Legfejlettebb, legbiztonságosabb all-in-one webes megoldás

Fejlesztés

Sziasztok!

Egyszer egy szuper-nehézsúlyú LAMP-os ismerős mondta, hogy az előre elkészített megoldások szarok, minden feladat más és más, ennek megfelelően egyedileg kell fejleszteni, a legalkalmasabb keretrendszerből kiindulva. Ennek már sok-sok éve, alighanem ma már máshogy gondolná. Megnéztem néhány nagyon komoly szervezet webhelyét, ahol alighanem nem sajnálnák a pénz egy saját CMS-re, de mégis valamilyen meglévőt használnak, hogy ezt hogyan próbálják elfedni. A dolog hasonló ahhoz, hogy a legrosszabb, amikor valaki valamilyen egyedi kriptográfiai megoldást akar kifejleszteni: próbálkozni lehet, csak nem valószínű, hogy egy kis csapat jobbat tud összelőni az SSL-nél és folyamatosan a világ szeme előtt lévő társainál például, a security by obscurityval apelláló megoldások pedig gyakorlatilag mind elbuktak.

Azzal kapcsolatban vagyok kíváncsi a véleményetekre, hogy szerintetek melyik a legbiztonságosabb, legfejlettebb, olyan webes rendszer, ami elérhető community supportos változatban, de alapvetően ingyenesen is, ezen kívül több, mint egy hagyományos CMS, akár kialakítható vele egy céges intranet vagy ERP is akár.

A megfejtést nyilván nem a jól ismertek közt kell keresni, tippem persze van, de most a Ti véleményetek érdekel. Szóval?

  • 7690 megtekintés

( dotnetlinux | 2016. 05. 20., p – 12:01 )

"ezen kívül több, mint egy hagyományos CMS": pont hogy kevesebb, mint egy hagyományos CMS, mert csak keretrendszer: bootstrap.

Ha több kell, mint egy sima CMS, akkor már ott a vállalati SharePoint (viccnek szántan egy *nix fórumon) a maga egyedi jellemzőivel:
- oktatás
- min. 20-25 fős vállalat, benne 3 IT-s
- "ide nyomj, majd oda" működés

( sz332 v | 2016. 05. 20., p – 12:05 )

framework != cms

Céges intranet esetén azon érdemes elgondolkodni, hogy milyen rendszerekkel akarjátok integrálni. Én egy nyilvánosan futó, bárki által elérhető CMS-től
jobban félnék, mint mondjuk az intraneten lévőtől. Illetve még annyit, hogy sok rendszernél a dolog ott bukik meg, amikor fognak egy CMS-t, ami egyébként
tök jó security szempontjából, aztán beleraknak valami plugint, ami meg lyukas, mint egy szita...

( Pene | 2016. 05. 20., p – 18:22 )

pedig szerintem a megfejtést a jól ismertek között kell keresni, és a végén az lesz, hogy megint a drupalra esik a választás. a learning curve "meredek", folyton karban kell tartani (mint amúgy minden mást is, akár os, akár nem), de úgy alakítod, ahogy akarod. eszméletlen komplex rendszereket lehet vele létrehozni vagy épp rákötni. teljesen véletlenül bukkantam erre a cikkre tegnap, amiből képet kaphatsz arról, hogy ezen cms központi rendszerére, ami természetesen drupal-alapú, mi minden van hozzácsatolva: http://joshuami.com/2016/05/18/the-drupalorg-complexity/

de akár azokat a rendszereket is említhetném, amik közül párat mi is fejlesztünk. mindennapos, hogy több száz aws instance-t magába foglaló rendszereken mókolunk, amiknél persze, hogy a drupal a közös pont (akár úgy, hogy ilyen éles oldalak vagy azok automata tesztjei futnak rajtuk, akár úgy, hogy dr-alapú a kezelőfelület stb.). jól megfér mindennel, és szinte mindenre alkalmas. amire meg nem, azt megcsináljuk hozzá, vagy mellétesszük azt a technológiát, ami kiegészíti.

szóval szerintem egy bizonyos mérethatár és komplexitás felett igencsak leszűkülnek a lehetőségeitek, és alig marad olyan versenytársa a drupalnak, ami ténylegesen szóba jöhet.

szerk.: amúgy ingyenes all-in-one megoldást nem fogsz találni szvsz. mindig kiderül, hogy kell még egy rakat olyan feature, ami nincs még egyáltalán vagy megfelelően implementálva az adott rendszerben (akár egy projekt menedzser rendszer a kiindulópont (mondjuk redmine), akár egy cms (wp, dr és társaik), akár egy verziókezelő (gitlab-ce) stb.).

szerk2.: még egy gondolat: talán a helyedben körbenéznék célirányosan a nem php-alapú termékek között (mivel határozott véleményem az, hogy php alapokon a fenti mondataim megállják a helyüket), ill. ezt kiegészíteném azzal is, hogy nem csak cms irányból indulnék el. ha a leghangsúlyosabb rendszerelem az erp lesz, akkor lehet az is a kiindulópont (aztán majd fejlesztetek hozzá/tesztek mellé blogot, verziókezelőt, kiskutyát, amire éppen szükség van).

( veresh | 2016. 05. 21., szo – 13:08 )

Biztos lesznek, akik majd a WP-t, Joomlat míg mások a Drupalt fogják javasolni, de biztos lesznek ettől eltérők is.
Biztonság szempontjából pedig ugyan olyan fontos a operációs rendszer, webszerver megfelelő beállítása, frissítése, mint a rajta futó CMS, és a CMS folyamatos frissítése.
Álláspontom szerint minden CMS-ben vannak és lesznek is hibák, és minél nagyobb egy CMS felhasználói tábora, annál inkább megéri majd hibákat keresni a kódban, főleg annak tükrében, hogy nagyon sok CMS alapú weboldal van, amit egyszer megcsinálnak, átadnak, de a megrendelő a későbbi frissítésre már nem hajlandó áldozni. A kérdés nem az, hogy feltörik-e az ilyen weboldalakat, hanem az, hogy mikor és ezt a tulajdonosok észreveszik-e.
Nem igazol semmit, de ha a Fehér Háznak megfelel egy Drupal, akkor szerintem neked is, a többi már rajtad is múlik.

Nem igazol semmit, de ha a Fehér Háznak megfelel egy Drupal

na de oket folyamatosan auditaljak. Az oroszok, meg a kinaiak...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

( janoszen v | 2016. 05. 21., szo – 18:30 )

Én ugyan nem nevezném magam szuper-nehézsúlyú LAMP-osnak, de csináltam már ezt-azt. Szerintem, induljunk el a kályhától.

Release ciklus

Bármilyen eszközt használsz, ha framework, ha kész CMS, időnként szembe jön egy visszafele nem kompatibilis változás. Jobb esetben ez major verzióknál jön szembe, és egy-egy major verzió 2-3 évig supportált. CMS rendszer esetén ez annyiban nehezíti a helyzetet, hogy szinte lehetetlen leválasztani a hozzá írt custom pluginek működését a CMS lelki világáról. Framework esetén erre van esélyed, de le kell mondani a framework jónéhány kényelmi funkciójáról. Lényeg a lényeg, nem úszod meg, hogy időnként megigazgass néhány csavart és fogaskereket, értelemszerűen ezt jobb esetben előre tervezhető módon szeretné az ember megcsinálni.

Security

Megint csak tök mindegy, hogy framework vagy CMS pluginekkel, mindkettő third party szoftvernek számít, ergó jobb, ha valaki figyeli a security levlistákat, git commitokat, stb. Ha saját magad is fejlesztesz bele, akkor természetesen kénytelen vagy a saját szoftveredet QA-zni. Itt érdemes figyelembe venni, hogy amíg a frameworkök és CMS-ek core rendszerei általában viszonylag szigorú QA folyamat alá esnek, a random plugineknél / külső moduloknál viharos sebességgel csökken a kód minősége. Vannak jók, de nagyon oda kell nézni. Framework moduloknál általában jó indukátor, hogy ha vannak tesztek a modulhoz, CMS rendszereknél nincs nagyon más opció, mint belenézni a kódba, hogy mennyire hányadék.

Bővíthetőség

Frameworköknél nyilván azt csinálsz, amit akarsz. Vannak ugyan kész modulok, viszont az összedrótozást, illetve a template méretre szabását kénytelen vagy saját magad megoldani. Ezzel szemben a CMS rendszerek általában fix struktúrákkal, és adott esetben templatekkel rendelkeznek a népszerűbb tartalomtípusokhoz (pl. blog), viszont ezek testre szabása, illetve az egyedi tartalom típusok begyógyítása több meló lehet.

Kezelhetőség

Ebben a tekintetben a CMS rendszerek általában vezetnek. Van kész admin felület, végig szívták már azokat a usability problémákat, amiket valamilyen szinten a frameworköknél még előtted állnak. Cserébe némelyik CMS rendszer képes az ordításig felhergelni pl. azzal, hogy az általad bemásolt HTML-be belerondít.

Végeredmény

Egyiknek sincs egyértelmű előnye a másik fölött. Egy jó CMS köröket ver egy szar frameworkre, és ugyanez fordítva is igaz. Szerintem, az alapján dönts, hogy mihez van szakértelmed üzemeltetni, hozzá fejleszteni, illetve azt is vedd figyelembe, hogy mennyi custom feature-öd lesz. Ha semmit nem tudsz a CMS-ekből használni, akkor kár a gőzért. Ha egy céges blogot szeretnél, akkor a saját fejlesztés frameworkkel overkill.

--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT