CMS erfaringer søges

Fra Thorsager

Tilmeldt 7. Mar 06

Indlæg ialt: 120

Henning Buddig Skrevet 20-05-2006 kl. 12:48

Hvor mange stjerner giver du? :

Dato: 5/20/2006 12:29:07 PM
Forfatter: LarsBuur

Jeg er af den opfattelse at det er misforstÃ¥et at afskrive alle open source CMS systemer - blot fordi det er open source. Det er oplagt at man lige bÃ¸r fÃ¸le sig lidt frem og se pÃ¥ aktivitetsniveauer etc.

Jeg er fortsat en glad fortaler for Umbraco (.net open source) og mht. aktivitetsniveauet der sÃ¥ var der igÃ¥r 30 posts pÃ¥ umbraco mailing listen:

http://groups.yahoo.com/group/umbraco/

Dette er dog ikke helt reprÃ¦sentativt - men der er i hvert fald 10 posts om dagen.

Til sidst virker det lidt sÃ¸gt, pÃ¥ mig, at forsÃ¸ge at putte vÃ¦gt bag sine ord med en sÃ¦tning som 'Som direktÃ¸r af et it-sikkerhedsfirma kan jeg kun frarÃ¥de brugen af open source CMS-systemer.' nÃ¥r it-sikkerhedsfirmaet har 2-3 ansatte og personen er ca. 19 Ã¥r.

Vil give dig ret, i at den naevnte indledende saetning, som jeg har fremhaevet, maaske ikke er saa heldig, men den er ledsaget
af nogle rigtig gode og brugbare raad om netop valg af CMS saa han har alligevel ikke helt afskrevet det.
Desuden synes jeg det er fint at naevne at man er direktor for et IT sikkerhedsfirma
og dermed selvoelgelig er godt inde i de ting

at det saa samtidig er i en ung alder -
saa maa der absolut ligge nogle gode evner og god indsigt bag ordene.
Godt med meget erfaring, inden for IT, men det skal vaere ung og ny erfaring :)
Henning Buddig

www.thorsweb.dk www.buddig.net

Fra Århus

Tilmeldt 26. Apr 06

Indlæg ialt: 199

Michael Mortensen Skrevet 20-05-2006 kl. 21:42

Hvor mange stjerner giver du? :

Dato: 5/20/2006 12:29:07 PM
Forfatter: LarsBuur

Jeg er af den opfattelse at det er misforstået at afskrive alle open source CMS systemer - blot fordi det er open source. Det er oplagt at man lige bør føle sig lidt frem og se på aktivitetsniveauer etc.

Jeg er fortsat en glad fortaler for Umbraco (.net open source) og mht. aktivitetsniveauet der så var der igår 30 posts på umbraco mailing listen:

http://groups.yahoo.com/group/umbraco/

Dette er dog ikke helt repræsentativt - men der er i hvert fald 10 posts om dagen.

Til sidst virker det lidt søgt, på mig, at forsøge at putte vægt bag sine ord med en sætning som 'Som direktør af et it-sikkerhedsfirma kan jeg kun fraråde brugen af open source CMS-systemer.' når it-sikkerhedsfirmaet har 2-3 ansatte og personen er ca. 19 år.

Jeg afskriver skam på ingen måde samtlige open source CMS systemer. Og slet ikke pga. produktet er open source. Hos Zepcom arbejder vi for det meste med open source systemerne Linux Debian, Linux Gentoo, FreeBSD og OpenBSD - Så vi er skam varme fortalere for open source, men man er bare nød til at have en vis form for kritisk syn på produktet, inden man tager det i brug.

Kommentaren ang. størrelsen af virksomheden og min alder finder jeg det både arrogant og nedladende, og jeg vil gerne frabede mig sådanne kommentarer i fremtiden. Min alder og størrelsen af vores virksomhed er fuldkommen irrelevant for vores evner. Størrelsen af virksomheden har derimod den betydning at dem der er med i Zepcom er yderst kompetente, da vi har meget hårde krav!

Tilmeldt 22. May 06

Indlæg ialt: 4

Niels Hartvig Skrevet 22-05-2006 kl. 13:20

Hvor mange stjerner giver du? :

Spændende vinkel på debatten - jeg er ikke helt enig (måske jeg misforstår), men samtidig må jeg også understrege at jeg er stifter af et af de nævnte open source cms :)

Hvad angår sikkerhed (og i øvrigt en lang række andre parametre) er der ingen grund til at skelne mellem open og closed source. Man bør vurdere dem ens - både hvad angår communties (evt. partnere), sikkerhed, etc. Man kan aldrig konkurrere på priser og selvom open source ofte er gratis, udgør licensen ofte en meget lille del af et samlet budget.

