OpenForum RSS: Релиз системы управления контентом TYPO3 4.6 https://opennet.dev/openforum/vsluhforumID3/81006.html Увидел свет (http://typo3.org/news-single-view/?tx_newsimporter_pi1%5BshowItem%5D=0&tx_newsimporter_pi1%5Bfeed%5D=11&cHash=6a91dc34a8#single) релиз открытой системы управления web-контентом TYPO3 4.6.0 (http://typo3.org/download/release-notes/typo3-46/). Кроме реализации нескольких новшеств, новая версия примечательна проведением значительной чистки и удалением устаревшего кода. Начиная с текущего выпуска прекращена поддержка режима "safe mode" и версий PHP до 5.3, кроме того, признан неподдерживаемым браузер Internet Explorer 6. Для пользователей, которым важна поддержка устаревших версий PHP или web-браузеров рекомендуется использовать LTS-ветку TYPO3 4.5, поддержка которой продлится до 2014 года.<br><br><br>Ключевые улучшения (http://wiki.typo3.org/TYPO3_4.6):<br><br><br>- Переработанный механизм локализации, основанный на использовании формата XLIFF (.xlf), благодаря которому удалось существенно упростить процесс локализации и реализовать возможность рационального выбора варианта при отсутствии...<br><br>URL: http://typo3.o Релиз системы управления контентом TYPO3 4.6 (Michael Shigorin) https://opennet.dev/openforum/vsluhforumID3/81006.html#15 Thu, 27 Oct 2011 16:26:19 GMT &gt;&gt; сомнительное решение юзать данную cms на шаред-хостинге.<br>&gt; Почему? Что в ней такого особенного, что ей нужен отдельный сервер?<br><br>Видел однажды -- кто-то объяснял, почему на TYPO3 нет смысла начинать делать личную страничку, картинкой с аэробусом и мопедом: мол, за хлебом лучше на мопеде, а вот через океан всё-таки аэробусом...<br><br>Ейный extension manager при некоторых операциях (кажется, в т.ч. обновлении списка экстешненов) может выжирать до 128M памяти (лет пять тому рекомендовали для его использования давать 32M, помнится). Для самой CMS может хватать гораздо меньшего объёма (не считая съедаемого ещё и БД), но нагрузка на CPU при этом всё равно чрезмерная для шаредов -- это если не говорить о том, что заморачиваться с нетривиальным движком ради данных, которые не жалко отдать проломившему соседний сайт, немного странно.<br><br>Это действительно развесистая система, на которую лучше готовиться сходу угробить с неделю для каких-нибудь результатов и с месяц на сколь-нибудь толковые -- а плюс в том, что позвол Релиз системы управления контентом TYPO3 4.6 (Michael Shigorin) https://opennet.dev/openforum/vsluhforumID3/81006.html#14 Thu, 27 Oct 2011 09:07:04 GMT &gt; И?<br><br>И если критичен php5-5.2, то всё равно вполне разумно остановиться на LTS-выпуске 4.5. Собственно, я тоже пока не собираюсь на 4.6+ перебираться. :)<br> Релиз системы управления контентом TYPO3 4.6 (Michael Shigorin) https://opennet.dev/openforum/vsluhforumID3/81006.html#13 Thu, 27 Oct 2011 09:04:23 GMT &gt;&gt;&gt; TYPO3 наоборот один из примеров наплевательского отношения к безопасности <br>&gt;&gt; А это был один из примеров наплевательского отношения к аргументации и передёргивания.<br>&gt; Я привел ссылку из которой ясно вырисовываются такие казусы: <br><br>Именно что казусы -- Вы хоть обратили внимание на строчки вида "Successful exploitation of this vulnerability requires"? <br><br>&gt; http://secunia.com/advisories/45557/ <br><br>Здесь самое неприятное -- infoleak в css_styled_content; с browse_links wizard не сталкивался, остальное требует либо доступа к бэкенду (т.е. заведомо повышенный уровень привилегий и журналирования), либо экзотических случаев вроде the victim uses Internet Explorer 6 (либо некрасиво, но малоопасно).