CMS ili vlastito kodirana stranica?

hajd’ da malo zakuham

interesuje me misljenje koja stranica bi (generalno) bi bila sigurnija: CMS ili “kucna radinost”?

CMS
Za:

• razvija komuna. (dva mozga su i na vazi teza rece jedan mesar)
• puno vise testera i time se greska puno brze otkrije
• hejbet modula koji pokrivaju, pretpostavljam, 75% potreba korisnika.

Protiv:

• posto je opensource, kod je dostupan onim hajvanima kojima je glavna zivotna preokupacija da provale stranicu, pa i naprave stetu
• ukoliko se kod, odnosno neki modul, mora modifikovati za vlastitu potrebu, imam osjecaj da se ulazi u “Zonu sumraka”?

Custom made website
u ovom slucaju, sto je u CMS Za ovdje je Protiv, i suprotno…

Glavni razlog ovog pitanja je sto treba da napravim nesto kao CMS koju ce koristiti samo posebna grupa korisnika tako da ce biti modifikovanja koda. Solucije su

1. da buduci CMS bude "“nadgradnja” vec postojeceg (u igri su Drupal i Joomla kao potencijalna CMS osnova)
2. da zavrnem ruke pa da sam napravim nesto sto cu lako kasnije modifikovati.
   Koliko ce biti modifikovanja mi je sada tesko reci jer jos uvijek nisam pregledao sve module koji postoje, tj. koji se mogu iskoristiti. ali ce ga u svakom slucaju biti solidno. E, ako su haman pa preurediti cieli Drupal - onda m je bolje da sam pocnem ispocetka
   Drupal mi se vise svidja jer mogu koristiti jedan core za (bezbroj) web stranica, tj. bilo kakav update/upgrade radim jednom. Joomla mi se svidja jer mislim da je komuna veca kao i broj template-a.

Ako ces CMS uzmi Drupal jer Joomla je rupa epickih srazmjera (naravno, po mom misljenju :).

A CMS versus custom, ja uvijek biram custom – ako znas sta radis i sta ti treba zasto ucit neki novi CMS? Svakako ces potrosit vrijeme da ga naucis a za isto vrijeme mozes iskodirat nesto sto tebi radi i znas kako radi.

[quote=adioe3]Ako ces CMS uzmi Drupal jer Joomla je rupa epickih srazmjera (naravno, po mom misljenju :).

A CMS versus custom, ja uvijek biram custom – ako znas sta radis i sta ti treba zasto ucit neki novi CMS? Svakako ces potrosit vrijeme da ga naucis a za isto vrijeme mozes iskodirat nesto sto tebi radi i znas kako radi.[/quote]
moje misljenje je JAAAAAKO slicno tvom. medjutim, cuo samdosta komentara tipa “zasto izmisljati toplu vodu?” - sto opet ima dosta isitine?

da napomenem jos jednu star koju sam zaboravio u prethodnom (prvom) postu: ako baziram svoj CMS na Drupalu, bojim se da nekom od modifikacija ne promijenim kod toliko da kasnije neki “security patch” jednostavno necu moci koristiti jer bi razvalio moj kod (sto mi se desilo nekoliko puta sa osCommerce-om, odnosno CRE Loaded verzijom osCoommerce-a)?

jedan fazon zaboravljate “there is no security through obscurity”!!!

dakle to sto oni ne znaju kod … ne mora znaciti da nece moci probiti …
iz mog usputnog posmatrackog iskustva - mnoge stranice (na bh sceni) koje su imale custom kod su pune pocetnickih sigurnosnih gresaka …

od logosoft wireless monitoring stranice kojoj si disableovanjem javascripta mogao pristupiti internom sistemu poruka gdje su se dogovarali kako da slazu korisnike …
preko jednostavnog zaglupljivanja auth. mehanizma na www.superoglasi.ba
do buga u blogger.ba da mijenjanjem cookiea mozes se ulogirati kao bilo koji korisnik …

sve je to bio custom code … i to vrlo los - zato hvatajte se cms-a i uzivajte
greske se precesto desavaju … pa ako ne iz neznanja onda iz nepaznje …

[quote=testni_hamo2]jedan fazon zaboravljate “there is no security through obscurity”!!!
:)[/quote]
Security through minority?!?

Ne, generalno svi bugovi koje imaš u Joomli, Wordpress-u i sl. postoje u još gorem obliku u većini custom CMS-ova. Da li će tvoj custom CMS sadržavati CSRF zaštitu za forme, kakva je strategija za SQL injection (ne, nisu prepared statements), ima li kakav plan za security zakrpe i sl?

U najgorem slučaju, odaberi neki dobar framework. Čak i kad pišeš proprietary CMS, možeš odabrati BSD licensed framework. Što manje koda napišeš sam, to bolje (“Standing on the shoulders of giants” princip)

afane baci oko na “opencms” -> www.opencms.org

po tvom misljenju, iz kojih razloga bih stavio opencms ispred drupal-a ili joomla-e?