Du skriver:

"Jeg vil normalt råde folk til at bruge open source systemer, men man er bare nød til at være lidt kritisk overfor dem, da en lille udviklerskare kan skabe problemer for sikkerheden."

Jeg er enig - selvom jeg ville prioritere aktivitet over mængde af udviklere. Langt de fleste danske CMS udvikles af under 5 mand - vil du dermed råde folk til at holde sig væk fra danske closed source cms? Hvis du kan nævne en dansk cms leverandør med mere end fem mand der udvikler på kernen (altså ikke arbejder med implementationer, salg, mv.) overrasker du mig.

Mht. at open source systemer skulle være mere sårbare mod sikkerheds angreb, havde jeg forventet at du underbyggede med referencer. Open source systemer har en tendens til at være meget mere åbne omkring sikkerhedsbrister - dvs. at fortælle åbent at en sikkerhedsbrist har været der (typisk en periode efter at patchen er blevet frigivet), men at man ikke har kunne læse offentligt om sikkerhedsbrister på cms leverandørers websites, tvivler jeg på er ensbetydende med at de ikke eksisterer.

Mange hilsner,

Niels Hartvig

Stifter, umbraco

Fra Århus

Tilmeldt 26. Apr 06

Indlæg ialt: 199

Michael Mortensen Skrevet 22-05-2006 kl. 14:50

Hvor mange stjerner giver du? :

Dato: 5/22/2006 1:20:08 PM
Forfatter: Niels Hartvig

Spændende vinkel på debatten - jeg er ikke helt enig (måske jeg misforstår), men samtidig må jeg også understrege at jeg er stifter af et af de nævnte open source cms :)

Hvad angår sikkerhed (og i øvrigt en lang række andre parametre) er der ingen grund til at skelne mellem open og closed source. Man bør vurdere dem ens - både hvad angår communties (evt. partnere), sikkerhed, etc. Man kan aldrig konkurrere på priser og selvom open source ofte er gratis, udgør licensen ofte en meget lille del af et samlet budget.

Du skriver:

''Jeg vil normalt råde folk til at bruge open source systemer, men man er bare nød til at være lidt kritisk overfor dem, da en lille udviklerskare kan skabe problemer for sikkerheden.''

Jeg er enig - selvom jeg ville prioritere aktivitet over mængde af udviklere. Langt de fleste danske CMS udvikles af under 5 mand - vil du dermed råde folk til at holde sig væk fra danske closed source cms? Hvis du kan nævne en dansk cms leverandør med mere end fem mand der udvikler på kernen (altså ikke arbejder med implementationer, salg, mv.) overrasker du mig.

Mht. at open source systemer skulle være mere sårbare mod sikkerheds angreb, havde jeg forventet at du underbyggede med referencer. Open source systemer har en tendens til at være meget mere åbne omkring sikkerhedsbrister - dvs. at fortælle åbent at en sikkerhedsbrist har været der (typisk en periode efter at patchen er blevet frigivet), men at man ikke har kunne læse offentligt om sikkerhedsbrister på cms leverandørers websites, tvivler jeg på er ensbetydende med at de ikke eksisterer.

Mange hilsner,

Niels Hartvig

Stifter, umbraco

Jeg er uenig i din manglende skelning mellem open og closed source. Hvis en angriber skal forsøge sig mod et system, vil han oftes prøve med simple og velkendte teknikker, som f.eks. SQL Injections, Cross-site scripting og lignende. Hvorvidt systemet er open eller closed source her, er ret ligegyldigt, da fejl vil blive opdaget uanset hvad. Men så snart vi går ind i de mere komplekse/snørklede udnyttelser, så er historien straks en anden. Her er det nemlig en gigantisk fordel for angriberen, at han personligt kan kigge koden igennem og finde fejl i filtrering eller lignende. F.eks. er det ofte muligt at indsætte scripkode inde i andre tags. Dette er ikke umiddelbart så nemt at opdage, hvis du ikke har kildekoden til rådighed.
Modsat kan man så sige, at open source systemer med høj aktvitet, som du så præcist sagde det (det var egentlig det jeg mente med stor udviklerskare, jeg formulerede mig bare klodset), er langt mere åbne ang. huller i deres system og systemet bliver derfor hurtigt sikret. Problemet kommer så, hvis aktiviteten ikke er alt for høj! I et sådant tilfælde vil angriberen have en stor fordel, for han har adgang til kildekoden og selvom fejlen måske bliver offentliggjort af en sikkerhedsekspert på www.securityfocus.com eller lignende, så når udviklerne ikke at lukke hullerne, inden angriberen har udnyttet dem adskillige steder. Det samme scenario vil sjællendt ske med closed source, da mere komplekse huller er svære at finde og kræver mange mærkværdige forsøg, hvor du jo så også risikerer at blive opdaget og retsforfulgt for forsøg på elektronisk indbrud.
Du bad om en reference på noget sårbart open source software og det skal du da så få - Et klassisk eksempel vil altid være phpBB. Det bliver brugt af flere tusinde mennesker verden over, er open source, gratis og har over 70 sikkerhedshuller på samvittigheden .. og der kommer ofte nye! Derudover kan nævnes Typo3, PHP-Nuke og Mambo.
Det betyder selvfølgelig ikke man aldrig skal bruge disse systemer. Man skal bare overveje hvor vigtigt sikkerheden er på

Fra Sæby

Tilmeldt 16. May 06

Indlæg ialt: 431

Mette Høholt Frederiksen Skrevet 22-05-2006 kl. 15:06

Hvor mange stjerner giver du? :

Derudover kan nævnes Typo3, PHP-Nuke og Mambo.
Det betyder selvfølgelig ikke man aldrig skal bruge disse systemer. Man skal bare overveje hvor vigtigt sikkerheden er på et givent sted. Det er nok ikke Typo3 CMS-systemet man skal gemme samtlige ens forretningshemmeligheder i...
Mvh.
Michael Mortensen

Hejsa!

Jeg sidder lige i øjeblikket og er mere eller mindre overbevist om at det er typo3 vores valg falder på.

Vi skal have opbygget en hjemmeside, som vores virksomhed skal have som "bopæl"

Jeg har egentligt af den opfattelse at Typo3 var en af de bedste danske CMS på markedet?

Så nu lutter jeg ører! :-)

Er typo3 et dårligt valg?

Online markedsføring - Marketingzonen.dk

Tilmeldt 22. May 06

Indlæg ialt: 4

Niels Hartvig Skrevet 22-05-2006 kl. 15:08

Hvor mange stjerner giver du? :

Jeg vil claime falsk tryghed - hvis man virkelig vil foresage ødelæggelser er det ikke komplekst at finde frem til den kompilerede .NET eller java og benytte reflectors til at få fat i koden. Vi er ude i utrolig målrettede angreb og i denne sammenhæng er det ikke meget sværre at få fat i ovennævnte end at kigge mange tusinde liniers kode igennem.

Men jeg kunne stadigvæk godt tænke mig at høre hvorledes at closed source systemer med "en lille udviklerskare [der] kan skabe problemer for sikkerheden" passer ind i denne sammenhæng.

Jeg er ikke uenig i at IT software har sårbarheder - jeg er blot træt af at closed source som udgangspunkt er sikker og vice-versa med open source...

Fra Århus

Tilmeldt 26. Apr 06

Indlæg ialt: 199

Michael Mortensen Skrevet 22-05-2006 kl. 15:40

Hvor mange stjerner giver du? :

Dato: 5/22/2006 3:06:05 PM
Forfatter: Rollike

Hejsa!

Jeg sidder lige i øjeblikket og er mere eller mindre overbevist om at det er typo3 vores valg falder på.

Vi skal have opbygget en hjemmeside, som vores virksomhed skal have som ''bopæl''

Jeg har egentligt af den opfattelse at Typo3 var en af de bedste danske CMS på markedet?

Så nu lutter jeg ører! :-)

Er typo3 et dårligt valg?

Hvorvidt Typo3 er det dårligt valg, afhænger helt af hvad du forventer. Normalt når man siger et system er det bedste på markedet, så snakker de fleste om funktionalitet, stabilitet og lignende - meget sjællendt snakker de om sikkerhed. Så som funktionelt CMS kan Typo3 meget vel være et godt valg. Hvorvidt man skal bruge det eller ej afhænger så af hvilke data man vil gemme deri. Hvis man agter at gemme følsomme oplysninger som kreditkortnumre og lignende, så er det nok ikke det rigtige valg, men hvis det bare skal bruges til en profilside man alligevel har backup på, så er der umiddelbart intet problem i det. Dog sætter man sig selv i stor risiko for at blive ramt af såkaldte massedefacements. Disse har umiddelbart ikke nogen kraftig betydning, da de normalt ikke går efter at stjæle noget, men bare at udbrede hackerens politiske holdning. Derudover tager de ikke vildt lang tid at ryde op efter.
Men det afhænger helt af hvad du forventer af systemet og hvad du vil bruge det til.

Fra Århus

Tilmeldt 26. Apr 06

Indlæg ialt: 199

Michael Mortensen Skrevet 22-05-2006 kl. 15:47

Hvor mange stjerner giver du? :

Dato: 5/22/2006 3:07:34 PM
Forfatter: Niels Hartvig
Jeg vil claime falsk tryghed - hvis man virkelig vil foresage ødelæggelser er det ikke komplekst at finde frem til den kompilerede .NET eller java og benytte reflectors til at få fat i koden. Vi er ude i utrolig målrettede angreb og i denne sammenhæng er det ikke meget sværre at få fat i ovennævnte end at kigge mange tusinde liniers kode igennem.

Men jeg kunne stadigvæk godt tænke mig at høre hvorledes at closed source systemer med ''en lille udviklerskare [der] kan skabe problemer for sikkerheden'' passer ind i denne sammenhæng.

Jeg er ikke uenig i at IT software har sårbarheder - jeg er blot træt af at closed source som udgangspunkt er sikker og vice-versa med open source...

Jeg mener ikke open source som udgangspunkt er mere usikkert end closed source. Jeg mener open source med lav udviklingsaktivitet som udgangspunkt er mere usikkert end closed source med tilsvarende lav udviklingsaktivitet. Sålænge vi har en vis udviklingsaktivitet på såvel open som closed source, så tvivler jeg også på der er den store forskel i sikkerhedsniveauet. Så closed source systemer med lav aktivitet = Lav sikkerhed - Men stadig ikke lige så lav som open source ækvivalenten (igen med lav aktivitet).

Ang. det med falsk tryghed, så kan jeg garantere dig det ikke er lige så nemt at få fat i koden, som det er at læse open source kode igennem. Desuden så når du får koden fra closed source projektet, så skal du jo stadig til at læse denne igennem også.. Så forskellen er, at et trin er overstået ved open source - man har allerede kildekoden!
Hvis man har lidt programmeringsviden, så ved man også hvilke kommandoer man skal være på udkig efter, så det er i mange tilfælde simple søgninger ned igennem koden.

Fra Århus C

Tilmeldt 25. Nov 05

Indlæg ialt: 310

Morten Bock Skrevet 22-05-2006 kl. 15:49

Hvor mange stjerner giver du? :

Dato: 5/22/2006 3:06:05 PM
Forfatter: Rollike

Hejsa!

Jeg sidder lige i øjeblikket og er mere eller mindre overbevist om at det er typo3 vores valg falder på.

Vi skal have opbygget en hjemmeside, som vores virksomhed skal have som ''bopæl''

Jeg har egentligt af den opfattelse at Typo3 var en af de bedste danske CMS på markedet?

Så nu lutter jeg ører! :-)

Er typo3 et dårligt valg?

Hvis du er i tvivl om hvilket CMS du skal vælge, så kan du også prøve at læse nogle af artiklerne inde på http://cmforum.dk/

Der kan du få en masse gode informationer omkring hvordan man vælger det rigtige. Der er efter min mening ikke noget der hedder "Det bedste CMS" eftersom der er så stor forskel på hvad forskellige CMS er gode til. Det er altså vigtigt at vælge noget der indeholder de funktioner man har brug for, frem for at vælge det "de store" bruger.

Tilmeldt 22. May 06

Indlæg ialt: 4

Niels Hartvig Skrevet 22-05-2006 kl. 16:12

Hvor mange stjerner giver du? :

Jeg er enig i at der ikke er et godt cms. Som Tony Byrne fra CMSWatch.com siger når han holder foredrag, så er der mere end 2.000 systemer på markedet og de 1990 af dem har sikkert en berettigelse.

Disclamer: Jeg er stifter af et cms, så tag ikke mine ord udelukkende for gode varer ;-)

Det du skal kigge efter er om systemet passer til dig og ikke mindst dine brugere - det sidste er efter min mening et vigtigt skridt som ofte overses. Det kan godt være at et system er hurtigt at implementere, men hvis det efterfølgende kræver megen undervisning eller lang tid at udføre daglige operationer, kan man hurtigt spilde en masse brugeres tid.

Generelt er cms'er opdelt i CMS kontra Portal og igen i modul-baserede kontra frameworks. For at gøre det hele komplekst udelukker det ene ikke det andet og der kan være en del overlap - men generelt kan man sige:

1) Skal systemet bruges til deling af information mellem brugere (mange-til-mange og derved er portal funktionaliteten vigtig) eller skal det bruges til at en organisation kan kommunikere et budskab (en-til-mange og derved er cms delen vigtig).

2) Kan du bruge modulerne nøjagtig som de fremstår (så er moduler gode - men husk at tage gyldne løfter om tilpasning med et gran salt) eller har du individuelle behov og enten kode-ekspertise selv eller inden for rækkevidde, så er frameworks ofte mere fleksible.

Markedet [edit] er generelt så broget og ugennemskueligt at der er firmaer som har specialiseret sig i at rådgive om valg af cms - f.eks. www.bnp.dk - i forbindelse med rådgivning skal man virkelig sikre sig at den er uvildig - dvs. ingen partner-aftaler eller lign. Det er ofte sådan at konsulenthuse der benytter cms får et såkaldt kick-back for at benytte et system. Altså at der reelt er tale om at de sælger et cms, men at kunden ser det som at der rådgives om valg af produkt. En lidt uheldig sammenblanding :-)

Håber det hjælper og god jagt!