форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз системы управления контентом TYPO3 4.6"	+/–
Сообщение от opennews (ok) on 26-Окт-11, 15:59
Увидел свет (http://typo3.org/news-single-view/?tx_newsimporter_pi1%...) релиз открытой системы управления web-контентом TYPO3 4.6.0 (http://typo3.org/download/release-notes/typo3-46/). Кроме реализации нескольких новшеств, новая версия примечательна проведением значительной чистки и удалением устаревшего кода. Начиная с текущего выпуска прекращена поддержка режима "safe mode" и версий PHP до 5.3, кроме того, признан неподдерживаемым браузер Internet Explorer 6. Для пользователей, которым важна поддержка устаревших версий PHP или web-браузеров рекомендуется использовать LTS-ветку TYPO3 4.5, поддержка которой продлится до 2014 года. Ключевые улучшения (http://wiki.typo3.org/TYPO3_4.6): -  Переработанный механизм локализации, основанный на использовании формата XLIFF (.xlf), благодаря которому удалось существенно упростить процесс локализации и реализовать возможность рационального выбора варианта при отсутствии... URL: http://typo3.org/news-single-view/?tx_newsimporter_pi1%... Новость: http://www.opennet.dev/opennews/art.shtml?num=32134
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Релиз системы управления контентом TYPO3 4.6"	+/–
Сообщение от Polkan (ok) on 26-Окт-11, 15:59
>>прекращена поддержка версий PHP до 5.3 сомнительное решение. много хостингов на 5.2 и ниже.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Релиз системы управления контентом TYPO3 4.6"	+2 +/–
	Сообщение от mma on 26-Окт-11, 16:09
	сомнительное решение юзать данную cms на шаред-хостинге.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	12. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Polkan (ok) on 27-Окт-11, 12:16
	> сомнительное решение юзать данную cms на шаред-хостинге. Почему? Что в ней такого особенного, что ей нужен отдельный сервер?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	15. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 20:26
	>> сомнительное решение юзать данную cms на шаред-хостинге. > Почему? Что в ней такого особенного, что ей нужен отдельный сервер? Видел однажды -- кто-то объяснял, почему на TYPO3 нет смысла начинать делать личную страничку, картинкой с аэробусом и мопедом: мол, за хлебом лучше на мопеде, а вот через океан всё-таки аэробусом... Ейный extension manager при некоторых операциях (кажется, в т.ч. обновлении списка экстешненов) может выжирать до 128M памяти (лет пять тому рекомендовали для его использования давать 32M, помнится).  Для самой CMS может хватать гораздо меньшего объёма (не считая съедаемого ещё и БД), но нагрузка на CPU при этом всё равно чрезмерная для шаредов -- это если не говорить о том, что заморачиваться с нетривиальным движком ради данных, которые не жалко отдать проломившему соседний сайт, немного странно. Это действительно развесистая система, на которую лучше готовиться сходу угробить с неделю для каких-нибудь результатов и с месяц на сколь-нибудь толковые -- а плюс в том, что позволяет она очень много без походов в код с напильником, а только расширениями, их конфигурацией и TypoScript'ом. Например, мы как-то делали сайтик для своих нужд, где эстетично получалось заголовки страниц второго уровня "склеивать" из названий страниц первого и второго уровня -- что-то вроде такого псевдокода отдаваемой итоговой страницы с описанным заголовком "в гости" и родительским заголовком "Зайти": {title}Зайти в гости{/title} {nav} Зайти: {ul} {li}в гости{/li} {li}в магазин{/li} {/ul} {/nav} При этом на одной из toplevel-страниц того маленького дерева конкретно в английском переводе так не вытанцовывалось (фраза не клеилась и второй уровень следовало рендерить без всяких склеек) -- пришлось описать исключение: # special case for "contact info" english page [globalVar = GP:L = 0]&&[globalVar = TSFE:id = NNN] temp.headline > temp.headline = TEXT temp.headline.data = field:title [global] Дизайнер прониклась :)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	8. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 01:14
	>>>прекращена поддержка версий PHP до 5.3 > сомнительное решение. много хостингов на 5.2 и ниже. http://wiki.typo3.org/System_requirements
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	11. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Polkan (ok) on 27-Окт-11, 12:14
	И? >>Middleware: PHP5.2 (Note: Starting with TYPO3 4.6, all releases require PHP 5.3!)