[quote=adis]Ne, generalno svi bugovi koje imaš u Joomli, Wordpress-u i sl. postoje u još gorem obliku u većini custom CMS-ova. Da li će tvoj custom CMS sadržavati CSRF zaštitu za forme, kakva je strategija za SQL injection (ne, nisu prepared statements), ima li kakav plan za security zakrpe i sl?

U najgorem slučaju, odaberi neki dobar framework. Čak i kad pišeš proprietary CMS, možeš odabrati BSD licensed framework. Što manje koda napišeš sam, to bolje (“Standing on the shoulders of giants” princip)[/quote]
ja i ne kazem da sam u stanju napisati bolji kod od drupalovog. da sam u stanju onda bih ovo pisao sa svoje jahte tokom krstarenja po karibima

no, opet, ne podcjenjujem sebe jer ako razvijam ecommerce soluciju za firmu u kojoj radim onda smatram da necu bas napraviti ni svajcarski sir od cms-a.
ne kazem da nece biti bug-ova (sto testni_hamo rece jal’ iz neznanja ali vise iz nepaznje), ali nece bas ni biti “mehina kapija” da je hacker sa 2.5 mjeseca staza moze provaliti.

da li je pogresna logika ako kazem da hackeri skeniraju uglavnom cms bazirane stranice kad se provali neka rupa i traze one koje jos nisu napravile update? takodje mislim da im je cilj da provale “zanimljivu” stranicu a ne “tamo neku”?

uostalom, sta mi vrijedi da ulozim hiiljade i hiljade dolara na “sigurnu” stranicu - ako mi je hosting kompanije jeza ziva?!? izmedju 1998. i 2002. sam kao hosting kompaniju koristio pair.com. renomirana i “sigurna” kompanija. preporucena i od php.net. nije jeftina. medjutim, jdenog dana sam skont’o da mogu uci na svaki /home/user accoutn na serveru??? nisam mogao nista uploadovati ali sam mogao downloadirati sve. a to znaci i config file za pristup mysql-u i sl.??? odmah nazovem support i pitam o cemu se radi. tip je pokusao sa pricom kako se to tako radi, kako je to normalno, da to nije nista… da je to linux i da je on najsigurniji… no, kad sam mu podvikn’o, trazio sefa onda je skont’o da je malo pretjer’o. sef se zabezekn’o. svar je odmah popravljena.

ja nisam anti-protivan cms soluciji. sta vise. mene jedino malo “strah” sto hakeri redovno traze rupe na cms-ovima. a moju stanicu tek treba da nadju. ni google je ne moze naci
i koliko ce mi vremena i zivaca trebati da je modifikujem svojim potrebama.

sto se tice adisovog komentara na zastitu: glavna mi je strategija shiflett-ova knjiga, dva puta poslije rucka i jednom poslije vecere. vikendom extra.
koristim ono sto znam. koristim sto bolje znam. sve sto naucim i saznam pokusavam da implementiram sto je prije moguce. naravno, to uvijek (pa cak “u vecini slucajeva”) nije moguce nego se uglavnom svede na na projekte u toku.

kad se sjetim svojih prvis stranica - samo je pogledas mrko a ona se sama “hackne”

Nemamo ni source code Windowsa, pa ga hacka ko stigne
Napadi su standardizirani, napadač može “nasurfa” sve URL-ove na tvom sajtu, pokupiti forme, i započeti (automatizirani) napad/test bez puno korisničkog inputa.

Argument “moja web aplikacija nije popularna, ergo, neće je niko uhakati” problematična je iz više razloga, ako ništa zato što ispada da ti pišeš kod/aplikaciju za koju ne želiš da bude popularna

po tvom misljenju, iz kojih razloga bih stavio opencms ispred drupal-a ili joomla-e?[/quote]
mislim da je ipak malo profesionalnije napisan, ima manje security propusta … nije ga tesko prilagodit, napisat svoj modul (jedino sto se mene tice uzima tone memorije - zavisi sta pravis - java je u pitanju)…

[quote=adis]Nemamo ni source code Windowsa, pa ga hacka ko stigne
Napadi su standardizirani, napadač može “nasurfa” sve URL-ove na tvom sajtu, pokupiti forme, i započeti (automatizirani) napad/test bez puno korisničkog inputa.

