forum.opennet.ru - "Релиз системы управления контентом TYPO3 4.6" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Релиз системы управления контентом TYPO3 4.6"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз системы управления контентом TYPO3 4.6"	+/–
Сообщение от opennews (ok) on 26-Окт-11, 15:59
Увидел свет (http://typo3.org/news-single-view/?tx_newsimporter_pi1%...) релиз открытой системы управления web-контентом TYPO3 4.6.0 (http://typo3.org/download/release-notes/typo3-46/). Кроме реализации нескольких новшеств, новая версия примечательна проведением значительной чистки и удалением устаревшего кода. Начиная с текущего выпуска прекращена поддержка режима "safe mode" и версий PHP до 5.3, кроме того, признан неподдерживаемым браузер Internet Explorer 6. Для пользователей, которым важна поддержка устаревших версий PHP или web-браузеров рекомендуется использовать LTS-ветку TYPO3 4.5, поддержка которой продлится до 2014 года. Ключевые улучшения (http://wiki.typo3.org/TYPO3_4.6): - Переработанный механизм локализации, основанный на использовании формата XLIFF (.xlf), благодаря которому удалось существенно упростить процесс локализации и реализовать возможность рационального выбора варианта при отсутствии... URL: http://typo3.org/news-single-view/?tx_newsimporter_pi1%... Новость: http://www.opennet.ru/opennews/art.shtml?num=32134
Ответить \| Правка \| Cообщить модератору

Оглавление

Релиз системы управления контентом TYPO3 4.6, Polkan, 15:59 , 26-Окт-11, (1)

Релиз системы управления контентом TYPO3 4.6, mma, 16:09 , 26-Окт-11, (3) +2

Релиз системы управления контентом TYPO3 4.6, Polkan, 12:16 , 27-Окт-11, (12)

Релиз системы управления контентом TYPO3 4.6, Michael Shigorin, 20:26 , 27-Окт-11, (15)

Релиз системы управления контентом TYPO3 4.6, Michael Shigorin, 01:14 , 27-Окт-11, (8)

Релиз системы управления контентом TYPO3 4.6, Polkan, 12:14 , 27-Окт-11, (11)

Релиз системы управления контентом TYPO3 4.6, Michael Shigorin, 13:07 , 27-Окт-11, (14)

Релиз системы управления контентом TYPO3 4.6, xanten, 16:01 , 26-Окт-11, (2)

Релиз системы управления контентом TYPO3 4.6, Аноним, 16:54 , 26-Окт-11, (5) –1

Релиз системы управления контентом TYPO3 4.6, vovans, 22:56 , 26-Окт-11, (6) +1
Релиз системы управления контентом TYPO3 4.6, Michael Shigorin, 01:11 , 27-Окт-11, (7) –1

Релиз системы управления контентом TYPO3 4.6, Аноним, 10:50 , 27-Окт-11, (10) –1

Релиз системы управления контентом TYPO3 4.6, Michael Shigorin, 13:04 , 27-Окт-11, (13) +1

Сообщения по теме [Сортировка по времени | RSS]

1. "Релиз системы управления контентом TYPO3 4.6" +/–

Сообщение от Polkan (ok) on 26-Окт-11, 15:59

>>прекращена поддержка версий PHP до 5.3
сомнительное решение. много хостингов на 5.2 и ниже.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз системы управления контентом TYPO3 4.6" +2 +/–

Сообщение от mma on 26-Окт-11, 16:09

сомнительное решение юзать данную cms на шаред-хостинге.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Релиз системы управления контентом TYPO3 4.6" +/–

Сообщение от Polkan (ok) on 27-Окт-11, 12:16

> сомнительное решение юзать данную cms на шаред-хостинге.
Почему? Что в ней такого особенного, что ей нужен отдельный сервер?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Релиз системы управления контентом TYPO3 4.6" +/–

Сообщение от Michael Shigorin (ok) on 27-Окт-11, 20:26

>> сомнительное решение юзать данную cms на шаред-хостинге.
> Почему? Что в ней такого особенного, что ей нужен отдельный сервер?
Видел однажды -- кто-то объяснял, почему на TYPO3 нет смысла начинать делать личную страничку, картинкой с аэробусом и мопедом: мол, за хлебом лучше на мопеде, а вот через океан всё-таки аэробусом...
Ейный extension manager при некоторых операциях (кажется, в т.ч. обновлении списка экстешненов) может выжирать до 128M памяти (лет пять тому рекомендовали для его использования давать 32M, помнится).  Для самой CMS может хватать гораздо меньшего объёма (не считая съедаемого ещё и БД), но нагрузка на CPU при этом всё равно чрезмерная для шаредов -- это если не говорить о том, что заморачиваться с нетривиальным движком ради данных, которые не жалко отдать проломившему соседний сайт, немного странно.
Это действительно развесистая система, на которую лучше готовиться сходу угробить с неделю для каких-нибудь результатов и с месяц на сколь-нибудь толковые -- а плюс в том, что позволяет она очень много без походов в код с напильником, а только расширениями, их конфигурацией и TypoScript'ом.
Например, мы как-то делали сайтик для своих нужд, где эстетично получалось заголовки страниц второго уровня "склеивать" из названий страниц первого и второго уровня -- что-то вроде такого псевдокода отдаваемой итоговой страницы с описанным заголовком "в гости" и родительским заголовком "Зайти":

{title}Зайти в гости{/title}
{nav}
Зайти:
{ul}
{li}в гости{/li}
{li}в магазин{/li}
{/ul}
{/nav}

При этом на одной из toplevel-страниц того маленького дерева конкретно в английском переводе так не вытанцовывалось (фраза не клеилась и второй уровень следовало рендерить без всяких склеек) -- пришлось описать исключение:
# special case for "contact info" english page
[globalVar = GP:L = 0]&&[globalVar = TSFE:id = NNN]
temp.headline >
temp.headline = TEXT
temp.headline.data = field:title
[global]
Дизайнер прониклась :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

8. "Релиз системы управления контентом TYPO3 4.6" +/–

Сообщение от Michael Shigorin (ok) on 27-Окт-11, 01:14

>>>прекращена поддержка версий PHP до 5.3
> сомнительное решение. много хостингов на 5.2 и ниже.
http://wiki.typo3.org/System_requirements

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Релиз системы управления контентом TYPO3 4.6" +/–

Сообщение от Polkan (ok) on 27-Окт-11, 12:14

И?
>>Middleware: PHP5.2 (Note: Starting with TYPO3 4.6, all releases require PHP 5.3!)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Релиз системы управления контентом TYPO3 4.6" +/–

Сообщение от Michael Shigorin (ok) on 27-Окт-11, 13:07

> И?
И если критичен php5-5.2, то всё равно вполне разумно остановиться на LTS-выпуске 4.5.  Собственно, я тоже пока не собираюсь на 4.6+ перебираться. :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

2. "Релиз системы управления контентом TYPO3 4.6" +/–

Сообщение от xanten on 26-Окт-11, 16:01

А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется для серьезных проектов?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Релиз системы управления контентом TYPO3 4.6" –1 +/–

Сообщение от Аноним (??) on 26-Окт-11, 16:54

> А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется
> для серьезных проектов?
Нет, не правда. TYPO3 наоборот один из примеров наплевательского отношения к безопасности, одно хранение паролей без хэширования чего стоит.
http://secunia.com/advisories/search/?search=typo3

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Релиз системы управления контентом TYPO3 4.6" +1 +/–

Сообщение от vovans (ok) on 26-Окт-11, 22:56

Вроде как, ядро системы у них достаточно безопасное. И давно не было никаких серьёзных дыр в нём.
А с плагинами надо быть везде поосторожнее.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Релиз системы управления контентом TYPO3 4.6" –1 +/–

Сообщение от Michael Shigorin (ok) on 27-Окт-11, 01:11

>> А правда, что TYPO3 соответствует промышленным стандартам безопасности
Этого не знаю.
>> и поэтому применяется для серьезных проектов?
Это -- правда.
> TYPO3 наоборот один из примеров наплевательского отношения к безопасности
А это был один из примеров наплевательского отношения к аргументации и передёргивания.
> одно хранение паролей без хэширования чего стоит.
Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали в core ещё в 4.3 (kb_md5fepw существовал и раньше, помнится; он и сейчас рекомендуется в TYPO3 Security Cookbook).
Хотя действительно непонятно, почему было не приурочить переезд на хэши по умолчанию в 4.0, раз уж изначально зачем-то сохраняли plaintext и дефолт трогать было сложно.
Что второе укажете в качестве свидетельства "наплевательского отношения к безопасности"?
> http://secunia.com/advisories/search/?search=typo3
Воспринимать стоит в контексте:
http://secunia.com/advisories/search/?search=typo3+core
http://secunia.com/advisories/search/?search=opencms
http://secunia.com/advisories/search/?search=drupal
http://secunia.com/advisories/search/?search=joomla
Для TYPO3 по состоянию на сегодня "The extensions list has been updated and now contains 5303 extension entries".
По существу: за этот год в typo3 core _было_ несколько уязвимостей (и это многовато), в typo3-announce@ писем по уязвимостям в third party extensions обычно несколько в месяц.  Да, хорошо бы ещё лучше.  Но это уже очень неплохо.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Релиз системы управления контентом TYPO3 4.6" –1 +/–