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	14. "Релиз системы управления контентом TYPO3 4.6"	+/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 13:07
	> И? И если критичен php5-5.2, то всё равно вполне разумно остановиться на LTS-выпуске 4.5.  Собственно, я тоже пока не собираюсь на 4.6+ перебираться. :)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

2. "Релиз системы управления контентом TYPO3 4.6"	+/–
Сообщение от xanten on 26-Окт-11, 16:01
А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется для серьезных проектов?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Релиз системы управления контентом TYPO3 4.6"	–1 +/–
	Сообщение от Аноним (??) on 26-Окт-11, 16:54
	> А правда, что TYPO3 соответствует промышленным стандартам безопасности и поэтому применяется > для серьезных проектов? Нет, не правда. TYPO3 наоборот один из примеров наплевательского отношения к безопасности, одно хранение паролей без хэширования чего стоит. http://secunia.com/advisories/search/?search=typo3
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Релиз системы управления контентом TYPO3 4.6"	+1 +/–
	Сообщение от vovans (ok) on 26-Окт-11, 22:56
	Вроде как, ядро системы у них достаточно безопасное. И давно не было никаких серьёзных дыр в нём. А с плагинами надо быть везде поосторожнее.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Релиз системы управления контентом TYPO3 4.6"	–1 +/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 01:11
	>> А правда, что TYPO3 соответствует промышленным стандартам безопасности Этого не знаю. >> и поэтому применяется для серьезных проектов? Это -- правда. > TYPO3 наоборот один из примеров наплевательского отношения к безопасности А это был один из примеров наплевательского отношения к аргументации и передёргивания. > одно хранение паролей без хэширования чего стоит. Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали в core ещё в 4.3 (kb_md5fepw существовал и раньше, помнится; он и сейчас рекомендуется в TYPO3 Security Cookbook). Хотя действительно непонятно, почему было не приурочить переезд на хэши по умолчанию в 4.0, раз уж изначально зачем-то сохраняли plaintext и дефолт трогать было сложно. Что второе укажете в качестве свидетельства "наплевательского отношения к безопасности"? > http://secunia.com/advisories/search/?search=typo3 Воспринимать стоит в контексте: http://secunia.com/advisories/search/?search=typo3+core http://secunia.com/advisories/search/?search=opencms http://secunia.com/advisories/search/?search=drupal http://secunia.com/advisories/search/?search=joomla Для TYPO3 по состоянию на сегодня "The extensions list has been updated and now contains 5303 extension entries". По существу: за этот год в typo3 core _было_ несколько уязвимостей (и это многовато), в typo3-announce@ писем по уязвимостям в third party extensions обычно несколько в месяц.  Да, хорошо бы ещё лучше.  Но это уже очень неплохо.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "Релиз системы управления контентом TYPO3 4.6"	–1 +/–
	Сообщение от Аноним (??) on 27-Окт-11, 10:50
	>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности > А это был один из примеров наплевательского отношения к аргументации и передёргивания. Я привел ссылку из которой ясно вырисовываются такие казусы: http://secunia.com/advisories/45557/ http://secunia.com/advisories/35770/ Если для вас ежегодное обнаружение SQL injection не аргумент.... >> одно хранение паролей без хэширования чего стоит. > Стоит одного спёртого админского пароля с typo3.org, чтоб saltedpasswords интегрировали > в core ещё в 4.3 Это и есть наплевательское отношение к безопасности, когда дыры латают по факту их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	13. "Релиз системы управления контентом TYPO3 4.6"	+1 +/–
	Сообщение от Michael Shigorin (ok) on 27-Окт-11, 13:04
	>>> TYPO3 наоборот один из примеров наплевательского отношения к безопасности >> А это был один из примеров наплевательского отношения к аргументации и передёргивания. > Я привел ссылку из которой ясно вырисовываются такие казусы: Именно что казусы -- Вы хоть обратили внимание на строчки вида "Successful exploitation of this vulnerability requires"?   > http://secunia.com/advisories/45557/ Здесь самое неприятное -- infoleak в css_styled_content; с browse_links wizard не сталкивался, остальное требует либо доступа к бэкенду (т.е. заведомо повышенный уровень привилегий и журналирования), либо экзотических случаев вроде the victim uses Internet Explorer 6 (либо некрасиво, но малоопасно). > http://secunia.com/advisories/35770/ Вот здесь действительно был sql injection, причём опять же только при условии доступа к бэкенду.  Поэтому самым неприятным IMHO тут является не он, а пункт про click enlarge (если оно используется).  Остальное опять же требует доступа к бэкенду либо не столь существенно (хотя всё равно хорошо, что нашли и заткнули). > Если для вас ежегодное Можно подробнее?  По моим данным, Вы только что соврали. > обнаружение SQL injection не аргумент.... Это аргумент, но не того веса, который Вы ему пытаетесь приписать.  Поскольку я по случаю всё-таки _читаю_ эти самые анонсы, причём с 2004 года, и _практически_ знаю, сколько раз за эти годы приходилось подпрыгивать и что-то оперативно трогать в TYPO3. > Это и есть наплевательское отношение к безопасности, когда дыры латают по факту > их обнаружения, а до этого никто даже не задумывается о потенциальных проблемах. Вы только что плюнули в лицо OpenBSD'шникам, которые свои две ремотных дырки заткнули по факту обнаружения (поскольку вычитка практикуется в обоих проектах). А теперь посмотрим на реальное состояние дел. * http://typo3.org/teams/security/ sec team есть и работает, в т.ч. над вычиткой, исправлением и рекомендациями * http://news.typo3.org/news/article/important-security-bullet.../ для критической дырки 2009 года выпустили обновления для 4.x и патчи для 3.x (вплоть до 3.3 образца 2002, что ли), которые заранее анонсировали с тем, чтобы было возможно спланировать работы * http://www.slideshare.net/hepi/developing-extensions-with-se... работа с разработчиками расширений также идёт (помимо слоя работы с БД, который в т.ч. помогает от sql injection'ов) * http://joind.in/talk/view/3546 ...и не только с разработчиками, а и с развёртывающими/сопровождающими сисадминами/вебмастерами тоже. Можно поинтересоваться политикой безопасности по Вашим проектам, рекомендациями разработчикам и администраторам?  Как Вы работаете с информацией об уязвимостях?  Как организовывается выпуск исправлений и их анонсирование?  Что предпринято архитектурно и организационно для минимизации возможности выпуска кода с дырками?  Если сами ничего такого не делаете, а докапываетесь к поставщику -- хорошо, тогда приведите свой эталон, я постараюсь донести до тайпотришников предложения по существу. Из всего, что Вы высказали, уместна претензия по plaintext password storage (хотя и тоже преувеличена); в остальном занимаетесь выдуванием слонов из мухи.  Обиженный джумлятник, что ли? :)  Ну так там всё настолько грустно в этом разрезе, что сравнивать просто нечего.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема