Temat: Fromewroki a ciężka praca

Dariusz R.:
Na hakerów tak naprawdę nie ma mocnych. Nie trzeba wcale dziur w FW żeby się włamać do jakiegoś systemu bo wystarczy chociażby stworzyć stronę o niemal identycznym wyglądzie i tu prawdę mówiąc FW nie ma znaczenia. To znany wszystkim phishing.

No OK. Ale tutaj mówimy stricte o włamaniu czyli wykorzystaniu dziury w kodzie.
Równie dobrze do tego worka można wrzucić socjotechniką - Mitnick tu nawet komputera nie potrzebował :)

A co do sensu stosowania już istniejących i popularnych frameworków, tu tak naprawdę wszystko rozbija się o koszty bo tworzenie od zera czegoś co już istnieje i można by tego użyć to dodatkowe koszty dla klienta. A w wielu przypadkach można by też podważyć sens pisania czegoś od zera.

I tu wracamy do tematu tego, co komu lepiej. Wiem, że jestem dziwny, ale dla mnie zrobienie i rozwijanie własnego systemu to naprawdę mniejsze koszty niż poznawanie i użeranie się z obcym kodem. A skoro system już mam (przecież nie piszę się go od zera do każdego projektu) to po prostu korzystam z własnego.

Temat: Fromewroki a ciężka praca

Andrzej K.:
Ale też mnie nie wykluczyłeś :)
Pisałeś ogólnie, ale w odniesieniu do tego, co ja napisałem, więc nie dziwne, że wziąłem to do siebie :)

Andrzej, nadinterpretujesz moje słowa, naprawdę. Gadamy sobie ot tak, wymieniając poglądy, dlaczego miałbym dezawuować Twoje kompetencje, umiejętności czy stworzone rozwiązania?

Myślę, że wiele też zależy od rodzaju systemu i głów. Ja akurat w swoim się nie gubię. Owszem, były błędy (na szczęście nie dziury), ale właśnie dzięki temu, że znałem system, mogłem je szybko namierzyć. No ale może ja jestem jakiś dziwny i nie lubię szukać błędów w cudzym kodzie :)

A jesteś w stanie położyć na stół swoje roczne dochody, że ktoś takiego błędu nie znajdzie? Złudne poczucie bezpieczeństwa. Podejrzewam, że jakby puścić źródełka w sieć, to bugtracker by spuchł od zagadnień oznaczonych jako "security issue". Dlaczego? Bo jak mówi przysłowie, co dwie głowy to nie jedna. Nikt z nas nie jest alfą i omegą, nie wie wszystkiego, dlatego kolaboracja jest moim zdaniem bardzo pożądana.

Absolutnie nie. Nikt nie wymyślałby metalowego noża, skoro kamiennym też dało się pracować (a wtedy nikt nie wiedział, że może być coś lepszego). Mielibyśmy tylko jedną markę samochodu, bo przecież skoro ktoś to zrobił, to po co wyważać otwarte drzwi. Tak samo komputery, systemy, czy frameworki. O ile wiem, jest więcej niż jeden :)

Ale my rozmawiamy przecież w zupełnie innym kontekście. Skoro tworzysz coś swojego, dla siebie, bez udostępniania tego na zewnątrz, to wkładu nie masz żadneg, ergo argument inwalida ;)

Proszę bardzo: każdy dowolny serwis, który ma niezaktualizowanego frameworka. Bo chyba nie aktualizują się automagicznie.

A twoje rozwiązanie aktualizuje się automatycznie? Jeśli tak, to moim zdaniem błąd, bo co np. z wprowadzonymi zmianami, które nie muszą być kompatybilne? To nie jest argument Andrzeju, naprawdę. Ja cię zapytałem o konkretną niezałataną dziurę w którymś z frameworków.

Owszem, przyznaję, mój błąd. Ale to dlatego, że mój twór łączy obie funkcje. Może nie jest tak zaawansowany jak SF czy ZF, ale też nie robię na tym gigantycznych portali :)

No i właśnie załapałeś mój punkt widzenia :) Bo totalnie źle odbierałeś moje posty. Ja nie mówię, że własne rozwiązania są be. Chodzi mi o to, że sama sztuka dla sztuki jest bezsensowna z biznesowego punktu widzenia. Tylko tyle. Poza tym, strasznie wkurzyło mnie Twoje wciskanie SF, czy ZF do Wordpressa czy Dżumli - zabrzmiało to tak jakbyś totalnie nie rozróżniał tychże. Spoko, ja wiem, że tak nie jest, ale tak to zabrzmiało.

Wierzę. Ale mimo wszystko uważam, że hacker mając do wyboru coś znanego i nieznanego, dłubnie w tym pierwszym. A serwisów bankowych nie robię, więc motywacja do włamu zerowa :)

Nie zawsze. Wszystko zależy od skali. Jak będzie coś popularnego, stało na czymś typowo "custom" to dla chcącego nic trudnego. W każdym kodzie, zawsze, jest jakaś dziura. Chyba, że to Hello World :P

OK. Ty masz swoje zdanie, ja swoje. Badań nie przeprowadzałem. Ale może ktoś kiedyś się pokusi...

Chyba raczej nie do zbadania :)

Temat: Fromewroki a ciężka praca

Andrzej K.:
Myślę, że wiele też zależy od rodzaju systemu i głów. Ja akurat w swoim się nie gubię. Owszem, były błędy (na szczęście nie dziury), ale właśnie dzięki temu, że znałem system, mogłem je szybko namierzyć. No ale może ja jestem jakiś dziwny i nie lubię szukać błędów w cudzym kodzie :)

Zawsze możesz wrzucić swoje rozwiązanie na githuba czy coś podobnego, postarać się zaangażować ludzi, aby zaczęli wykorzystywać Twoje rozwiązanie, zaczęli "szukać dziury w całym" i jeżeli po jakimś czasie (rok?) nie zdarzy się ani razu, że ktoś zgłosi Ci błąd, to wtedy jestem w stanie uwierzyć, że w Twoim przypadku rzeczywiście lepiej było napisać własny FW :)
I od razu pragnę podkreślić, że nie podważam Twoich umiejętności, czy też jakości tego, co stworzyłeś. Po prostu zgadzam się z @Adrzejem, że mniejsza ilość osób oznacza jedynie, że:

będzie mniej wykrytych błędów. A to nie znaczy, że jest ich mniej.

Poza tym, większa ilość zaangażowanych osób prowadzi do lepszych rozwiązań. Człowiek, sam jeden, zbyt mało wie (choćby wiedział naprawdę dużo).
Poza tym, to nie jest też tak, że do głównego repo wrzuca każdy to, co chce - są ludzie odpowiedzialni za weryfikację takich zmian.

> Absolutnie nie. Nikt nie wymyślałby metalowego noża, skoro

kamiennym też dało się pracować (a wtedy nikt nie wiedział, że może być coś lepszego). Mielibyśmy tylko jedną markę samochodu, bo przecież skoro ktoś to zrobił, to po co wyważać otwarte drzwi. Tak samo komputery, systemy, czy frameworki. O ile wiem, jest więcej niż jeden :)

Zwróć jednak uwagę na to, że większość z tych rzeczy opiera się na rozwijaniu istniejących rozwiązań, ulepszaniu ich.
Chyba każdy z nas zdaje sobie sprawę, że nie każdy samochód jest wymyślany od zera :) Marki różnią się od siebie, każda firma pracuje nad kolejnymi rozwiązaniami i nieustannie modyfikują to co już jest, próbują czegoś nowego. Mimo to opierają się na wielu innych wynalazkach i dorobku innych ludzi/zespołów.
I tak, każda marka mimo wszystko to nie jest ten sam produkt, dodają coś od siebie, modyfikują, zmieniają, ale opierają się na jakiejś podstawie.

Proszę bardzo: każdy dowolny serwis, który ma niezaktualizowanego frameworka. Bo chyba nie aktualizują się automagicznie.

To nie jest bug frameworka tylko zaniedbanie bądź niemożność (też się czasami zdarza) aktualizacji. Nimniej jednak nie jest to bug.
Inna sprawa, że wcale takie poszukiwania nie są trudne -> https://github.com/zendframework/zf2/issues?labels=bug&... :)

Wierzę. Ale mimo wszystko uważam, że hacker mając do wyboru coś znanego i nieznanego, dłubnie w tym pierwszym. A serwisów bankowych nie robię, więc motywacja do włamu zerowa :)

Jeżeli jednak motywacja do włamu jest zerowa, to jaka jest motywacja do tworzenia własnego FW? Niechęć do aktualizacji? Raczej nie, bo jak w swoim FW znajdziesz bug to przecież aktualizujesz.

Temat: Fromewroki a ciężka praca

Andrzej K.:
I tu wracamy do tematu tego, co komu lepiej. Wiem, że jestem dziwny, ale dla mnie zrobienie i rozwijanie własnego systemu to naprawdę mniejsze koszty niż poznawanie i użeranie się z obcym kodem.

A co z zatrudnianiem nowych ludzi? Wydaje mi się, że w tym miejscu koszty szkolenia równoważą wcześniejsze zyski. Z drugiej strony, ludzie chcą się rozwijać, czyli pracować w nowych i znanych technologiach.

Temat: Fromewroki a ciężka praca

Andrzej K.:
I tu wracamy do tematu tego, co komu lepiej. Wiem, że jestem dziwny, ale dla mnie zrobienie i rozwijanie własnego systemu to naprawdę mniejsze koszty niż poznawanie i użeranie się z obcym kodem. A skoro system już mam (przecież nie piszę się go od zera do każdego projektu) to po prostu korzystam z własnego.

Andrzej, przeglądałem mnóstwo kodów bibliotek i programów open source i mogę tylko powiedzieć jedno. Dość prosto jest zrozumieć kod napisany przez kogoś innego o ile tylko są spełnione następujące warunki:

- czytelność (w tym formatowanie)
- odpowiednie nazewnictwo (osobiście nienawidzę mieszania polskich nazw z angielskimi)
- zgodność z SOLID, KISS, DRY
- zastosowane dobrze znane wzorce projektowe

Akurat nie zajmuję się PHP ale np. taki C# jest dość prosty do zrozumienia a jak przeglądałem biblioteki open source to też nie widzę żadnego problemu ze zrozumieniem co i do czego służy. To pod warunkami wymienionymi wyżej.

Temat: Fromewroki a ciężka praca

Sebastian M.:
Poza tym, większa ilość zaangażowanych osób prowadzi do lepszych rozwiązań. Człowiek, sam jeden, zbyt mało wie (choćby wiedział naprawdę dużo).
Poza tym, to nie jest też tak, że do głównego repo wrzuca każdy to, co chce - są ludzie odpowiedzialni za weryfikację takich zmian.

Tylko że praktycznie w każdej wersji nawet stable release znajdą się jakieś błędy. Co jedne są poprawione to powstają nowe. Dlaczego?

Temat: Fromewroki a ciężka praca

Andrzej O.:
A jesteś w stanie położyć na stół swoje roczne dochody, że ktoś takiego błędu nie znajdzie? Złudne poczucie bezpieczeństwa. Podejrzewam, że jakby puścić źródełka w sieć, to bugtracker by spuchł od zagadnień oznaczonych jako "security issue". Dlaczego? Bo jak mówi przysłowie, co dwie głowy to nie jedna. Nikt z nas nie jest alfą i omegą, nie wie wszystkiego, dlatego kolaboracja jest moim zdaniem bardzo pożądana.

Jestem w stanie. Ale bez puszczania źródeł w sieć. W końcu jednym z założeń systemu jest właśnie nieotwartość źródeł, właśnie dlatego, żeby nikt nie znalazł potencjalnych dziur. Bo w bezpieczeństwie nie chodzi o to, żeby dziur nie było, tylko żeby nikt ich nie wykorzystał.

Ale my rozmawiamy przecież w zupełnie innym kontekście. Skoro tworzysz coś swojego, dla siebie, bez udostępniania tego na zewnątrz, to wkładu nie masz żadneg, ergo argument inwalida ;)

To że dzisiaj nie udostępniam, nie znaczy, że coś mi nie strzeli do głowy za rok. Nie ma co gdybać. A rozmawiamy ogólnie o wyważaniu otwartych drzwi (nie ważne w jakim kontekście). Norton Commander też kiedyś był niezaprzeczalnym liderem w obsłudze plików i co? TC go wygryzł pod Windowsem a o ile się orientuję, autor też nie udostępnia źródeł :)

Ergo. Argument podwójny inwalida :)

A twoje rozwiązanie aktualizuje się automatycznie? Jeśli tak, to moim zdaniem błąd, bo co np. z wprowadzonymi zmianami, które nie muszą być kompatybilne? To nie jest argument Andrzeju, naprawdę. Ja cię zapytałem o konkretną niezałataną dziurę w którymś z frameworków.

