The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз системы управления контентом TYPO3 4.6"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз системы управления контентом TYPO3 4.6"  +/
Сообщение от opennews (ok) on 26-Окт-11, 15:59 
Увидел свет (http://typo3.org/news-single-view/?tx_newsimporter_pi1%...) релиз открытой системы управления web-контентом TYPO3 4.6.0 (http://typo3.org/download/release-notes/typo3-46/). Кроме реализации нескольких новшеств, новая версия примечательна проведением значительной чистки и удалением устаревшего кода. Начиная с текущего выпуска прекращена поддержка режима "safe mode" и версий PHP до 5.3, кроме того, признан неподдерживаемым браузер Internet Explorer 6. Для пользователей, которым важна поддержка устаревших версий PHP или web-браузеров рекомендуется использовать LTS-ветку TYPO3 4.5, поддержка которой продлится до 2014 года.


Ключевые улучшения (http://wiki.typo3.org/TYPO3_4.6):


-  Переработанный механизм локализации, основанный на использовании формата XLIFF (.xlf), благодаря которому удалось существенно упростить процесс локализации и реализовать возможность рационального выбора варианта при отсутствии...

URL: http://typo3.org/news-single-view/?tx_newsimporter_pi1%...
Новость: http://www.opennet.me/opennews/art.shtml?num=32134

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз системы управления контентом TYPO3 4.6"  +/
Сообщение от Polkan (ok) on 26-Окт-11, 15:59 
>>прекращена поддержка версий PHP до 5.3

сомнительное решение. много хостингов на 5.2 и ниже.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз системы управления контентом TYPO3 4.6"  +2 +/
Сообщение от mma on 26-Окт-11, 16:09 
сомнительное решение юзать данную cms на шаред-хостинге.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Релиз системы управления контентом TYPO3 4.6"  +/
Сообщение от Polkan (ok) on 27-Окт-11, 12:16 
> сомнительное решение юзать данную cms на шаред-хостинге.

Почему? Что в ней такого особенного, что ей нужен отдельный сервер?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Релиз системы управления контентом TYPO3 4.6"  +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 20:26 
>> сомнительное решение юзать данную cms на шаред-хостинге.
> Почему? Что в ней такого особенного, что ей нужен отдельный сервер?

Видел однажды -- кто-то объяснял, почему на TYPO3 нет смысла начинать делать личную страничку, картинкой с аэробусом и мопедом: мол, за хлебом лучше на мопеде, а вот через океан всё-таки аэробусом...

Ейный extension manager при некоторых операциях (кажется, в т.ч. обновлении списка экстешненов) может выжирать до 128M памяти (лет пять тому рекомендовали для его использования давать 32M, помнится).  Для самой CMS может хватать гораздо меньшего объёма (не считая съедаемого ещё и БД), но нагрузка на CPU при этом всё равно чрезмерная для шаредов -- это если не говорить о том, что заморачиваться с нетривиальным движком ради данных, которые не жалко отдать проломившему соседний сайт, немного странно.

Это действительно развесистая система, на которую лучше готовиться сходу угробить с неделю для каких-нибудь результатов и с месяц на сколь-нибудь толковые -- а плюс в том, что позволяет она очень много без походов в код с напильником, а только расширениями, их конфигурацией и TypoScript'ом.

Например, мы как-то делали сайтик для своих нужд, где эстетично получалось заголовки страниц второго уровня "склеивать" из названий страниц первого и второго уровня -- что-то вроде такого псевдокода отдаваемой итоговой страницы с описанным заголовком "в гости" и родительским заголовком "Зайти":


{title}Зайти в гости{/title}
{nav}
Зайти:
{ul}
{li}в гости{/li}
{li}в магазин{/li}
{/ul}
{/nav}

При этом на одной из toplevel-страниц того маленького дерева конкретно в английском переводе так не вытанцовывалось (фраза не клеилась и второй уровень следовало рендерить без всяких склеек) -- пришлось описать исключение:
# special case for "contact info" english page
[globalVar = GP:L = 0]&&[globalVar = TSFE:id = NNN]
temp.headline >
temp.headline = TEXT
temp.headline.data = field:title
[global]

Дизайнер прониклась :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

8. "Релиз системы управления контентом TYPO3 4.6"  +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 01:14 
>>>прекращена поддержка версий PHP до 5.3
> сомнительное решение. много хостингов на 5.2 и ниже.

http://wiki.typo3.org/System_requirements

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Релиз системы управления контентом TYPO3 4.6"  +/
Сообщение от Polkan (ok) on 27-Окт-11, 12:14 
И?
>>Middleware: PHP5.2 (Note: Starting with TYPO3 4.6, all releases require PHP 5.3!)
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Релиз системы управления контентом TYPO3 4.6"  +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 13:07 
> И?

И если критичен php5-5.2, то всё равно вполне разумно остановиться на LTS-выпуске 4.5.  Собственно, я тоже пока не собираюсь на 4.6+ перебираться. :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

2. "Релиз системы управления контентом TYPO3 4.6"  +/
Сообщение от xanten on 26-Окт-11, 16:01 
А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется для серьезных проектов?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Релиз системы управления контентом TYPO3 4.6"  –1 +/
Сообщение от Аноним (??) on 26-Окт-11, 16:54 
> А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется
> для серьезных проектов?

Нет, не правда. TYPO3 наоборот один из примеров наплевательского отношения к безопасности, одно хранение паролей без хэширования чего стоит.
http://secunia.com/advisories/search/?search=typo3

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Релиз системы управления контентом TYPO3 4.6"  +1 +/
Сообщение от vovans (ok) on 26-Окт-11, 22:56 
Вроде как, ядро системы у них достаточно безопасное. И давно не было никаких серьёзных дыр в нём.

А с плагинами надо быть везде поосторожнее.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Релиз системы управления контентом TYPO3 4.6"  –1 +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 01:11 
>> А правда, что TYPO3 соответствует промышленным стандартам безопасности

Этого не знаю.

>> и поэтому применяется для серьезных проектов?

Это -- правда.

> TYPO3 наоборот один из примеров наплевательского отношения к безопасности

А это был один из примеров наплевательского отношения к аргументации и передёргивания.

> одно хранение паролей без хэширования чего стоит.

Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали в core ещё в 4.3 (kb_md5fepw существовал и раньше, помнится; он и сейчас рекомендуется в TYPO3 Security Cookbook).

Хотя действительно непонятно, почему было не приурочить переезд на хэши по умолчанию в 4.0, раз уж изначально зачем-то сохраняли plaintext и дефолт трогать было сложно.

Что второе укажете в качестве свидетельства "наплевательского отношения к безопасности"?

> http://secunia.com/advisories/search/?search=typo3

Воспринимать стоит в контексте:
http://secunia.com/advisories/search/?search=typo3+core
http://secunia.com/advisories/search/?search=opencms
http://secunia.com/advisories/search/?search=drupal
http://secunia.com/advisories/search/?search=joomla
Для TYPO3 по состоянию на сегодня "The extensions list has been updated and now contains 5303 extension entries".

По существу: за этот год в typo3 core _было_ несколько уязвимостей (и это многовато), в typo3-announce@ писем по уязвимостям в third party extensions обычно несколько в месяц.  Да, хорошо бы ещё лучше.  Но это уже очень неплохо.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Релиз системы управления контентом TYPO3 4.6"  –1 +/
Сообщение от Аноним (??) on 27-Окт-11, 10:50 
>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности
> А это был один из примеров наплевательского отношения к аргументации и передёргивания.

Я привел ссылку из которой ясно вырисовываются такие казусы:
http://secunia.com/advisories/45557/
http://secunia.com/advisories/35770/

Если для вас ежегодное обнаружение SQL injection не аргумент....

>> одно хранение паролей без хэширования чего стоит.
> Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали
> в core ещё в 4.3

Это и есть наплевательское отношение к безопасности, когда дыры латают по факту их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Релиз системы управления контентом TYPO3 4.6"  +1 +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 13:04 
>>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности
>> А это был один из примеров наплевательского отношения к аргументации и передёргивания.
> Я привел ссылку из которой ясно вырисовываются такие казусы:

Именно что казусы -- Вы хоть обратили внимание на строчки вида "Successful exploitation of this vulnerability requires"?  

> http://secunia.com/advisories/45557/

Здесь самое неприятное -- infoleak в css_styled_content; с browse_links wizard не сталкивался, остальное требует либо доступа к бэкенду (т.е. заведомо повышенный уровень привилегий и журналирования), либо экзотических случаев вроде the victim uses Internet Explorer 6 (либо некрасиво, но малоопасно).

> http://secunia.com/advisories/35770/

Вот здесь действительно был sql injection, причём опять же только при условии доступа к бэкенду.  Поэтому самым неприятным IMHO тут является не он, а пункт про click enlarge (если оно используется).  Остальное опять же требует доступа к бэкенду либо не столь существенно (хотя всё равно хорошо, что нашли и заткнули).

> Если для вас ежегодное

Можно подробнее?  По моим данным, Вы только что соврали.

> обнаружение SQL injection не аргумент....

Это аргумент, но не того веса, который Вы ему пытаетесь приписать.  Поскольку я по случаю всё-таки _читаю_ эти самые анонсы, причём с 2004 года, и _практически_ знаю, сколько раз за эти годы приходилось подпрыгивать и что-то оперативно трогать в TYPO3.

> Это и есть наплевательское отношение к безопасности, когда дыры латают по факту
> их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.

Вы только что плюнули в лицо OpenBSD'шникам, которые свои две ремотных дырки заткнули по факту обнаружения (поскольку вычитка практикуется в обоих проектах).

А теперь посмотрим на реальное состояние дел.

* http://typo3.org/teams/security/
sec team есть и работает, в т.ч. над вычиткой, исправлением и рекомендациями

* http://news.typo3.org/news/article/important-security-bullet.../
для критической дырки 2009 года выпустили обновления для 4.x и патчи для 3.x (вплоть до 3.3 образца 2002, что ли), которые заранее анонсировали с тем, чтобы было возможно спланировать работы

* http://www.slideshare.net/hepi/developing-extensions-with-se...
работа с разработчиками расширений также идёт (помимо слоя работы с БД, который в т.ч. помогает от sql injection'ов)

* http://joind.in/talk/view/3546
...и не только с разработчиками, а и с развёртывающими/сопровождающими сисадминами/вебмастерами тоже.

Можно поинтересоваться политикой безопасности по Вашим проектам, рекомендациями разработчикам и администраторам?  Как Вы работаете с информацией об уязвимостях?  Как организовывается выпуск исправлений и их анонсирование?  Что предпринято архитектурно и организационно для минимизации возможности выпуска кода с дырками?  Если сами ничего такого не делаете, а докапываетесь к поставщику -- хорошо, тогда приведите свой эталон, я постараюсь донести до тайпотришников предложения по существу.

Из всего, что Вы высказали, уместна претензия по plaintext password storage (хотя и тоже преувеличена); в остальном занимаетесь выдуванием слонов из мухи.  Обиженный джумлятник, что ли? :)  Ну так там всё настолько грустно в этом разрезе, что сравнивать просто нечего.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру