URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 81006
[ Назад ]

Исходное сообщение
"Релиз системы управления контентом TYPO3 4.6"
Отправлено opennews , 26-Окт-11 15:59

Увидел свет (http://typo3.org/news-single-view/?tx_newsimporter_pi1%...) релиз открытой системы управления web-контентом TYPO3 4.6.0 (http://typo3.org/download/release-notes/typo3-46/). Кроме реализации нескольких новшеств, новая версия примечательна проведением значительной чистки и удалением устаревшего кода. Начиная с текущего выпуска прекращена поддержка режима "safe mode" и версий PHP до 5.3, кроме того, признан неподдерживаемым браузер Internet Explorer 6. Для пользователей, которым важна поддержка устаревших версий PHP или web-браузеров рекомендуется использовать LTS-ветку TYPO3 4.5, поддержка которой продлится до 2014 года.

Ключевые улучшения (http://wiki.typo3.org/TYPO3_4.6):

- Переработанный механизм локализации, основанный на использовании формата XLIFF (.xlf), благодаря которому удалось существенно упростить процесс локализации и реализовать возможность рационального выбора варианта при отсутствии...
URL: http://typo3.org/news-single-view/?tx_newsimporter_pi1%...
Новость: http://www.opennet.me/opennews/art.shtml?num=32134

Содержание

Релиз системы управления контентом TYPO3 4.6,Polkan, 15:59 , 26-Окт-11
- Релиз системы управления контентом TYPO3 4.6,mma, 16:09 , 26-Окт-11
  - Релиз системы управления контентом TYPO3 4.6,Polkan, 12:16 , 27-Окт-11
    - Релиз системы управления контентом TYPO3 4.6,Michael Shigorin, 20:26 , 27-Окт-11
- Релиз системы управления контентом TYPO3 4.6,Michael Shigorin, 01:14 , 27-Окт-11
  - Релиз системы управления контентом TYPO3 4.6,Polkan, 12:14 , 27-Окт-11
    - Релиз системы управления контентом TYPO3 4.6,Michael Shigorin, 13:07 , 27-Окт-11
Релиз системы управления контентом TYPO3 4.6,xanten, 16:01 , 26-Окт-11
- Релиз системы управления контентом TYPO3 4.6,Аноним, 16:54 , 26-Окт-11
  - Релиз системы управления контентом TYPO3 4.6,vovans, 22:56 , 26-Окт-11
  - Релиз системы управления контентом TYPO3 4.6,Michael Shigorin, 01:11 , 27-Окт-11
    - Релиз системы управления контентом TYPO3 4.6,Аноним, 10:50 , 27-Окт-11
      - Релиз системы управления контентом TYPO3 4.6,Michael Shigorin, 13:04 , 27-Окт-11

Сообщения в этом обсуждении

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Polkan , 26-Окт-11 15:59

>>прекращена поддержка версий PHP до 5.3
сомнительное решение. много хостингов на 5.2 и ниже.

"Релиз системы управления контентом TYPO3 4.6"
Отправлено mma , 26-Окт-11 16:09

сомнительное решение юзать данную cms на шаред-хостинге.

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Polkan , 27-Окт-11 12:16

> сомнительное решение юзать данную cms на шаред-хостинге.
Почему? Что в ней такого особенного, что ей нужен отдельный сервер?

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Michael Shigorin , 27-Окт-11 20:26