Też nie. Ale nie odwracaj kota ogonem i nie teoretyzuj. Spójrzmy praktycznie. Hacker ma do wyboru znalezienie dziury w czymś co zna i szukanie ich w czymś, czego nie zna i nie ma dostępu do źródeł. Serwis na którym FW czy CMS szybciej padnie? Żebyś znowu nie teoretyzował zakładam, że oba serwisy są tak samo atrakcyjne dla hackera (np. jakiś sklep internetowy).

Temat: Fromewroki a ciężka praca

Sebastian M.:
Zwróć jednak uwagę na to, że większość z tych rzeczy opiera się na rozwijaniu istniejących rozwiązań, ulepszaniu ich.
Chyba każdy z nas zdaje sobie sprawę, że nie każdy samochód jest wymyślany od zera :) Marki różnią się od siebie, każda firma pracuje nad kolejnymi rozwiązaniami i nieustannie modyfikują to co już jest, próbują czegoś nowego. Mimo to opierają się na wielu innych wynalazkach i dorobku innych ludzi/zespołów.
I tak, każda marka mimo wszystko to nie jest ten sam produkt, dodają coś od siebie, modyfikują, zmieniają, ale opierają się na jakiejś podstawie.

To ja też nie wymyślam od nowa języka. Korzystam z dostarczonych rozwiązań (tutaj PHP) i tworzę własne rzeczy (silnik Diesla czy V8). Chociaż przecież są i tacy, którzy wymyślają nowe języki (Python, C#, Java i wiele innych - nie jestem na bieżąco) mając przecież do dyspozycji wiele innych istniejących. Jeszcze o ile większość faktycznie jest jakby modyfikacją istniejących o tyle Python ze swoją odmienną składnią to całkiem wymyślanie koła na nowo. I co? Jednak są zwolennicy takiego rozwiązania :)

Jeżeli jednak motywacja do włamu jest zerowa, to jaka jest motywacja do tworzenia własnego FW? Niechęć do aktualizacji? Raczej nie, bo jak w swoim FW znajdziesz bug to przecież aktualizujesz.

Motywacja? Przyznaję, nie umiałem się połapać w tym, co istnieje. Naprawdę. Może to głupie, ale naprawdę głównym powodem było po prostu niezrozumienie cudzego kodu (nie jestem programistą z wykształcenia). A potem, jak już miałem gotową podstawę, która działała, to zacząłem system rozwijać. I jak już napisałem Andrzejowi, to że dzisiaj kod jest zamknięty, nie znaczy, że za rok go nie uwolnię.

Temat: Fromewroki a ciężka praca

Andrzej K.:
Jestem w stanie. Ale bez puszczania źródeł w sieć. W końcu jednym z założeń systemu jest właśnie nieotwartość źródeł, właśnie dlatego, żeby nikt nie znalazł potencjalnych dziur.

Jak możesz mówić o nieotwartości skoro udostępniasz do pobrania Alib Cymes?

Bo w bezpieczeństwie nie chodzi o to, żeby dziur nie było, tylko żeby nikt ich nie wykorzystał.

To ciekawe bo ja myślę że chodzi o to żeby je wyeliminować jeśli takie są. Jak możesz zakładać że haker nie domyśli się że strona ma użyty autorski CMS?

Np. taki zastrzyk SQL. Jasne że można zakładać że haker nie wie jak to się stosuje, natomiast przed zastrzykami SQL są przecież zabezpieczenia.

Temat: Fromewroki a ciężka praca

Andrzej K.:
Jestem w stanie. Ale bez puszczania źródeł w sieć. W końcu jednym z założeń systemu jest właśnie nieotwartość źródeł, właśnie dlatego, żeby nikt nie znalazł potencjalnych dziur.

Może być bez puszczania. Dla chcącego naprawdę nic trudnego. Zawiódł byś się. Czasem warto trochę pokory zachować, w szczególności w IT.

Bo w bezpieczeństwie nie chodzi o to, żeby dziur nie było, tylko żeby nikt ich nie wykorzystał.

Eee, proszę? Chyba inaczej rozumiemy "bezpieczeństwo" w takim razie.

To że dzisiaj nie udostępniam, nie znaczy, że coś mi nie strzeli do głowy za rok. Nie ma co gdybać. A rozmawiamy ogólnie o wyważaniu otwartych drzwi (nie ważne w jakim kontekście). Norton Commander też kiedyś był niezaprzeczalnym liderem w obsłudze plików i co? TC go wygryzł pod Windowsem a o ile się orientuję, autor też nie udostępnia źródeł :)

Jakie znaczenie ma "może", "chyba"? Żadne. W ogóle całe te porównanie jest do dupy. Co nowatorskiego tworzysz? Jaki nowy mechanizm, wzorzec projektowy? Żaden? Bazujesz na czymś co zostało już stworzone, modyfikując, ulepszając. Tylko to.

Też nie. Ale nie odwracaj kota ogonem i nie teoretyzuj. Spójrzmy praktycznie. Hacker ma do wyboru znalezienie dziury w czymś co zna i szukanie ich w czymś, czego nie zna i nie ma dostępu do źródeł. Serwis na którym FW czy CMS szybciej padnie? Żebyś znowu nie teoretyzował zakładam, że oba serwisy są tak samo atrakcyjne dla hackera (np. jakiś sklep internetowy).

To z czym pójdzie mu łatwiej. A nie jesteś w stanie powiedzieć, czy pójdzie mu prościej w przypadku czegoś własnego, czy czegoś otwartego. Tego w ogóle nie ma sensu porównywać, zbyt dużo zmiennych.

Temat: Fromewroki a ciężka praca

Może skończycie ten flame co jest lepsze ?
Ja w PHP pracuję na dedykowanych FW - czy to źle ? NIE
Ktoś inny pracuje tylko na oklepanych FW - czy to źle ? NIE

Wszystko zależy co aktualnie potrzebujemy.

Temat: Fromewroki a ciężka praca

Sebastian O.:
Może skończycie ten flame co jest lepsze ?
Ja w PHP pracuję na dedykowanych FW - czy to źle ? NIE
Ktoś inny pracuje tylko na oklepanych FW - czy to źle ? NIE

Wszystko zależy co aktualnie potrzebujemy.

Oczywiście, ale chciałbym z tego miejsca przypomnieć główny temat. Pytanie padło od kogoś kto się uczy, czy warto uczyć się frameworków. Uważam, że bezapelacyjnie warto. Nawet jak nie będzie się potem ich używać (tu nie polemizuje bo to temat z kategorii nieskończony), to można się nauczyć bardzo wiele dobrych praktyk oraz dobrych i szybkich rozwiązań powszechnych problemów.

Temat: Fromewroki a ciężka praca

Sebastian O.:
Może skończycie ten flame co jest lepsze ?
Ja w PHP pracuję na dedykowanych FW - czy to źle ? NIE
Ktoś inny pracuje tylko na oklepanych FW - czy to źle ? NIE

Wszystko zależy co aktualnie potrzebujemy.

Raczej zależy od potrzeb klienta. Albo to freelancer jeśli jest profesjonalistą powinien wybrać właściwe dla niego rozwiązanie. Ale dedykowane rozwiązania kosztują.

Temat: Fromewroki a ciężka praca

Dariusz R.:

Andrzej K.:
Jestem w stanie. Ale bez puszczania źródeł w sieć. W końcu jednym z założeń systemu jest właśnie nieotwartość źródeł, właśnie dlatego, żeby nikt nie znalazł potencjalnych dziur.

Jak możesz mówić o nieotwartości skoro udostępniasz do pobrania Alib Cymes?

Tylko część. Poza tym nie jest tak dobrze udokumentowany jak duże, znane systemy.
A spójrzmy praktycznie, będzie Ci się chciało szukać w nim dziur? OK. Próbuj jak masz czas i ochotę, żeby potem włamać się do kilkudziesięciu serwisów. Tym bardziej, że do wyboru masz w tym samym czasie znaleźć dziurę w systemie, na którym stoi kilka (-set?) tysięcy na całym świecie.

Bo w bezpieczeństwie nie chodzi o to, żeby dziur nie było, tylko żeby nikt ich nie wykorzystał.

To ciekawe bo ja myślę że chodzi o to żeby je wyeliminować jeśli takie są. Jak możesz zakładać że haker nie domyśli się że strona ma użyty autorski CMS?

I znowu proszę o podejście do sprawy PRAKTYCZNIE a nie TEORETYCZNIE. Znasz system bez dziur? Każdy ma a im większy system tym ich więcej. I nie, nie zakładam, że się nie domyśli. Po prostu w niszowym systemie są na to mniejsze szanse.

Np. taki zastrzyk SQL. Jasne że można zakładać że haker nie wie jak to się stosuje, natomiast przed zastrzykami SQL są przecież zabezpieczenia.

OK. Sprawa prosta. Jest dostępny mój Alib (nawet wersja okrojona). Jeśli masz czas i ochotę, pobierz go, zapoznaj się ze źródłami i znajdź dziurę. I nie, nie jest to wyzwanie, tylko faktyczna propozycja. Bo tak, zależy mi na tym, żeby ich nie było.

Temat: Fromewroki a ciężka praca

Andrzej O.:

Andrzej K.:
Jestem w stanie. Ale bez puszczania źródeł w sieć. W końcu jednym z założeń systemu jest właśnie nieotwartość źródeł, właśnie dlatego, żeby nikt nie znalazł potencjalnych dziur.

Może być bez puszczania. Dla chcącego naprawdę nic trudnego. Zawiódł byś się. Czasem warto trochę pokory zachować, w szczególności w IT.

Nie chodzi o pokorę, pomijając fakt, że jej nie mam i jakoś z tym żyję wiele lat ;)
Zresztą kawałek kodu jest - Darek znalazł.
Do Ciebie ta sama propozycja. Pobierz sobie, przejrzyj i znajdź dziurę. Co więcej, wykorzystaj ją w którymś z istniejących serwisów.

Bo w bezpieczeństwie nie chodzi o to, żeby dziur nie było, tylko żeby nikt ich nie wykorzystał.

Eee, proszę? Chyba inaczej rozumiemy "bezpieczeństwo" w takim razie.

Ta sama prośba co do Darka, pokaż mi system bez dziur. Może być CMS, FW czy nawet OS.

Też nie. Ale nie odwracaj kota ogonem i nie teoretyzuj. Spójrzmy praktycznie. Hacker ma do wyboru znalezienie dziury w czymś co zna i szukanie ich w czymś, czego nie zna i nie ma dostępu do źródeł. Serwis na którym FW czy CMS szybciej padnie? Żebyś znowu nie teoretyzował zakładam, że oba serwisy są tak samo atrakcyjne dla hackera (np. jakiś sklep internetowy).

To z czym pójdzie mu łatwiej. A nie jesteś w stanie powiedzieć, czy pójdzie mu prościej w przypadku czegoś własnego, czy czegoś otwartego. Tego w ogóle nie ma sensu porównywać, zbyt dużo zmiennych.

No właśnie. Pójdzie mu łatwiej z tym, co już zna, niż musi poznawać od nowa.

Temat: Fromewroki a ciężka praca

Andrzej K.:

Jak możesz mówić o nieotwartości skoro udostępniasz do pobrania Alib Cymes?

Tylko część. Poza tym nie jest tak dobrze udokumentowany jak duże, znane systemy.
A spójrzmy praktycznie, będzie Ci się chciało szukać w nim dziur? OK. Próbuj jak masz czas i ochotę, żeby potem włamać się do kilkudziesięciu serwisów. Tym bardziej, że do wyboru masz w tym samym czasie znaleźć dziurę w systemie, na którym stoi kilka (-set?) tysięcy na całym świecie.

A niby po co miałbym to robić? Nie jestem hakerem. A zresztą hakerzy nie włamują się tak bez powodu. Cele włamań są proste do zrozumienia.

To ciekawe bo ja myślę że chodzi o to żeby je wyeliminować jeśli takie są. Jak możesz zakładać że haker nie domyśli się że strona ma użyty autorski CMS?

I znowu proszę o podejście do sprawy PRAKTYCZNIE a nie TEORETYCZNIE. Znasz system bez dziur? Każdy ma a im większy system tym ich więcej. I nie, nie zakładam, że się nie domyśli. Po prostu w niszowym systemie są na to mniejsze szanse.

OK, tylko że nie wiem czy widzisz problem jaki się z tym wiąże. Bo ja wcale nie zamierzam tutaj ani podważać sensu stosowania Alib Cymes, ani Twoich kompetencji. W praktyce jeśli na zlecenie tworzysz jakiś system i tu nie ważne co zastosujesz, jeśli haker włamie się do takiego serwisu może być to oczywiście uznane za "wadę" a Ty jako wykonawca możesz narazić się w najgorszym przypadku na drakońskie kary umowne z tego powodu, bo w najlepszym to co najwyżej klient oleje sprawę. Wszystko jest kwestią umowną i tego chyba tłumaczyć nie muszę. Wadliwe dzieło powinno zostać naprawione bezpłatnie, wiem że kwestia testów oprogramowania to odpowiedzialna i trudna sprawa.

Piszesz że prawdopodobieństwo włamania się do systemu opartego o niszowy i mało znany FW/CMS jest znikome. OK, z tym nawet można się zgodzić. Ale jeśli za cel stawiasz sobie tworzenie oprogramowania wysokiej jakości to nie możesz wychodzić tylko i wyłącznie z takiego założenia o znikomym prawdopodobieństwie włamania. A tym bardziej na forum bo tutaj nietrudno o kompromitację.

Temat: Fromewroki a ciężka praca

Andrzej K.:
A spójrzmy praktycznie, będzie Ci się chciało szukać w nim dziur? OK. Próbuj jak masz czas i ochotę, żeby potem włamać się do kilkudziesięciu serwisów. Tym bardziej, że do wyboru masz w tym samym czasie znaleźć dziurę w systemie, na którym stoi kilka (-set?) tysięcy na całym świecie.

Problem polega na tym, że ciężej znaleźć dziurę w czymś, co jest wykorzystywne codziennie przez setki tysięcy programistów, którym zależy na bezpieczeństwie i jakości swoich aplikacji, a więc dbają o to, aby wszelkie krytyczne bugi były natychmiast łatane, a co innego w przypadku rozwiązania, które jest wykorzystane przez zespół programistów. Sumarycznie mają oni dużo mniej umiejętności, wiedzy i (może przede wszystkim) czasu.

Znasz system bez dziur? Każdy ma a im większy system tym ich więcej.

I tutaj nie do końca się zgodzę, ale zarówno mój sprzeciw, jak i Twoje stwierdzenie nie będą opierały się na żadnych danych, ot, czyste przypuszczenia, które akurat popierają nasze wywody :)
Dlaczego się nie zgadzam? Z tych powodów, które wymieniłem wyżej.

To z czym pójdzie mu łatwiej. A nie jesteś w stanie powiedzieć, czy pójdzie mu prościej w przypadku czegoś własnego, czy czegoś otwartego. Tego w ogóle nie ma sensu porównywać, zbyt dużo zmiennych.

No właśnie. Pójdzie mu łatwiej z tym, co już zna, niż musi poznawać od nowa.

Z tym, że może być też tak, że to, co zna próbował już hakować na wszelkie znane sposoby i mu nie wyszło. Wtedy już wybór jest prosty :)

Piotr L.:
Oczywiście, ale chciałbym z tego miejsca przypomnieć główny temat. Pytanie padło od kogoś kto się uczy, czy warto uczyć się frameworków.

To ja też wrócę jeszcze do głównego wątku :)

Adrian G.:
poczytałem trochę o Zend Fromework i niby fajna sprawa tylko jak się w tym ogarnąć.
Pobrałem i zacząłem przeczesywać, kod napisany bardzo czytelnie ale jak połapać się w architekturze?

Nie przeczesuj kodu :) Ja z Zendem pracuję już kilka lat (największe doświadczenie mam co prawda z wersją numer 1, ale to kwestia drugorzędna) i do kodu zaglądałem tylko i wyłącznie wtedy, gdy musiałem. I zazwyczaj nie było to doświadczenie, które chciałem powtarzać :P
Po to stosujesz frameworki, żeby nie zastanawiać się jak wygląda każda linijka kodu.
Warto natomiast poznać pojęcia, które za tym stoją (np. MVC, Front Controller, autoryzacja, Acl) - dzięki temu Twoja wiedza nie będzie opierała się na konkretnej implementacji i tym łatwiejsza i swobodniejsza będzie dla Ciebie migracja do innych.

Wiem że mnóstwo programistów korzysta z fromeworków, a ja nie będę ukrywał, że w przyszłości zamierzam pracować zdalnie lub otworzyć własna działalność, a bez tego to widzę, że może być ciężko.

Jeżeli będziesz pracował nad cudzym kodem, to na początkach kariery możliwe, że przyjdzie Ci pracować z własnymi rozwiązaniami konkretnych firm (z niewiadomych mi powodów mniejsze firmy wolą coś takiego, ale zakładam, że wynika to z chęci przywiązania do siebie klienta) i nie jest to do końca złe doświadczenie. Jak nauczyś się przegrzebywać i odnajdywać w takim kodzie, to już nic Cię nie złamie :)
Im większe projekty, tym popularniejsze rozwiązania. Dlaczego? Bo są to projekty duże, a co za tym idzie - kosztowne i skomplikowane. I nikt nie ma zamiaru tracić czasu na wymyślanie od nowa np. acl, bo są dużo istotniejsze, mniej popuarne, a równie (o ile nie bardziej) skomplikowane problemy do rozwiązania.

Pytanie brzmi:
Czy są jakieś konkretne manuale ale takie od a do z?

Wszystko zależy od tego, czego chcesz się uczyć (osobiście teraz bym polecał albo Symfony 2 albo Zenda 2) i co rozumiesz przez pojęcie "manual od a do z". Jeżeli chcesz poznać podstawy, to są, jeżeli chciałbyś manual, który poprowadzi Cię za rękę przy tworzeniu skomplikowanego systemu to raczej wątpię :) Na upartego, to zawsze możesz podłączyć się do jakiegoś repozytorium na githubie i analizować commit po commicie, ale to raczej mozolny proces :P

I czy w ogóle nauka tego ma sens?

Jak najbardziej! Im więcej wiesz, tym szybciej rozwiązujesz problemy i tym łatwiej to rozwiązanie dostrzegasz.
Każdy nowo poznany framework, wzorzec, technika, język to kolejne narzędzie w Twoich rękach, a to pozwala Ci stać się dużo wydajniejszym. W końcu lepszy jest mechanik z całym warsztatem niż taki, który trzyma w ręku jeden śrubokręt :P

Czy lepiej pisać samemu wszystko porobić sobie jakieś szablony i na nich opierać swoją pracę, która często się powtarza tj np autoryzacja itd...

Jest to cholernie trudne zadanie. Jasne, jeżeli będziesz odpowiednio zdeterminowany to Ci się uda, ale boję się, że za jakiś czas może się okazać, że popatrzysz na swoje rozwiązanie, dostrzeżesz wszytkie błędy, które popełniłeś i dojdziesz do wniosku, że mogłeś sobie podarować.
Ja kiedyś "popełniłem" swój własny framework. Nie znałem jeszcze wzorców, SOLID'a, a sama znajomość abstrakcji i interfejsów opierała się na znajomości konstrukcji i ich struktury, a nie umiejętności ich wykorzystania. Efekt był taki, że coś powstało, nawet kilka serwisów + CMS na tym postawiłem, ale czy teraz uważam, że to było dobre?
Wydaje mi się, że więcej nauczyłbym się, gdybym od razu zaczął z istniejącymi frameworkami. Dlaczego? Bo patrząc na cudze rozwiązania możesz podpatrzyć dobre praktyki, pisząc natomiast coś swojego (oczywiście bez solidnej wiedzy) popełniasz błędy, których na początku nie widzisz, a to dlatego, że braki w wiedzy Ci na to nie pozwalają. Kiedy już nadrobisz braki może okazać się, że zabrnąłeś już tak daleko, że nic nie da się zrobić (niestety to jest najpopularniejszy scenariusz).

Osobiście uważam, że FW powinni pisać ludzie, którzy mają naprawdę sporo wiedzy. "Problem" jest jedak taki, że Ci ludzie już mają pracę, która z pewnością do trywialnych nie należy i nie mają czasu (a stworzenie czegoś dobrego naprawdę wymaga sporo czasu) na tworzenie czegoś od zera.

Temat: Fromewroki a ciężka praca

Dariusz R.:

Piszesz że prawdopodobieństwo włamania się do systemu opartego o niszowy i mało znany FW/CMS jest znikome. OK, z tym nawet można się zgodzić. Ale jeśli za cel stawiasz sobie tworzenie oprogramowania wysokiej jakości to nie możesz wychodzić tylko i wyłącznie z takiego założenia o znikomym prawdopodobieństwie włamania. A tym bardziej na forum bo tutaj nietrudno o kompromitację.

W całym offtopie została poruszona została niezwykle istotna kwestia. Pracując profesjonalnie nad aplikacją która to ma nazwijmy sobie w uproszczeniu "podwyższone wymagania dla standardów bezpieczeństwa" powinniśmy kierować się zupełnie inną strategią niż liczenie na imho złudne poczucie bezpieczeństwa (lub argument dla mnie trzeciorzędny), że jeśli ktoś nie zna kodu to się nie włamie łatwo. Mnie ten argument nie przekonuje.

Nie zapominajmy że najsłabszym czynnikiem jest zawsze czynnik ludzki :-) Sporo włamów jest też np. poprzez złamana lub skradzione hasła ftp... ale nie chce bardziej rozszerzać offtopa.

Może założymy nowy temat? ;-)