Re: Argumente Pro WebsiteBaker

[byteworker]

Hallo Forum,

ich pers. bin schon lange ein überzeugter Fan des Webseitenbäckerburs chen. Nun habe ich im Hauptberuf in ein Wespennest gestochen als ich, blauäugig wie ich bin, "mein" CMS ins Rennen um eine Site meines neuen Arbeitgebers schickte.

Der Vorteil war für mich, ich kenne den WB gut und so habe ich Ruck-Zuck ein vorhandenes Template auf ihn umgebaut. Das war schon sehr gut und hat die Diskussion der Sicherheitsfachleut e zum Thema CMS ins Rollen gebracht.

Hier werden sicherheitsrelevant e Seiten betreut, Paypal, Daten von Kreditkarten und andere Paymentbuchungen laufen über die Server und man vertritt die Meinung das nur selbstgeschriebene Tools sicher genug sind. Nun ja... mit so einem hausgemachten Wiki kann man heute nicht viel reissen, es muss auch „schön“ sein und die redaktionell betreuten Ecken werden immer mehr. Darum soll es für einige Teilbereiche ein CMS geben.

WebsiteBaker wird als zu unsicher abgelehnt, Drupal war kurz im Gespräch und seit kurzem ist Expressionengine das Thema. Mir gefällt das Tool allein wegen der Möglichkeit fast jede Art von Datenstrom ins Template zu kippen, aber es gibt für alles was nett und sinnvoll ist nur Bezahlplugins. Nicht mal eine automatisch erzeugte Seitennavi gibt EE von sich aus her. Selbst wenn man ein WYSIWYG Editor möchte (für einige Bereiche wirklich brauchbar) ist man bei dem Ding auf teure Zusätze angewiesen.

Ich suche nach guten Argumenten, warum der WB in einer sicherheitsrelevant en Umgebung, mit zahlreichen Seitenbesuchen ein Tool der ersten Wahl ist. Anpassbar ist er, Code kann ich im Template und im Content durchschleifen, ich möchte die Sicherheit und Unangreifbarkeit argumentativ untermauern können.

Grüsse
Norbert

[kweitzel]

Hallo Norbert,

eine Interessante Anfrage ... muss ich schon sagen. Als erstes, schau Dir die aktuelle SVN Version an, wo einige neue Konzepte über die Sicherheit bereits umgesetzt worden sind. In der aktuellen Release Version gibt es ein ein paar Lücken, die aber hauptsächlich mit einem Userkonto UND weiteren Berechtigungen im Backend nutzbar sind, siehe auch die Secunia Seite.

Dann lass einen Vergleich der bekannten Sicherheitslücken von verschiedenen großen CMS und/oder Frameworks erstellen.

Unsere eigene Seite läuft auf WebsiteBaker und hat durchschnittlich 15000 Besuche pro Tag, wovon ca. 5000 exklusiv auf das Forum gehen, ohne die WB Seiten selber zu besuchen. In den Staaten läuft (oder lief) eine College Seite mit ähnlichen Statistiken, zusätzlich mit einigen tausend Nutzern. Performance mäßig hängt einfach sehr viel von der Inrfastruktur ab auf der WB eingesetzt wird.

Aktuell würde ich sagen, wenn WB nur Nutzerkonten für "interne" Nutzer hat und die Nutzeradministratio n imme strikt durchgezogen wird, ist WB fast unschlagbar und wird mit den nächsten Versionen noch besser. Zusätzlich gibt es die Möglichkeit durch umbenennen des Admin Ordners ein weiteres Maß an Sicherheit gegen Angriffe von Aussen zu schaffen, ich selber mache das bei einigen Seiten zusammen mit der Absicherung durch .htaccess Authentifizierung.

Das könnte für Dich der Anfang Deiner Argumentationskette sein.

Gruß

Klaus

[Waldschwein]

Hallo,

ich sehe es ähnlich wie Klaus. Was WebsiteBaker den Ruf als eher unsicher einbringt ist weniger das System, sondern eher verwendete Module. Aber eine professionelle Seite wird kaum ein Backup-Tool brauchen, hier gibt es ganz andere Sicherungsmechanism en.
WebsiteBaker selbst wird kaum PayPal Dateien verwalten. Wenn man das will, darf man eh kein CMS nehmen, sondern sollte auf ein ECMS / CRM System ausweichen.
Expressionengine hat dieselben Probleme wie WebsiteBaker, teilweise wohl noch schlimmer, wenn man nach einigen Feedbacks im Netz geht. Die Frage ist, warum ich ein Produkt mir kaufen muss, wo ich letztendlich nur ein CMS ohne jeglicher Standards und schwer zu erklärenden Features, das um ein kostenloses Framework (CodeIgniter) herumprogrammiert ist dafür bekomme.
Wenn man wirklich ein gutes System will, das sicher ist wird es aus jetzigem Stand schwer, genügend Argumente für WB zu finden - so hart es klingen mag.
Aber: Hat man einen gut konfigurierten Server, nutzt man eben auch .htaccess u.a. aus (für Medienordner), hat man eine Unterscheidung zwischen FTP-/PHP-User (was durchaus ein Sicherheitszugewinn ist), ist man sehr bedacht bei der Auswahl von Modulen - das sind schon Argumente.
Weiterhin kann man sich eben WB konfigurieren nach Lust und Laune - gefällt es einem aus Sicherheitsgründen per se nicht, dass man PHP in Templatedateien verwendet - gibt es xft2 (PMF weiß ich nicht). Also Beispiel.
Und: So sicher viele Sachen auch programmiert sind, es häufen sich gerade bei den "super sicheren Programmen" die Sicherheitslücken en masse, weil die Programmierer darauf vertrauen, dass die Server, die Konfiguration usw. sicher ist.
Ob man nun Drupal, ModX oder WB verwendet - ich denke, wenn man weiß wie man umgeht, sind sie wohl alle ziemlich gleich sicher. So wie Linux auch nicht sicherer ist als Mac oder Windows.

Gruß Michael

[byteworker]

Erstaunlicherweise gings jetzt doch mit dem WB. Die Entscheider müssen sich halt manchmal anderen Leuten beugen 

Danke für die vielen Anregungen, interessanten Hintergrundinfos.

Gruss
Norbert

[Waldschwein]

Hallo!

Klingt doch gut! Wäre natürlich auch ganz gut zu wissen, was so im einzelnen verändert wurde, ob es Probleme gab usw.
Bei Interesse einfach mal melden, könnte man ja ein Fallbeispiel draus stricken. Interessant klingt es auf jeden Fall. 

Gruß Michael

[escpro]

Halle zusammen

nach einem kurzen chat gestern mit einem Core-Mitglied scheint die aktuelle 2.8.1 mom als nicht sicher - da Löcher im Backend für reg. User mit div. Rechten _genutzt_ werden können.
Wäre inter. welche  Userconfig das betrifft... (ausser mod_code-Nutzung) 

[BlackBird]

Und das hat Dich überrascht? Ich dachte, das wäre mittlerweile allgemein bekannt...

[escpro]

Ui .. jetzt wirds inter. 

Und das hat Dich überrascht? Ich dachte, das wäre mittlerweile allgemein bekannt...

[ChrusR]

Sehr interessanter Thread. Es ist wohl wie in der Natur: es überlebt nur wer sich Schwachstellen (Defekte) durch Mutationen (neue Versionen) vom Leib hält. Starke Verbreitung und Aktivität ist dabei Vorteil und Nachteil zugleich. WB bleibt mir sympatisch... 

[MaGnaL]

Sehe das ähnlich wie meine Vorschreiber. Wenn das System von fähigen Leuten bedient wird, ist so ziemlich jedes verbreitete OS-Produkt sicher, zumindest der Core wie in unserem Fall. Vorraussetzung ist nur, dass die jeweilige Community lebt und das Produkt verbessert. Nur an den Modulen muss man arbeiten.

Was für mich ein weiteres Killer-Feature, ist der modulare Aufbau. Ich kenne kein anderes CMS bei dem dies so trivial umgesetzt ist. Man kann die Stärken von PHP vollständig ausspielen, ist nicht beschränkt auf systemeigene, erfundene Skriptsprachen (wie es glaube ich bei Joomla der Fall ist?), muss sich nicht langwierig Wissen aneignen und ist doch mit komfortablen Funktionen aus dem Core versorgt die man verwenden kann, aber nicht muss. Letztlich kann man sich voll auf die vorhandenen WB-Funktionen verlassen oder das Rad neu erfinden.

[BlackBird]

Typo3 hat eine eigene Scriptsprache. Joomla weiß ich nicht.

[Waldschwein]

Ui .. jetzt wirds inter. 

https://forum.WebsiteBaker.org/index.php/topic,18860.msg125749.html#msg125749
 

Joomla ist wohl noch unsicherer als WebsiteBaker, will mich aber nicht aus dem Fenster lehnen. Besser programmiert ist es jedenfalls nicht. Dafür gibt's andere Kandidaten.

Gruß Michael

[MaGnaL]

Typo3 hat eine eigene Scriptsprache. Joomla weiß ich nicht.

Ok, dann war's Typo. Eins davon jedenfalls, wenn nicht sogar beide. Diese sind auch Beispiele für nicht intuitiv bedienbare CMS. Jedenfalls als ich sie vor ein paar Jahren mal ausprobiert habe. Es gab zwar ein Benutzerhandbuch, aber das war mir zu aufwendig für ne kleine feine Webseite. Ist denke ich generell ne andere Zielgruppe.

[BlackBird]

"Andere Software ist aber noch unsicherer" ist ein eigenartiges Argument. Hier geht es um WB, nicht um Joomla.

[HANS 0]

Die mir bekannten Sicherheitslücken wurden -nach derzeitigem Kenntnisstand bis auf eine, an der noch gewerkelt wird- mit 2.8.2 beseitigt.
Freuet Euch, Weihnachten ist in diesem Jahr etwas früher  

[Waldschwein]

"Andere Software ist aber noch unsicherer" ist ein eigenartiges Argument. Hier geht es um WB, nicht um Joomla.

Naja, TypoScript auch nicht weiger eigenartig. 

[BlackBird]

@Waldschwein: Kapierst Du es wirklich nicht, oder stellst Du Dich absichtlich dumm?

@Hans: Bist Du wirklich ganz sicher, daß 2.8.2 _vor_ Weihnachten (2010, wohlgemerkt) als Release erscheint?

[HANS 0]

Na, die Ironie ist Dir nicht entgangen
Aber natürlich ist es möglich, sagten mir zumindest "meine" IT-Kollegen im Umfeld, die WB schon mal auf dem Prüfstand hatten. Letztendlich entscheidet die Bündelung von Ressourcen und die Kommunikation darüber.

Nur was ist mit Modulen und Konsorten?  Altlasten wären aufzuarbeiten, Gescheite Programmierer fehlen
Nur was ist mit Modulen und Konsorten?  Altlasten wären aufzuarbeiten; gescheite Programmierer fehlen.

[BlackBird]

Ja, Backup ist ein sehr übles Beispiel. (Dafür, wie Dinge _nicht_ laufen sollten.)

[Waldschwein]

Nur was ist mit Modulen und Konsorten?  Altlasten wären aufzuarbeiten, Gescheite Programmierer fehlen

Ich frag mal den Weihnachtsmann, der macht das für uns.

hier standen böse und beleidigende dinge

Gruß Michael

[BlackBird]

Man kann die Dinge nicht schönreden. Es ist halt nun mal Fakt, daß zu einem stabilen und sicheren Kern auch stabile und sichere Kernmodule gehören. Wenn das WB-Development schon das nicht mehr leisten kann, ist was faul. Das heißt nicht, daß die Leute zu faul sind, sondern, daß es zu wenige sind. Und der Grund _dafür_... Naja, ich denke, der hat sich rumgesprochen.

[HANS 0]

Ich frag mal den Weihnachtsmann, der macht das für uns.

Das ist nicht das erste Mal, daß es mit dem Lesen und Verstehen nicht klappt, nä ?
Mit einem Satz oder einer Zeile wo gleichzeitig die Begründung für Vorangegangenes enthalten ist oder nahegelegt wird, bist Du anscheinend schon überfordert.

Damit's noch deutlicher wird, gibt's -'ne Korrektur
Statt
aufzuarbeiten, Gescheite
dat
aufzuarbeiten; gescheite
auch wenn hier die Betonung (schreiberische Freiheit) auf Gescheite entfällt, dürfte es klar sein...

(oha, da kam ja wieder die alte schweinebacke hans>nul zum vorschein   )

[BlackBird]

Schon interessant, wie sich eine Topic "PRO" WebsiteBaker entwickelt. Ich finde, das läßt ziemlich tief blicken. Auch wenn's natürlich abgestritten wird, daß was faul ist, und selbstverständlich ausschließlich die destruktiven Elemente hier im Forum die alleinige Schuld an allem tragen. *hüstel*

[HANS 0]

Wobei "Waldschwein" damit angefangen hat. Genau, "Waldschwein" ist schuld   , auch am Weltuntergang, oder am Umfallen des nächsten Reissacks in China

[BlackBird]

Aber nicht für das Ozonloch und das Aussterben der Dinosaurier, das wurde bereits mir angelastet.