Сообщение от Аноним (??) on 27-Окт-11, 10:50

>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности
> А это был один из примеров наплевательского отношения к аргументации и передёргивания.
Я привел ссылку из которой ясно вырисовываются такие казусы:
http://secunia.com/advisories/45557/
http://secunia.com/advisories/35770/
Если для вас ежегодное обнаружение SQL injection не аргумент....
>> одно хранение паролей без хэширования чего стоит.
> Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали
> в core ещё в 4.3
Это и есть наплевательское отношение к безопасности, когда дыры латают по факту их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Релиз системы управления контентом TYPO3 4.6" +1 +/–

Сообщение от Michael Shigorin (ok) on 27-Окт-11, 13:04

>>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности
>> А это был один из примеров наплевательского отношения к аргументации и передёргивания.
> Я привел ссылку из которой ясно вырисовываются такие казусы:
Именно что казусы -- Вы хоть обратили внимание на строчки вида "Successful exploitation of this vulnerability requires"?
> http://secunia.com/advisories/45557/
Здесь самое неприятное -- infoleak в css_styled_content; с browse_links wizard не сталкивался, остальное требует либо доступа к бэкенду (т.е. заведомо повышенный уровень привилегий и журналирования), либо экзотических случаев вроде the victim uses Internet Explorer 6 (либо некрасиво, но малоопасно).
> http://secunia.com/advisories/35770/
Вот здесь действительно был sql injection, причём опять же только при условии доступа к бэкенду.  Поэтому самым неприятным IMHO тут является не он, а пункт про click enlarge (если оно используется).  Остальное опять же требует доступа к бэкенду либо не столь существенно (хотя всё равно хорошо, что нашли и заткнули).
> Если для вас ежегодное
Можно подробнее?  По моим данным, Вы только что соврали.
> обнаружение SQL injection не аргумент....
Это аргумент, но не того веса, который Вы ему пытаетесь приписать.  Поскольку я по случаю всё-таки _читаю_ эти самые анонсы, причём с 2004 года, и _практически_ знаю, сколько раз за эти годы приходилось подпрыгивать и что-то оперативно трогать в TYPO3.
> Это и есть наплевательское отношение к безопасности, когда дыры латают по факту
> их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.
Вы только что плюнули в лицо OpenBSD'шникам, которые свои две ремотных дырки заткнули по факту обнаружения (поскольку вычитка практикуется в обоих проектах).
А теперь посмотрим на реальное состояние дел.
* http://typo3.org/teams/security/
sec team есть и работает, в т.ч. над вычиткой, исправлением и рекомендациями
* http://news.typo3.org/news/article/important-security-bullet.../
для критической дырки 2009 года выпустили обновления для 4.x и патчи для 3.x (вплоть до 3.3 образца 2002, что ли), которые заранее анонсировали с тем, чтобы было возможно спланировать работы
* http://www.slideshare.net/hepi/developing-extensions-with-se...
работа с разработчиками расширений также идёт (помимо слоя работы с БД, который в т.ч. помогает от sql injection'ов)
* http://joind.in/talk/view/3546
...и не только с разработчиками, а и с развёртывающими/сопровождающими сисадминами/вебмастерами тоже.
Можно поинтересоваться политикой безопасности по Вашим проектам, рекомендациями разработчикам и администраторам?  Как Вы работаете с информацией об уязвимостях?  Как организовывается выпуск исправлений и их анонсирование?  Что предпринято архитектурно и организационно для минимизации возможности выпуска кода с дырками?  Если сами ничего такого не делаете, а докапываетесь к поставщику -- хорошо, тогда приведите свой эталон, я постараюсь донести до тайпотришников предложения по существу.