>> сомнительное решение юзать данную cms на шаред-хостинге.
> Почему? Что в ней такого особенного, что ей нужен отдельный сервер?
Видел однажды -- кто-то объяснял, почему на TYPO3 нет смысла начинать делать личную страничку, картинкой с аэробусом и мопедом: мол, за хлебом лучше на мопеде, а вот через океан всё-таки аэробусом...
Ейный extension manager при некоторых операциях (кажется, в т.ч. обновлении списка экстешненов) может выжирать до 128M памяти (лет пять тому рекомендовали для его использования давать 32M, помнится). Для самой CMS может хватать гораздо меньшего объёма (не считая съедаемого ещё и БД), но нагрузка на CPU при этом всё равно чрезмерная для шаредов -- это если не говорить о том, что заморачиваться с нетривиальным движком ради данных, которые не жалко отдать проломившему соседний сайт, немного странно.
Это действительно развесистая система, на которую лучше готовиться сходу угробить с неделю для каких-нибудь результатов и с месяц на сколь-нибудь толковые -- а плюс в том, что позволяет она очень много без походов в код с напильником, а только расширениями, их конфигурацией и TypoScript'ом.
Например, мы как-то делали сайтик для своих нужд, где эстетично получалось заголовки страниц второго уровня "склеивать" из названий страниц первого и второго уровня -- что-то вроде такого псевдокода отдаваемой итоговой страницы с описанным заголовком "в гости" и родительским заголовком "Зайти":
{title}Зайти в гости{/title}
{nav}
Зайти:
{ul}
{li}в гости{/li}
{li}в магазин{/li}
{/ul}
{/nav}
При этом на одной из toplevel-страниц того маленького дерева конкретно в английском переводе так не вытанцовывалось (фраза не клеилась и второй уровень следовало рендерить без всяких склеек) -- пришлось описать исключение:
# special case for "contact info" english page
[globalVar = GP:L = 0]&&[globalVar = TSFE:id = NNN]
temp.headline >
temp.headline = TEXT
temp.headline.data = field:title
[global]
Дизайнер прониклась :)

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Michael Shigorin , 27-Окт-11 01:14

>>>прекращена поддержка версий PHP до 5.3
> сомнительное решение. много хостингов на 5.2 и ниже.
http://wiki.typo3.org/System_requirements

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Polkan , 27-Окт-11 12:14

И?
>>Middleware: PHP5.2 (Note: Starting with TYPO3 4.6, all releases require PHP 5.3!)

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Michael Shigorin , 27-Окт-11 13:07

> И?
И если критичен php5-5.2, то всё равно вполне разумно остановиться на LTS-выпуске 4.5. Собственно, я тоже пока не собираюсь на 4.6+ перебираться. :)

"Релиз системы управления контентом TYPO3 4.6"
Отправлено xanten , 26-Окт-11 16:01

А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется для серьезных проектов?

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Аноним , 26-Окт-11 16:54

> А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется
> для серьезных проектов?
Нет, не правда. TYPO3 наоборот один из примеров наплевательского отношения к безопасности, одно хранение паролей без хэширования чего стоит.
http://secunia.com/advisories/search/?search=typo3

"Релиз системы управления контентом TYPO3 4.6"
Отправлено vovans , 26-Окт-11 22:56

Вроде как, ядро системы у них достаточно безопасное. И давно не было никаких серьёзных дыр в нём.
А с плагинами надо быть везде поосторожнее.

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Michael Shigorin , 27-Окт-11 01:11

>> А правда, что TYPO3 соответствует промышленным стандартам безопасности
Этого не знаю.
>> и поэтому применяется для серьезных проектов?
Это -- правда.
> TYPO3 наоборот один из примеров наплевательского отношения к безопасности
А это был один из примеров наплевательского отношения к аргументации и передёргивания.
> одно хранение паролей без хэширования чего стоит.
Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали в core ещё в 4.3 (kb_md5fepw существовал и раньше, помнится; он и сейчас рекомендуется в TYPO3 Security Cookbook).
Хотя действительно непонятно, почему было не приурочить переезд на хэши по умолчанию в 4.0, раз уж изначально зачем-то сохраняли plaintext и дефолт трогать было сложно.
Что второе укажете в качестве свидетельства "наплевательского отношения к безопасности"?
> http://secunia.com/advisories/search/?search=typo3
Воспринимать стоит в контексте:
http://secunia.com/advisories/search/?search=typo3+core
http://secunia.com/advisories/search/?search=opencms
http://secunia.com/advisories/search/?search=drupal
http://secunia.com/advisories/search/?search=joomla
Для TYPO3 по состоянию на сегодня "The extensions list has been updated and now contains 5303 extension entries".
По существу: за этот год в typo3 core _было_ несколько уязвимостей (и это многовато), в typo3-announce@ писем по уязвимостям в third party extensions обычно несколько в месяц. Да, хорошо бы ещё лучше. Но это уже очень неплохо.

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Аноним , 27-Окт-11 10:50

>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности
> А это был один из примеров наплевательского отношения к аргументации и передёргивания.
Я привел ссылку из которой ясно вырисовываются такие казусы:
http://secunia.com/advisories/45557/
http://secunia.com/advisories/35770/
Если для вас ежегодное обнаружение SQL injection не аргумент....
>> одно хранение паролей без хэширования чего стоит.
> Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали
> в core ещё в 4.3
Это и есть наплевательское отношение к безопасности, когда дыры латают по факту их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.

"Релиз системы управления контентом TYPO3 4.6"
Отправлено Michael Shigorin , 27-Окт-11 13:04

>>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности
>> А это был один из примеров наплевательского отношения к аргументации и передёргивания.
> Я привел ссылку из которой ясно вырисовываются такие казусы:
Именно что казусы -- Вы хоть обратили внимание на строчки вида "Successful exploitation of this vulnerability requires"?
> http://secunia.com/advisories/45557/
Здесь самое неприятное -- infoleak в css_styled_content; с browse_links wizard не сталкивался, остальное требует либо доступа к бэкенду (т.е. заведомо повышенный уровень привилегий и журналирования), либо экзотических случаев вроде the victim uses Internet Explorer 6 (либо некрасиво, но малоопасно).
> http://secunia.com/advisories/35770/
Вот здесь действительно был sql injection, причём опять же только при условии доступа к бэкенду.  Поэтому самым неприятным IMHO тут является не он, а пункт про click enlarge (если оно используется).  Остальное опять же требует доступа к бэкенду либо не столь существенно (хотя всё равно хорошо, что нашли и заткнули).
> Если для вас ежегодное
Можно подробнее?  По моим данным, Вы только что соврали.
> обнаружение SQL injection не аргумент....
Это аргумент, но не того веса, который Вы ему пытаетесь приписать.  Поскольку я по случаю всё-таки _читаю_ эти самые анонсы, причём с 2004 года, и _практически_ знаю, сколько раз за эти годы приходилось подпрыгивать и что-то оперативно трогать в TYPO3.
> Это и есть наплевательское отношение к безопасности, когда дыры латают по факту
> их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.
Вы только что плюнули в лицо OpenBSD'шникам, которые свои две ремотных дырки заткнули по факту обнаружения (поскольку вычитка практикуется в обоих проектах).
А теперь посмотрим на реальное состояние дел.
* http://typo3.org/teams/security/
sec team есть и работает, в т.ч. над вычиткой, исправлением и рекомендациями
* http://news.typo3.org/news/article/important-security-bullet.../
для критической дырки 2009 года выпустили обновления для 4.x и патчи для 3.x (вплоть до 3.3 образца 2002, что ли), которые заранее анонсировали с тем, чтобы было возможно спланировать работы
* http://www.slideshare.net/hepi/developing-extensions-with-se...
работа с разработчиками расширений также идёт (помимо слоя работы с БД, который в т.ч. помогает от sql injection'ов)
* http://joind.in/talk/view/3546
...и не только с разработчиками, а и с развёртывающими/сопровождающими сисадминами/вебмастерами тоже.
Можно поинтересоваться политикой безопасности по Вашим проектам, рекомендациями разработчикам и администраторам?  Как Вы работаете с информацией об уязвимостях?  Как организовывается выпуск исправлений и их анонсирование?  Что предпринято архитектурно и организационно для минимизации возможности выпуска кода с дырками?  Если сами ничего такого не делаете, а докапываетесь к поставщику -- хорошо, тогда приведите свой эталон, я постараюсь донести до тайпотришников предложения по существу.
Из всего, что Вы высказали, уместна претензия по plaintext password storage (хотя и тоже преувеличена); в остальном занимаетесь выдуванием слонов из мухи.  Обиженный джумлятник, что ли? :)  Ну так там всё настолько грустно в этом разрезе, что сравнивать просто нечего.