<br><br>&gt; http://secunia.com/advisories/35770/ <br><br>Вот здесь действительно был sql injection, причём опять же только при условии доступа к бэкенду. Поэтому самым неприятным IMHO тут является не он, а пункт про click enlarge (если оно используется). Остальное опять же требует доступа к бэкенду либо не столь существенно (х Релиз системы управления контентом TYPO3 4.6 (Polkan) https://opennet.dev/openforum/vsluhforumID3/81006.html#12 Thu, 27 Oct 2011 08:16:57 GMT &gt; сомнительное решение юзать данную cms на шаред-хостинге.<br><br>Почему? Что в ней такого особенного, что ей нужен отдельный сервер?<br> Релиз системы управления контентом TYPO3 4.6 (Polkan) https://opennet.dev/openforum/vsluhforumID3/81006.html#11 Thu, 27 Oct 2011 08:14:34 GMT И?<br>&gt;&gt;Middleware: PHP5.2 (Note: Starting with TYPO3 4.6, all releases require PHP 5.3!) Релиз системы управления контентом TYPO3 4.6 (Аноним) https://opennet.dev/openforum/vsluhforumID3/81006.html#10 Thu, 27 Oct 2011 06:50:39 GMT &gt;&gt; TYPO3 наоборот один из примеров наплевательского отношения к безопасности <br>&gt; А это был один из примеров наплевательского отношения к аргументации и передёргивания. <br><br>Я привел ссылку из которой ясно вырисовываются такие казусы:<br>http://secunia.com/advisories/45557/<br>http://secunia.com/advisories/35770/ <br><br>Если для вас ежегодное обнаружение SQL injection не аргумент....<br><br>&gt;&gt; одно хранение паролей без хэширования чего стоит.<br>&gt; Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали <br>&gt; в core ещё в 4.3 <br><br>Это и есть наплевательское отношение к безопасности, когда дыры латают по факту их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.<br><br><br><br> Релиз системы управления контентом TYPO3 4.6 (Michael Shigorin) https://opennet.dev/openforum/vsluhforumID3/81006.html#8 Wed, 26 Oct 2011 21:14:34 GMT &gt;&gt;&gt;прекращена поддержка версий PHP до 5.3 <br>&gt; сомнительное решение. много хостингов на 5.2 и ниже.<br><br>http://wiki.typo3.org/System_requirements<br> Релиз системы управления контентом TYPO3 4.6 (Michael Shigorin) https://opennet.dev/openforum/vsluhforumID3/81006.html#7 Wed, 26 Oct 2011 21:11:00 GMT &gt;&gt; А правда, что TYPO3 соответствует промышленным стандартам безопасности<br><br>Этого не знаю.<br><br>&gt;&gt; и поэтому применяется для серьезных проектов?<br><br>Это -- правда.<br><br>&gt; TYPO3 наоборот один из примеров наплевательского отношения к безопасности<br><br>А это был один из примеров наплевательского отношения к аргументации и передёргивания.<br><br>&gt; одно хранение паролей без хэширования чего стоит.<br><br>Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали в core ещё в 4.3 (kb_md5fepw существовал и раньше, помнится; он и сейчас рекомендуется в TYPO3 Security Cookbook).<br><br>Хотя действительно непонятно, почему было не приурочить переезд на хэши по умолчанию в 4.0, раз уж изначально зачем-то сохраняли plaintext и дефолт трогать было сложно.<br><br>Что второе укажете в качестве свидетельства "наплевательского отношения к безопасности"?<br><br>&gt; http://secunia.com/advisories/search/?search=typo3 <br><br>Воспринимать стоит в контексте:<br>http://secunia.com/advisories/search/?search=typo3+core<br>http://secunia.com/advi Релиз системы управления контентом TYPO3 4.6 (vovans) https://opennet.dev/openforum/vsluhforumID3/81006.html#6 Wed, 26 Oct 2011 18:56:52 GMT Вроде как, ядро системы у них достаточно безопасное. И давно не было никаких серьёзных дыр в нём.<br><br>А с плагинами надо быть везде поосторожнее.<br>