast)

Ideen:

1. sichtbare Radio-Buttons
2. Tabs?
3. Collapses? https://getbootstrap.com/docs/4.0/components/collapse/

Auf Branch Main
Home und CTT führen nach Home. Das ist gut. Alles was einen Login erfordert führt zur Login Page. ( Kontaktverfolgung, Login)

• Wieso ist Login für Veranstaltung anlegen?
• Was ist der unterschied zwischen QR code generieren für eine neu Veranstaltung, und einen QR Code anzeigen als Gastgeber?
• Wieso führt "Veranstaltungsliste" in der Navbar zum Login?

Mit bitte Namen/Postadresse oder Name/telefon einzutragen

Wenn man eine Veranstaltung anlegt und sich einträgt, bekommt man eine 500 Meldung zurück, wird aber als eingetragen bei der Veranstaltung registriert.

Kundenwunsch:
Andere Nutzer eintragen können.
-Vorschlag bei eigenem eintragen einen Knopf "andere Nutzer eintragen"

(Priorität niedriger als Rollout, Vorlesungsbeginn)