rethus hat geschrieben: ↑Fr 18. Mai 2018, 08:42
und das Oldperls Fork von Contenido weitaus aktueller war, als Contenido selbst.
Der sitzt auch sehr viele Stunden da dran, sagen Gerüchte.
Man wusste immer, wenn Contenido updaten, dann wird das eine "Aktion". Nicht wie bei anderen Systemen mit integriertem Patchsystem mit wenig Aufwand (vielleicht ein Klick) zu bewerkstelligen ist. Also ja, es gab updates.
Also das ist heikel.
Ich brauche für ein Contenido Update innerhalb von 4.8.x oder 4.9.x so zwischen 30 Minuten und 1 Stunde, mit Datensicherung von Web und DB.
Wenn ich Wordpress update, geht das wohl per Klick (gestern Abend kam Version 4.9.6 raus, mit DSGVO Anpassungen), aber immer mit einem schlechten Gefühl im Bauch, wenn nicht vorher eine Datensicherung gefahren wurde. Bei mir kann ich das ja machen, dann ist mein Blog vielleicht zerschossen aber bei Kunden kann ich keinen Klick riskieren ohne Sicherung. Und dann relativiert sich das wieder von der Zeit her.
Und ja, seit einem Update ist das Theme eines Blogs zerschossen, geht nicht mehr zu reparieren, muss neues Theme her...
Aufwand: Was kostet ein neues individuelles Wordpress Theme? (nein, keines vom Katalog)
Und jetzt steht mir ein Wordpress Update von einem Multilanguage-Multiblog bevor, wegen der DSGVO. Ganz heikel...
Davor aber noch zwei Updates vermutlich, von Contenido 4.8.18 auf 4.8.20
Und wenn du mir jetzt mit dem Einwand kommst, das Contenido seit 4.9.12 so ausgereift ist, das es Fehlerfrei sei, müsste ich an deinen Entwickler-Qualitäten & Berufserfahrung zweifeln (was ich nicht tue).
Ich werde mich hüten, das zu behaupten.
Es stimmt, seit der 4.9.12 geht es sehr langsam...
Da kannst du aber nur vom Glück reden. Habe hier schon so einige Contenido Systeme nach einem Hack repariert.
Seit 4.6.24 und 4.8.15 ist Ruhe, keine Hacks mehr.
In 4.9.x noch gar nichts.
Um nun noch einmal auf die Security-Bewertungs-Seite zurück zu kommen. Wie bitte, soll man Sicherheitstechnisch ein System einstufen, das seit 2016 nicht aktualisiert wurde?
Als sicher.
Denn jede neue Entwicklung macht ein ausgereiftes und sicheres System wieder von neuem unsicher.
Wordpress ist ständig immer wieder unsicher, da ständig und stets weiterentwickelt wird (und nicht unbedingt immer zum Guten).
Bei Joomla wüsste ich gar nicht, ob das jemals sicher war, egal welcher Versionen. Darum mache ich damit nichts mehr.
Typo3 war im Core relativ sicher, aber die ganzen Extensions haben diese Sicherheit wieder aufgehoben.
Bei Contenido liegt es im wesentlichen an den externen Modulen und Plugins, ob es sicher ist oder nicht.
Ich habe Module gesehen, die in etwa so programmiert sind:
Das hat dann nichts mehr mit Contenido selbst zu tun, warum da was hackbar ist, aber am Ende ist natürlich eine Contenido-Webseite betroffen.
- Ich bin kein Sicherheitsberater, aber wahre mir den "objektiven" Blick auf Fakten, um ein System zu beurteilen...
Ich auch und ich sehe, dass ich Contenido deutlich besser absichern kann als z.B. Wordpress.
Ich installiere Contenido meistens so:
Domain.tld --> /cms
sub1.domain.tld --> /contenido
sub2.domain.tld --> /setup
Dadurch kommt man mit der domain.tld schon mal nicht mehr an das Backend-Login. Man muss dazu die Subdomain wissen.
Natürlich kann ein Bot alle Kombinationen aus Subdomains ausprobieren, bis eine passt, aber dann kann ich immer noch eine htpasswd-Sicherung davor schalten, falls es zu heikel wird.
Und das Setup kann ich je nach belieben abtrennen vom Netz oder auf ein leeres Verzeichnis laufen lassen.
Und an /data oder anderes Zeuch muss man vom Web aus gar nicht dran in der Regel. Dafür gibts dann sftp.
Diese Anordnung geht bei Contenido, weil es parallel aufgebaut ist, bei Wordpress nicht.
Ja ich würde mich freuen, wenn Contenido zu neuem Leben erwacht.
Gerade jetzt mit der DSGVO stelle ich fest, wie gut wieder Contenido ist.
Hab gestern beim Oberdatenschützer Jan Albrecht, der scheints Hauptverantwortlicher für diese DSGVO ist, in seinem Wordpress-Blog festgestellt, dass dieser auf jqueryui->googleapis.com verweisen will, ohne dass dieses auf der Datenschutzerklärung von ihm erklärt werden würde.
Höchstwahrscheinlich hat irgendein Plugin eine spezielle jqueryui Zusammenstellung gebraucht und diese über die Googleapis eingebunden.
Das geht so schnell per Mausklich, dass man ein Plugin dort installiert hat, das sich extern Zugriff verschafft und schon ist die Datenschutzerklärung veraltet. (mittags hatten sie das bereits entfernt, also hat jemand meine Botschaft gelesen)
Bei Contenido gibts das nicht, weil es keine Module per Mausklick zum installieren gibt.
Man muss bei Contenido wissen was man tut und weiß es meistens.
Jetzt würde die Stunde von Contenido schlagen.
Ja ich leiste gerne einen Anteil.
Ich auch, kam aber noch nicht dazu, für den Core was zu machen. Das ist aberauch recht komplex und mit Git kenne ich mich noch nicht aus.
[*] Community-Aktivitätslevel (entscheidet selbst)
Ich bin fast jeden Tag hier drin
[*] EntwicklerTeam bei 4fb - Fredderic Schneider (1 Entwickler, meines Wissens betreut er Contenido nur als "Zusatzaufgabe" [verbessere mich bitte wenn ich falsch liege] (so zu sagen der letzte, der das Feuer nicht ausgehen lässt [Danke dafür Fredderic]
Sieht momentan so aus, darum sollten wir ja das mal übernehmen.
Die Antwort darauf, wie man nun die Sicherheit einer Software mit obigen Fakten einstuft, mag sich jeder selbst geben.
Gute Software ist nicht automatisch schlecht oder unsicher, das Problem sind eher die fortschreitenden Versionen von MySQL und PHP, die eine weiterentwicklung notwendig machen.
Ich habe noch eine 4.6.24 bei einem Kunden, die immer noch gut läuft und nie gehackt wurde in all den Jahren.
Ich rate nur dazu gerade in Sachen Sicherheit der Objektivität den höchsten Stellenwert zu geben und über den Tellerrand zu blicken.
Ich mach ja nicht nur Contenido, aber das halt am liebsten, weil ich über den Tellerrand schaue und geschaut habe und sehe, was anderswo verbockt wird.
Wusstest Du, dass seit der 4.9 von Wordpress man den internen Code-Editor teils gar nicht mehr verwenden kann, weil da eine Nanny-Funktion vorgeschaltet wurde? Man könnte ja durch Änderung am Theme die Seite zerschießen und solle das doch bitte per FTP machen.
Ja toll, wenn man gerade mal kein FTP Zugang hat aber Superadmin im Blog ist.
So, hab neue Mails, muss entscheiden was davon ich zuerst machen.
...vielleicht Espresso.