Argument “moja web aplikacija nije popularna, ergo, neće je niko uhakati” problematična je iz više razloga, ako ništa zato što ispada da ti pišeš kod/aplikaciju za koju ne želiš da bude popularna ;-)[/quote]
ovo sa windowsima upravo i potvrdjuje ono sto sam napisao; hackeri ganjaju da provale “poznate” (windows, iphone, phpNuke, Facebook,…) i korisne stranice (banke, agencije, prodavnice,…) ovi prvi da napisu “Sam was here”, dok drugi pokupe sto se pokupiti dade.
a, ovo indirektno utice i na teoriju vjerovatnoce da su manje sanse da ce neko haknuti moju stranicu jer je slabo posjecena i neinteresantna nego nesto o cemu se prica. ako imas mercedesa ili BMW ili lexusa ispred garaze onda ti mogu i tri alarma biti malo. ako imas forda starog 10 godina onda ga mozes ostaviti i otvorenih vrata - niko ga nece ni pogledati

NARAVNO! ovim ni ne pokusavam da tvrdim da je ovo moje razmisljanje dio “security sistema”. ni najmanje. vec cisto govori o pojmu vjerovatnoce da ce neko pokusati haknuti moju stranicu i MySpace. naravno, ako pokusa, trebace mu manje vrmena neg’ za MySpace.

turci i albanci ne pitaju jel’ tvoja stranica frontend bankovnog sistema ili nanin blog, kad je CMS propust u pitanju onda se njihov “odabir” stranica svodi na
inurl:exploitable url i intitle:powered by exploitable cms
O sigurnosti php (ali i ostalih web aplikacija) ima dosta na www.owasp.org , cak imaju i zanimljiv projekat “WebGoat” koji je web aplikacija sa namjerno ostavljenim propustima, s tim sto je cilj iskoristavanje tih propusta kako bi se shvatio nacin funkcionisanja. Takodje imaju i dosta dokumentacije i drugih projekata.
S druge strane, custom coded cms-ovi su druga prica. U dosadasnjem iskustvu (bar djela nekih developera, ne generalizujem) su se pokazala veoma supljim, to nije negativna strana custom cms-a vec pokazatelj ne razmisljanja o sigurnosti aplikacija.
Desilo se da je jedan moj poznanik koristio istu osnovu cms-a za sve site-ove koje je radio (s to je najgore, tu su bile banke, fakulteti, tv stanice…) igrom slucaja druga osoba je preko nekog sitnog propusta dosla do code-a, pregledanjem je pronasao propust te su zbog toga svi ostali site-ovi bili u opasnosti, dakle svelo se na dobru volju…

“gotovi” i custom cms-ovi imaju svoje prednosti i mane, ali to se sve gubi ako znate sta radite i ako poznajete nacin na koji sve to funkcionise te koji su to moguci propusti. (of skroz, lakse je skontanti sopstveni cms nego pregledati milje koda gotovih, ali to je vec druga prica…)

[quote=Bo]turci i albanci ne pitaju jel’ tvoja stranica frontend bankovnog sistema ili nanin blog, kad je CMS propust u pitanju onda se njihov “odabir” stranica svodi na
inurl:exploitable url i intitle:powered by exploitable cms
O sigurnosti php (ali i ostalih web aplikacija) ima dosta na www.owasp.org , cak imaju i zanimljiv projekat “WebGoat” koji je web aplikacija sa namjerno ostavljenim propustima, s tim sto je cilj iskoristavanje tih propusta kako bi se shvatio nacin funkcionisanja. Takodje imaju i dosta dokumentacije i drugih projekata.
S druge strane, custom coded cms-ovi su druga prica. U dosadasnjem iskustvu (bar djela nekih developera, ne generalizujem) su se pokazala veoma supljim, to nije negativna strana custom cms-a vec pokazatelj ne razmisljanja o sigurnosti aplikacija.
Desilo se da je jedan moj poznanik koristio istu osnovu cms-a za sve site-ove koje je radio (s to je najgore, tu su bile banke, fakulteti, tv stanice…) igrom slucaja druga osoba je preko nekog sitnog propusta dosla do code-a, pregledanjem je pronasao propust te su zbog toga svi ostali site-ovi bili u opasnosti, dakle svelo se na dobru volju…

“gotovi” i custom cms-ovi imaju svoje prednosti i mane, ali to se sve gubi ako znate sta radite i ako poznajete nacin na koji sve to funkcionise te koji su to moguci propusti. (of skroz, lakse je skontanti sopstveni cms nego pregledati milje koda gotovih, ali to je vec druga prica…)[/quote]
hehehhehehe, sa tim nemaju albanci ni turci veze, takav je cijeli svijet, zavisi na cijem se kompu nadje neki bot koji takvo nesto i skenira … google to ne mora biti

mislim da je ovo najlraci a “najblizi” odgovor.

e, to je on sto mene najvise NEprivlaci kod gotovih CMS-ova

hajd’ opet da malo zakuham!

nakon prethodnih postova, i dodatnog istrazivanja poslus’o sam vecinu i kren’o putem CMS-a. konkretno Drupal-a
a i moji klijenti su bili “sretniji” jer je usteda u vremenu ogromna, prilicno niza cijena. rahat od straha od neke rupe u kodu…
iako su skoro sve stranice one najobicnije, ipak do sada takoreci nije bilo situacije da neki od drupal modula nije mogao odraditi svoj posao. ocjena 5+

ali… (“ali” is my middle name) ponovo mi se vratio isti problem u nesto drugacijem obliku.
u pripremi je web aplikacija koja ce servisirati usluge non-profit organizacija (npo). znaci prijavi nam se npo mi joj napravimo stanicu ali stranica takodje sadrzi i kalendar, events, event registracijm online registracija, membership, membership registration, online membership payment, tasks, forum za sve, forum za clanove, forum samo za guzonje te organizacije, profile manager, …
za vecina ovih potreba postoje vec moduli i nebi bio problem i da predlozim da se ide sa drupalom. medjutim, ipak potoji par stvari koje su specificne a npo i nemam modul za to (mozd ai postoji ali ga ja nisam nasao, ali to sad nije poenta ni pitanje ni problem koji hocu ovdje da prezentujem) a postoji bojazan da neki mduli nece moci dati 100% ono sto mi trebamo pa bi u slucaju da koristimo drupal morali raditi na preinakama vec postojeceg modula. i, sto je najgore, mi moramo poceti sa stvaranjem web aplikacije iako nemamo 100% sliku kako ce konacna aplikacija igledati. u stvari aplikacija je rzradjena recimo 75% a ostalih 25% ce se dodavati nakon sto vidimo reakaciju kliijenata, njihove potrebe i sl.

sad pitanje: da li ipak ici sa drupalom, koristiti postojece module, ali i upustiti se u modificiaranje postojecih modula za moje potrebe, plus ici sa jednom neizvjesnoscu jer ne znamo sta cemo trebati iduce godine, ili ipak ici sa custom code i sa svim nedostacima koje customcode nosi ali zato sa puno laksim modifikacijama jer je kod poznat i nema neizvjesnoti za buducnost jer sta god da se treba uradtiti - kod je vec ponzat i lako je dodati nesto novo.

ili, mozda da pojednostavim, u kom slucaju, pod kakvim uslovima treba ici sa custom code umjesto CMS-om?

pretrazujuci google,na nekoliko mjesta sam nasao jaaaako puno komentara i misljenja da cms je najbolje rjesenje ako nema potrebe za modifikacijama ili su modifikacije jako malene. inace, ako se ocekuju modifikacije vec postojecih modula - ici sa custom code.

hajd’ da vidim i cujem vase misljenje?

Moj savjet: drupal s modulima.
Ako neki MODUL treba mnogo prepraviti da bi zadovoljio onda mozete napisati taj modul ispocetka.
Dakle - ako modul radi ono sto treba - ostavite ga
- ako modul treba malo promijeniti - koristite postojeci i promijenite ga malo
- ako modul treba puno promijeniti - napisete svoj modul …

[quote=testni_hamo2]Moj savjet: drupal s modulima.
Ako neki MODUL treba mnogo prepraviti da bi zadovoljio onda mozete napisati taj modul ispocetka.
Dakle - ako modul radi ono sto treba - ostavite ga
- ako modul treba malo promijeniti - koristite postojeci i promijenite ga malo
- ako modul treba puno promijeniti - napisete svoj modul …[/quote]
Da se ukljucim u diskusiju aplaudirajuci prethodnom postu…ja se licno nikad ne bih upustio u pisanje vlastitog cms-a pored drupala(neki ce reci isto za joomlu i sl.)…sto se tice sigurnosti, dovolljno je recimo zavirit na milw0rm pa pogledat broj exploita za odredjene cms-ove:

drupal=5; posljednji unos 10.10.2007
joomla= uh,ne da mi se brojat, mashala; zadnji unos 21.09.2009
opencms= 2; zadnji unos 24.06.2009

Ovo je vjerovatno daleko od stvarnog stanja, ali moze dati pribliznu sliku o odnosu sigurnosnih propusta u pojedinim aplikacijama…jos jedna jako bitna stvar u svemu, a to je vrijeme i kolicina ulozenog novca u novi projekat…svi navedeni cms-ovi su rezultat dugogodisnjeg rada tima programera, kao i testiranja te koristenja od strane velikog broja korisnika…imao sam priliku da koristim cms domace firme (ne zelim da blatim nikoga pa necu ime ni navodit, dodushe cuo sam o izlasku nove verzije njihovog cms-a koji nisam imao priliku da probam) , i to iskustvo ne zelim nikome…

mali off-topic…jedva cekam drupal 7

Je li se na kraju ovo svelo da je ipak Drupal u radu sa CMS-om najmenje zlo-najbolja opcija!?

Wordpress je zasad najbolja opcija sa auto-update ukljucenim