Melyik portálmotort?

Web, mail, IRC, IM, hálózatok

Üdv!

Ezen csodálatos nap csodálatos késő délutánján fog elkövetkezni, amire már régóta úgy vártam: el kell kezdenem összetákolni egy nonprofit [viszont annál nagyobb] szervezetnek egy honlapot [értelemszerűen ingyen], ahol
:: be tudnak mutatkozni;
:: hírszerűen ki tudják tenni az aktuális programjaikat;
:: be tudnak jelentkezni;
:: tudnak fórumozni;
:: tudnak fájlokat fel/letölteni;
:: ki is néz valahogy azért.

Az elvárások nagyjából ennyiben véget is értek, némiképpen azonban komplikálja a dolgot, hogy miután elkészül, én k×rvára nem akarok vele már foglalkozni majd [esetleg esetenként], úgyhogy jó lenne a dolgot úgy megoldani, hogy az egységsugarú mezei egérrelpöttyőgős bölcsészeknek [akik javarészt használni fogják] ne okozzon gondot új hírt hozzáadni, új regisztrációt elfogadni, stb., még angolul sem szeretnek tudni [pedig tudnak], fene egy körülményes népség...

Miután pénzem nem származik belőle [hátha jó referenciának?], olyan nagyon sokat nem akarok vele dolgozni. Mit ajánlotok? Érdemes ezt megírni, vagy éppen jó lesz valamelyik előre elkészített motor? Esetleg Google és hegesztés? Tényleg az a fő-fő-fő szempont, hogy bárki tudja kezelni, az is, aki nem látott még böngészőt, esetleg az sem tudja, mi az [vagy esetleg látott már, csak nem tudja, mi az].

Egyelőre személy szerint a Drupal-lal szemezek, de lehet, hogy az bonyolult lesz az egyszerű emberek egyszerű kis lelkivilágának.

  • 1554 megtekintés

Jó, de mire kikerül az exploit, már letöltheted a drupal javítást; ráadásul a core-ban nagyon komoly minőségellenőrzés van (nem nagyon láttam még olyan FLOSS projektet, ahol ennyire komolyan vennék a funkcionális és biztonsági tesztelést). A contrib modulok között meg vannak elég gyengék, de ez van. Amit kért a topicnyitó, arra meg a core elég, max egy zen témát rádob (egyszerűbb úgy sminkelni).

Részemről Drupal + 1. Pont erre való. Mincsenek 128x128-as csillogó ikonok, de legalább működik, nem lyukas, és rendesen fejlesztik.

Hát jó, te akartad. Napi szinten beszélek a Joomla! Security Strike Team vezetőjével, így még a javítás előtt értesülök az esetleges biztonsági sebezhetőségekről. Gondolom te is naprakész információkkal rendelkezel.

Súlyos (critical) biztonsági hiba legutoljára augusztus 12-én volt, kevesebb mint 3 óra alatt kiadták hozzá a javítást. Részleteket itt találod.

Nézzük meg az előző biztonsági kiadás sebezhetőségeit. Két ilyen volt, egyik sem súlyos, hanem moderate sebezhetőség. Az első csak a szerző és szerző feletti csoportokat érinti (tehát az egyszerű regisztrált felhasználókat nem, a vendégeket meg végképp nem), és őket is csak akkor, ha a webhely adminisztrátora hanyag volt, mert nem végzett el egy beállítást. Leegyszerűsítve, csak olyas valaki tudott kárt tenni az oldalban, akinek az adminisztrátor regisztráltnál több jogot adott, és ő is csak akkor, ha az adminisztrátor lusta volt beállítani a szűrést. A második a weblinkek komponens érinti. Ennél a sebezhetőségnél csak a regisztrált és regisztrált feletti jogosultsággal rendelkező felhasználók tudnak kárt okozni, viszont ez sem súlyos hiba, ráadásul nem is mindenki használja ezt a komponenst.

Tehát ezek után akkor kérlek tájékoztass azokról a hetente felmerülő súlyos biztonsági hibákról, hogy javítani tudjuk őket.

oszinten szolva nem hasznaltam meg se joomlat se drupalt (szemelyre szabott megoldasok hive vagyok), de a typo3-at kifejezetten korulmenyesnek talaltam, ezek szerint a tobbi meg gazabb? :) (Jo mondjuk azt hogy egyszeru tomegoldalakat gyartsunk beepitet komponensekkel azt nem is nagyon eroltettem hanem egyeni modulokat kellett csinalnom bele de az eleg maceras volt)

( GergA84 v | 2009. 01. 07., sze – 20:15 )

a Topichoz kapcsolodoan melyik a legbiztonsagosabb? drupal, joomla... ?( wordpress kilove azert komolyabb kell )

A Drupalt ismerem behatóbban, a core-ról azt tudom mondani, hogy:
1.) eleve ki van zárva az SQL injection, mert van db_query(), ami escape-el
2.) ahhoz, hogy egy patch bekerüljön, egy halom funkcionális teszten (igen, szép lassan a PHP-s körökben is kezd divat lenni) kell átmenni
3.) van pár olyan ember, akinek a munkája (==fizetett fejlesztő) kifejezetten a mélyreható tesztelés (pl ott van Barry Jaspan, aki mindenféle durván patchelt [security hole kereső cuccok] PHP-kkel futtatja és elemzi, általában rengeteg sebezhetőséget kiszűr és javít, még mielőtt bárki megtalálná).

( Dwokfur v | 2009. 01. 08., cs – 09:40 )

tikiwiki

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."