Из всего, что Вы высказали, уместна претензия по plaintext password storage (хотя и тоже преувеличена); в остальном занимаетесь выдуванием слонов из мухи.  Обиженный джумлятник, что ли? :)  Ну так там всё настолько грустно в этом разрезе, что сравнивать просто нечего.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Релиз системы управления контентом TYPO3 4.6"	+/–
Сообщение от Polkan (ok) on 26-Окт-11, 15:59
>>прекращена поддержка версий PHP до 5.3 сомнительное решение. много хостингов на 5.2 и ниже.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Релиз системы управления контентом TYPO3 4.6"	+2 +/–
	Сообщение от mma on 26-Окт-11, 16:09
	сомнительное решение юзать данную cms на шаред-хостинге.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	12. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Polkan (ok) on 27-Окт-11, 12:16
	> сомнительное решение юзать данную cms на шаред-хостинге. Почему? Что в ней такого особенного, что ей нужен отдельный сервер?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	15. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 20:26
	>> сомнительное решение юзать данную cms на шаред-хостинге. > Почему? Что в ней такого особенного, что ей нужен отдельный сервер? Видел однажды -- кто-то объяснял, почему на TYPO3 нет смысла начинать делать личную страничку, картинкой с аэробусом и мопедом: мол, за хлебом лучше на мопеде, а вот через океан всё-таки аэробусом... Ейный extension manager при некоторых операциях (кажется, в т.ч. обновлении списка экстешненов) может выжирать до 128M памяти (лет пять тому рекомендовали для его использования давать 32M, помнится). Для самой CMS может хватать гораздо меньшего объёма (не считая съедаемого ещё и БД), но нагрузка на CPU при этом всё равно чрезмерная для шаредов -- это если не говорить о том, что заморачиваться с нетривиальным движком ради данных, которые не жалко отдать проломившему соседний сайт, немного странно. Это действительно развесистая система, на которую лучше готовиться сходу угробить с неделю для каких-нибудь результатов и с месяц на сколь-нибудь толковые -- а плюс в том, что позволяет она очень много без походов в код с напильником, а только расширениями, их конфигурацией и TypoScript'ом. Например, мы как-то делали сайтик для своих нужд, где эстетично получалось заголовки страниц второго уровня "склеивать" из названий страниц первого и второго уровня -- что-то вроде такого псевдокода отдаваемой итоговой страницы с описанным заголовком "в гости" и родительским заголовком "Зайти": {title}Зайти в гости{/title} {nav} Зайти: {ul} {li}в гости{/li} {li}в магазин{/li} {/ul} {/nav} При этом на одной из toplevel-страниц того маленького дерева конкретно в английском переводе так не вытанцовывалось (фраза не клеилась и второй уровень следовало рендерить без всяких склеек) -- пришлось описать исключение: # special case for "contact info" english page [globalVar = GP:L = 0]&&[globalVar = TSFE:id = NNN] temp.headline > temp.headline = TEXT temp.headline.data = field:title [global] Дизайнер прониклась :)
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	8. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 01:14
	>>>прекращена поддержка версий PHP до 5.3 > сомнительное решение. много хостингов на 5.2 и ниже. http://wiki.typo3.org/System_requirements
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	11. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Polkan (ok) on 27-Окт-11, 12:14
	И? >>Middleware: PHP5.2 (Note: Starting with TYPO3 4.6, all releases require PHP 5.3!)
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	14. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 13:07
	> И? И если критичен php5-5.2, то всё равно вполне разумно остановиться на LTS-выпуске 4.5. Собственно, я тоже пока не собираюсь на 4.6+ перебираться. :)
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору

2. "Релиз системы управления контентом TYPO3 4.6"	+/–
Сообщение от xanten on 26-Окт-11, 16:01
А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется для серьезных проектов?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Релиз системы управления контентом TYPO3 4.6"	–1 +/–
	Сообщение от Аноним (??) on 26-Окт-11, 16:54
	> А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется > для серьезных проектов? Нет, не правда. TYPO3 наоборот один из примеров наплевательского отношения к безопасности, одно хранение паролей без хэширования чего стоит. http://secunia.com/advisories/search/?search=typo3
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "Релиз системы управления контентом TYPO3 4.6"	+1 +/–
	Сообщение от vovans (ok) on 26-Окт-11, 22:56
	Вроде как, ядро системы у них достаточно безопасное. И давно не было никаких серьёзных дыр в нём. А с плагинами надо быть везде поосторожнее.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Релиз системы управления контентом TYPO3 4.6"	–1 +/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 01:11
	>> А правда, что TYPO3 соответствует промышленным стандартам безопасности Этого не знаю. >> и поэтому применяется для серьезных проектов? Это -- правда. > TYPO3 наоборот один из примеров наплевательского отношения к безопасности А это был один из примеров наплевательского отношения к аргументации и передёргивания. > одно хранение паролей без хэширования чего стоит. Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали в core ещё в 4.3 (kb_md5fepw существовал и раньше, помнится; он и сейчас рекомендуется в TYPO3 Security Cookbook). Хотя действительно непонятно, почему было не приурочить переезд на хэши по умолчанию в 4.0, раз уж изначально зачем-то сохраняли plaintext и дефолт трогать было сложно. Что второе укажете в качестве свидетельства "наплевательского отношения к безопасности"? > http://secunia.com/advisories/search/?search=typo3 Воспринимать стоит в контексте: http://secunia.com/advisories/search/?search=typo3+core http://secunia.com/advisories/search/?search=opencms http://secunia.com/advisories/search/?search=drupal http://secunia.com/advisories/search/?search=joomla Для TYPO3 по состоянию на сегодня "The extensions list has been updated and now contains 5303 extension entries". По существу: за этот год в typo3 core _было_ несколько уязвимостей (и это многовато), в typo3-announce@ писем по уязвимостям в third party extensions обычно несколько в месяц. Да, хорошо бы ещё лучше. Но это уже очень неплохо.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	10. "Релиз системы управления контентом TYPO3 4.6"	–1 +/–
	Сообщение от Аноним (??) on 27-Окт-11, 10:50
	>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности > А это был один из примеров наплевательского отношения к аргументации и передёргивания. Я привел ссылку из которой ясно вырисовываются такие казусы: http://secunia.com/advisories/45557/ http://secunia.com/advisories/35770/ Если для вас ежегодное обнаружение SQL injection не аргумент.... >> одно хранение паролей без хэширования чего стоит. > Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали > в core ещё в 4.3 Это и есть наплевательское отношение к безопасности, когда дыры латают по факту их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	13. "Релиз системы управления контентом TYPO3 4.6"	+1 +/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 13:04
	>>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности >> А это был один из примеров наплевательского отношения к аргументации и передёргивания. > Я привел ссылку из которой ясно вырисовываются такие казусы: Именно что казусы -- Вы хоть обратили внимание на строчки вида "Successful exploitation of this vulnerability requires"? > http://secunia.com/advisories/45557/ Здесь самое неприятное -- infoleak в css_styled_content; с browse_links wizard не сталкивался, остальное требует либо доступа к бэкенду (т.е. заведомо повышенный уровень привилегий и журналирования), либо экзотических случаев вроде the victim uses Internet Explorer 6 (либо некрасиво, но малоопасно). > http://secunia.com/advisories/35770/ Вот здесь действительно был sql injection, причём опять же только при условии доступа к бэкенду. Поэтому самым неприятным IMHO тут является не он, а пункт про click enlarge (если оно используется). Остальное опять же требует доступа к бэкенду либо не столь существенно (хотя всё равно хорошо, что нашли и заткнули). > Если для вас ежегодное Можно подробнее? По моим данным, Вы только что соврали. > обнаружение SQL injection не аргумент.... Это аргумент, но не того веса, который Вы ему пытаетесь приписать. Поскольку я по случаю всё-таки _читаю_ эти самые анонсы, причём с 2004 года, и _практически_ знаю, сколько раз за эти годы приходилось подпрыгивать и что-то оперативно трогать в TYPO3. > Это и есть наплевательское отношение к безопасности, когда дыры латают по факту > их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах. Вы только что плюнули в лицо OpenBSD'шникам, которые свои две ремотных дырки заткнули по факту обнаружения (поскольку вычитка практикуется в обоих проектах). А теперь посмотрим на реальное состояние дел. * http://typo3.org/teams/security/ sec team есть и работает, в т.ч. над вычиткой, исправлением и рекомендациями * http://news.typo3.org/news/article/important-security-bullet.../ для критической дырки 2009 года выпустили обновления для 4.x и патчи для 3.x (вплоть до 3.3 образца 2002, что ли), которые заранее анонсировали с тем, чтобы было возможно спланировать работы * http://www.slideshare.net/hepi/developing-extensions-with-se... работа с разработчиками расширений также идёт (помимо слоя работы с БД, который в т.ч. помогает от sql injection'ов) * http://joind.in/talk/view/3546 ...и не только с разработчиками, а и с развёртывающими/сопровождающими сисадминами/вебмастерами тоже. Можно поинтересоваться политикой безопасности по Вашим проектам, рекомендациями разработчикам и администраторам? Как Вы работаете с информацией об уязвимостях? Как организовывается выпуск исправлений и их анонсирование? Что предпринято архитектурно и организационно для минимизации возможности выпуска кода с дырками? Если сами ничего такого не делаете, а докапываетесь к поставщику -- хорошо, тогда приведите свой эталон, я постараюсь донести до тайпотришников предложения по существу. Из всего, что Вы высказали, уместна претензия по plaintext password storage (хотя и тоже преувеличена); в остальном занимаетесь выдуванием слонов из мухи. Обиженный джумлятник, что ли? :) Ну так там всё настолько грустно в этом разрезе, что сравнивать просто нечего.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору