CMS-uri gata facute

In ultima vreme vin tot mai multi clienti cu saiturile facute vraiste si incep sa ma simt ca un croitor la care vin toti cu traista rupta. N-as vrea sa ma declar impotriva celor care folosesc CMS-uri gata facute, sau a celor care s-au obisnuit cu un anumit mod de lucru pe o anumita platforma. Insa sunt impotriva folosirii tuturor scripturilor fara sa stiti ce fac aceste scripturi si mai ales fara sa stiti ce va pot face. Incepand de la Joomla sau phpBB si terminand cu WordPress sau Drupal, toate au hibele lor, toate au gaurile lor de securitate mai mari sau mai mici.
Pentru Dumnezeu: faceti saituri simple, de mana voastra, nu instalati tot ce gasiti pe internet!

Deschid acest topic pentru a dezbate toate problemele aparute la CMS-urile gata facute.
Repet: nu sunt impotriva lor, am tot respectul pentru dezvoltatorii acestor proiecte, iar problemele aparute pot fi rezolvate!

soul4blade, on Jul 8 2007, 15:59, said:

Nu te contrazic.. dar te intreb si eu o chestie: site-urile facute de tine ( de la 0 ) sau de altii dezvolatatori , nu au hibe, gauri de securitate, etc?

ba da au. dar problema e urmatoarea: cati se chinuie sa gaseaasca puncte slabe in wordpress si cati se chinuie pe scriptul meu? (pe care btw, nici macar nu il au la dispozitie). deci dupa mine nu probabilitatea de a avea un bug de securitate conteaza, ci probabilitatea ca acesta sa fie descoperit. Care e mult mai mare la CMS_urile gata facute.

+ ca un frame propriu il poti dezvolta cum vrei tu, stii f bine ce e acolo, stii de unde apare problema de cele mai multe ori si il poti monitoriza. Nu va mai explic cat de complicat e sa customizezi un IPB 2.31, sau cate buguri au fost descoperite in cadrul acestei customizari.

site-uri pe cms-uri opensource primesc doar cei care se zgarcesc la 100E , dupa parerea mea, si-o merita in caz ca li se intampla ceva
o firma care se respecta , ofera site-ul pe o platforma proprie , iar un client care se respecta, cere acelasi lucru

eu pana acu am lucrat f mult cu joomla (design=ul meu implementat in script) si am facut chiar si magazine, nimeni nu s-a plans de nimic.


ce fel de prb ati avut ?

@novakane: nu e vorba de ce probleme am avut, e vorba ca un framework dezvoltat de tine se intretine mai usor. In afara de asta, potentialele riscuri sunt mai mici, fiind aplicatia ta, codul sursa al tau, etc. Daca iti cunosti meseria, stii care sunt riscurile si iti updatezi softurile necesare de fiecare data, obtii de cele mai multe ori o aplicatie care este cu mult mai stabila si mai buna decat un cms luat de pe net. In afara de asta, toate modulele instalate pe cms-uri sunt facute de altcineva (de cele mai multe ori) decat cei care dezvolta softul. Si unele dintre ele sunt facute ciudat, sunt pline de buguri si introduc alte buguri in sistemele respective.

Dupa cum ziceam si mai inainte, una e sa luucrezi cu codul in fata, in cautarea de vulnerabilitati, si alta e sa lucrezi pe ghicite.

Eu inteleg pe cei care dezvolta soft si au ca si concurenti opencms/forumuri/gallery/blog . Corect, Joomla ( l-am luat ca exemplu ) este mult mai expusa atacurilor dar pe de alta parta , in spatele joomla este o echipa destul de numeroasa de dezvoltatori si sa nu mai vorbim de "echipa" uriasa de testeri. Sansa ca un bug/gaura de securitate sa fie gasita si acoperita e mult mai mare in acest caz.

Plus ca mai e o chestie de functionalitate. In cat timp se construieste un script asa complex ca joomla? Plus sutele de mod-uri care indeplinesc aproape toate dorintele utilizatorilor.

Eu folosesc 2 softuri free, smf si 4images si evident sunt cu nasul in forumurile lor mai tot timpul. reclamatiile legate de hack sunt extrem de rare. Iar de multe ori site-ul a fost hack-uit din cauza unui add-on nesigur sau a proastei configurari a serverului.

Fara discutie, echipele acestor programe au in componenta oameni de valoare pe care nici nu vreau sa-i contest, si mi-ar fi chiar rusine sa fac asta. Secvential - insa - la fiecare update al unui CMS, apare un BUG. Majoritatea sunt generate de erori umane sau de configurari proaste - insa daca e un CMS bun DE CE te lasa sa-ti faci aceste configurari?

phpBB - de exemplu - e o patrie a SPAM-erilor. Merg robotii de spam pe forumuri mai ceva ca GoogleBot... te dai cu cracii-n sus pe la phpBB, cauti tot felul de solutii si pui tot felul de phpBBHack-uri doar doar le mai tai craca... Cand foarte simplu ar fi fost sa iti faci un FORUM cu manuta ta.
Mie astea chiar mi se par provocari, daca nu prime instante in proiectatul viitor lejer pe internet. Hack-ul se dezvolta in directia dictata de dezvoltatori, si de cele mai multe ori pe platforme deja cunoscute.

Stiu, de foarte multe ori suntem tentati sa trantim un Joomla, sa aruncam un skin pe el, sa storcim o imagine in header si gata saitul... tentatia de a castiga un ban mai usor e solutia ta, dar in felul asta n-ai sa multumesti niciodata un client. Ba mai mult, am vazut clienti dezamagiti care oricum nu simteau internetul pana la ultima fibra si care dupa doua-trei bube aparute spun scurt: "ma fu' pe el de internet, to' mai bine im' fac reclama la ziear"

sunt de parere ca ar trebui incurajati dezvoltatorii de proiecte internet sa isi faca propriile scripturi, sa scrie si sa dezvolte CMS-uri pe care sa le cunoasca, sa le stapaneasca si sa le dezvolte la cererea clientului.

din pacate se pare ca nu ai experienta prea multa cu cms-urile sau cu softurile "la cheie" in general. Eu tocmai am terminat de customizat un IPB, chiar ultima versiune (2.31) si este absolut plin de buguri. Si nu numai de securitate. Se vede ca au trecut cateva generatii de coderi peste acel soft. Este pe alocuri instabil, greu de integrat cu o autentificare externa, comuna cu alta interfata, nu exista un tool care sa iti permita sa controlezi diferite chestii din exterior, etc. Si problema asta e generala. Sincer iti ia mult mai mult sa urmaresit bugfixurile decat sa iti creezi aplicatia ta proprie. Mai ales ca eu de ex de la joomla nu am nevoie de toate optiunile. Nu imi place sistemul de user management. Nu imi place sistemul de templating. Nu imi place joomla. E greoi, pe alocuri chiar inflexibil, si nu cred ca m-as apuca vreodata sa customizez asa ceva din nou.

Cred ca cel mai important factor este cel financiar. Cine n-ar vrea sa comande un site care sa integreze cele mai bune facilitati? Eu stiu in cazul meu, daca ar fi 250 de euro as mai zice, dar daca vrei un cms portal de stiri si etc, eu cred ca depaseste bine aceasta suma. Ba se mai gasesc oameni sa ti-l faca ieftin dar de multe ori ajungi la un rezultat destul de slab.
Mai mult o firma de web design care a facut 30 de siteuri de top in ro, credeti ca de fiecare inventeaza codul?

nu, dar de cele mai multe ori foloseste un framework dezvoltat de catre ei. Nu un joomla, etc etc etc.

soul4blade, on Jul 9 2007, 22:13, said:

Sunt putin off topic dar ce am sa va spun cam are legatura cu acest subiect.

Zilele trecute eram la o firma ( la care am lucrat ). Intamplator tot acolo era si un tip care se pregatea sa faca firmei o pagina pe net. Din start vreau sa precizez ca pagina respectiva ar fi trebuit sa fie o pagina de prezentare pentru o firma mica care in cel mai bun caz ar fi avut vreo 100 de vizitatori pe zi. Site-ul ar fi trebuit sa ai vreo 100 de poze ( adaugate pe parcurs ) plus ceva text.
Din start "dezvoltatorul" nu a vrut sa puna pagina pe un host si a vrut sa foloseasca un server. Un host bun il costa pe luna 15 - 40 lei pe luna. Dar nuuuu, el vroia server. Bunnn. In firma avea la dispozitie 2 pc-uri care puteau fi transformate in server. Ambele cu configuratii bune ( 1 gb ram, placa video 256 MB, hdd 200 gb, procesor bun dar sincer sa fiu nu mai stiu de care ). Eu cred ca oricare din cele 2 pc-uri ar fi putut sa devina un excelent web server. Dar el, nu. Trebuie sa cumparam .. aproximativ ~ 1500 lei ( de la un prieten de al lui ). Vroia o configuratie cu minim 2 GB ram, placa video 512 mb ( la ce naiba ii trebuia placa asta , nu stiu ). Il intreb, dar ce vrei sa pui pe el de ai nevoie de configuratia asta? Zice, XAMPP si mambo. In momentul ala am tacut.

Pe langa banii pentru "server" , omu mai cerea si 600 euroi ca avans

Deci, din punctul meu de vedere, omu' e tepar.

Pai tu nu sti tot, dupa acea va cere abonament service la server, banda mai mare si garantata...
Zi sa iti dea si tie 10% sa nu il dai in gat :).

soul4blade, on Jul 9 2007, 22:13, said:

Glumesti ?!? Tu ai idee cat de complex este un forum ? Daca PHPBB ti se pare simplu, arunca o privire la Vbulletin. Cam in cati ani reusesti sa faci un board la fel de securizat, scalabil si flexibil ca Vbulleti ? Iti spun eu fara exagerare: singur nu il vei face NICIODATA. Daca ai nevoie de un forum solid, investeste 160USD in Vbulletin si vor fi niste bani foarte bine investiti.

In rest, propunerea celorlalti oameni de pe forum se rezuma cam la asta: SECURITATE PRIN OBSCURITATE. "Scriptul meu e mic, nu a auzit nici dracu de el, deci sunt in siguranta !" Mersi frumos, eu am 6 ani de programare in spate si am trecut demult de etapa asta.

Daca mergem pe logica asta, nici Linux-ul nu este sigur. Ce sa mai ... de fapt nici un pachet open source nu este sigur.

Mai am o sugestie pentru voi: daca intrati pe site-ul www.secunia.com puteti cauta vulnerabilitatile in foarte multe pachete software. Daca va uitati la MySql o sa vedeti ca nu este scutit de probleme, dimpotriva. Acum sugestia mea e clara nu ? Apucati-va voi si faceti o baza de date in locul MySql. Veti merge pe acelasi principiu: hackerii se orienteaza pe MySql ...

Terminand cu gluma: reinventarea rotii se preteaza doar la site-uri mici, cu functionalitate redusa.

Eu am ajuns pe thread-ul asta pentru ca analizez toate posibilitatile pentru un CMS. Nu ma deranjeaza sa dau bani, chiar sute de $$$. Vreau ceva de calitate, dar problema este ca daca nu ma informez, cu toti banii din lume pot sa iau cea mai mare teapa.


NB:
Referitor la PHPBB ai dreptate .... este un pachet slab.

bogdanar, on Jul 10 2007, 12:44, said:

Clar ca e tepar. Pe servere se merge de multe ori cu placa video integrata. In loc sa bagi banii in placa video mai bine iti iei RAID, mai bine maresti spatiul pe disc, mai bine maresti RAM-ul, mai bine iti tii banii si mergi la un film .... mai bine faci orice altceva.

care e scopul ? nu e mult mai usor sa iei unul existent si sa-l imbunatatesti ? competitia in prezent e destul de mare, daca tu-i spui omului ca-i faci proiectul in 3 luni doar ca ai ambitia ca sa-l faci de la 0, vine altul si-l face intr-o luna si mai ieftin si mai bun. ca sa faci un soft cu functionalitatea drupal-ului iti ia cel putin cateva luni spre un an cu cativa oameni dedicati proiectului. sa acoperi suportul pe care comunitatea open source il ofera nu o sa reusesti niciodata.

atunci, care e scopul ? mandria ? securitatea prin obscuritate nu e securitate.

Scuze, si eu tot putin ...offtopic, dar cred ca are ceva legatura si makes some sens...

bogdanar, on Jul 10 2007, 12:44, said:

Pai, poate, se gandeste ca in perspectiva, sa dezvolte aplicatia si ii trebuie resurse...

bogdanar, on Jul 10 2007, 12:44, said:

Sincer, iti admir punctele de vedere pe unde postezi, dar eu cred ca judeci tipul cam aspru.  "Teapa" ar fi sa se inteleaga cu firma la un pret pentru un job, sa ia banii, si apoi sa nu finalizeze jobul sau sa dea buleala...  Indiferent ca stie joaca sau nu, mie tipul mi se pare chiar de laudat -stie sa se tocmeasca.  Omul cere, probabil stie ca are si de unde.  Cred ca tu (sau altul...) ai fi mai degraba de criticat daca te-ai duce in urma lui la firma aia si le-ai spune "eu faceam asta pentru doar...".  M-au faultat multi asa, milogii m-au facut pentru doar cateva zeci, nici macar o suta, in locuri si la patroni care cheltuiau fara regret doar intr-o noapte tot pretul site-ului care-l cerusem eu...  Sti ce impresie ramane in capul unui patron parelel cu web-ul o mancatorie d-asta?!  Iti spun din propia constatare: ca suntem niste cersetori care ne muscam de c... si de p... pentru cativa banuti in plus sau in minus.  Ca un site e o joaca de maxim o zi si o noapte (poate fi chiar asa de multe ori, dar nu trebuie sa stie ei...)  Si d-asta scuipa multi pe noi si ne trateaza ca pe niste idioti (utili, cat de cat...), si ne ducem la usa lor la saptamana sa mai incasam ce mai avem de primit, ca ajunge sa ne coste telefoanele si drumurile si timpul pierdut mai mult decat am luat!

Edited by liv_stef, 23 July 2007 - 11:10.

liv_stef, on Jul 23 2007, 12:09, said:

Nu are la ce viitor sa se gandesca.. ca nu-si propune sa faca un alt softpedia. Site-ul respectiv ar fi trebuit sa fie unul de prezentare al firmei.. cati vizitatori ar putea sa aiba? Ca doar nu-i coca cola sau vodafone.. sau poate vroia sa faca streaming cu imagini din birouri :D... ( glumesc ). Si de ce sa dea atatia bani pe un server , tinut intr-un birou al firmei ( deci departe de niste conditii cat de cat profesionale) pe un amarat de abonament upc si fara sursa permanenta.

liv_stef, on Jul 23 2007, 12:09, said:

Teapa la care te referi tu se numeste de fapt furt calificat . Iti spun ca-ti vand produsul meu, iau banii si plec ;)

Corect, nu e problema cat a cerut omu'.. si eu as vrea sa iau de 3 - 5 ori mai multi bani pentru munca mea actuala. Vorba aia, "prost nu e cel ce cere si cel care da". Si fiind pe o piata concurentiala, cred ca daca tu ceri o suma, e dreptul altuia sa ceara mai putin.. asa lucreaza concurenta.

Eu am vrut sa subliniez in acel post ca omu venea si umfla nejustificat de mult ( dupa umila mea parere ) costul total de realizare a unui site. Mai ales ca mi-a spus ca pune XAMPP si mambo... deci la alea ce facea? Le instala, un pic de configurare, un pic de personalizare in mambo ( probabil cu niste template-uri free ) si gata treaba.