Temat: Serwis miejski - jaki CMS

Andrzeju, piszę tu o polskich realiach.

Niemniej jednak to, co napisałem jest raczej prawdą i może odnosić się również do rynku US: jeśli firma nie posiada swojego oprogramowania, to albo nie umie go napisać, albo nie posiada zaplecza finansowego, albo zamierza szybko zniknąć z rynku.

Pozdrawiam.

Temat: Serwis miejski - jaki CMS

Michał S.:
Ja od siebie, jako autora/współautora systemów CMS, mogę dodać, że osobiście nie skorzystałbym nigdy z rozwiązań tanich/otwartych.

Pozostawiają wiele do życzenia, zarówno w kwestii funkcjonalności, jak i bezpieczeństwa. Ponadto są rozwijane przez ludzi, którzy często nie mają pojęcia co tak na prawdę chcą stworzyć (przykładem niech będą dziurawe, często źle działające wtyczki).

Moim zdaniem - należy się zacząć zastanawiać, gdy "profesjonalna" firma oferuje nam utworzenie serwisu na bazie open source'owego CMS. Oznaczać to może między innymi, że owa firma:
a) nie ma odpowiedniej wiedzy, wymaganej do stworzenia własnego oprogramowania
b) nie posiada odpowiedniego kapitału, który w procesie tworzenia rozwiązań typu CMS jest konieczny, gdyż są to projekty długofalowe i kosztowne
c) to grupa studentów, którzy wpadli na pomysł, żeby sobie szybko dorobić (niszcząc przy tym rynek)

Wypowiedź bardzo, bardzo, bardzo.. jednostronna.. Z której wynika, że autorskie CMSy są OK, a Open Source bee..

Prawda natomiast NIE JEST taka czarno-biała. Widziałem wystarczająco dużo autorskich słabych CMSów, że strony postawione na nich nadawały się tylko do zaorania.. nikt (nawet autorzy) nie mieli siły rozwijać systemu dalej.. otrzymanie nowej funkcjonalności graniczyło z cudem, ceny z oczywistych przyczyn były zaporowe..

Ciekawe co powiesz na tą listę:
znane serwisy na Joomla

Tu jest dyskusja na ten temat i moje stanowisko:
http://www.goldenline.pl/forum/cms/458918/s/1#15402698

Reasumując: w sporze co lepsze Open Source, czy autorskie rozwiązania, odpowiedź jest taka:
ZALEŻY DO CZEGO I DLA KOGO..

Temat: Serwis miejski - jaki CMS

Rafał D.:

Reasumując: w sporze co lepsze Open Source, czy autorskie rozwiązania, odpowiedź jest taka:
ZALEŻY DO CZEGO I DLA KOGO..

... I OD KOGO : )
(kto je wdraża)

Temat: Serwis miejski - jaki CMS

Aldona Malinowska:

Marcin Śpiewak:
I tu dochodzimy do sedna. Edukacja kosztuje, zależy tylko jak się za nią płaci ;)

O tak ;) chytry płaci dwa razy!
Na swoje usprwiedliwienie dodam tylko, że budżet na stronę był skromny (6.000).
Mimo wszystko był to kosztowny błąd i bardzo bolesna nauczka!
Mam nadzieje, że nauka nie poszła w las ;)

--

Aldona

Na 99 % sami - SAMI - zainfekowaliści witrynę.
\ Edyta

Wirusy są po stronie właściciela.
Włamania po stronie skryptu / Skrypt bez większego problemu można tak zabezpieczyć co by ok. 95 % włamań nie było możliwe. Mam 20 site na Joomle działające bez włamań/wirusów od najmniej 5 lat...

Twoje narzekania są bezpodstawne. Należy zadawać inne pytania...Marek P. edytował(a) ten post dnia 19.05.10 o godzinie 21:17

Temat: Serwis miejski - jaki CMS

Łukasz Gumowski:
Jakiś czas temu miałem podobny problem z serwisami. Korzystamy w większości przypadków albo z WordPressa - do prostszych rozwiązań, albo z MODxCMS (mało znany w PL, ale moim zdaniem jeden z ciekawszych CMS'ów, w zasadzie CMF'ów) prosty i niesamowicie łatwy w adaptacji... w każdym razie problem z "wirusami" o których mówicie były globalny i z moich informacji nie dotyczył ani Joomli jako takiej, ani żadnego innego CMS'a. Problem leżał w oprogramowaniu do transferu plików na serwer ftp (Total Commander), którego bardzo dużo osób używa. Okazało się, że zapisując w nim hasło dostępowe jest jakaś luka która pozwala na wyciągnięcie go. A później wiadomo jaki był schemat...

-

Najlepszy komentarz - kompletnie niedoceniony przez rozmówców!:-)

Temat: Serwis miejski - jaki CMS

Rafał D.:

Michał S.:
Ja od siebie, jako autora/współautora systemów CMS, mogę dodać, że osobiście nie skorzystałbym nigdy z rozwiązań tanich/otwartych.

Wypowiedź bardzo, bardzo, bardzo.. jednostronna.. Z której wynika, że autorskie CMSy są OK, a Open Source bee..

Reasumując: w sporze co lepsze Open Source, czy autorskie rozwiązania, odpowiedź jest taka:
ZALEŻY DO CZEGO I DLA KOGO..

Z Rafałem nie zawsze się zgadzałem, ale wypowiedz jest więcej niż dobra.

Temat: Serwis miejski - jaki CMS

Daniel Częstki:
Hej.

mam do wykonania serwis miejski. Jako że nie będę bawił się w pisanie CMS-a bo i po co postanowiłem zrobić ją w oparciu o jakiś dostępny CMS.

Co proponujecie Joomla, Wordpress ? Mam dylemat

Jeżeli serwis ma zarządzać wieloma informacjami to zainteresowałbym się plone:
* http://plone.org/

Temat: Serwis miejski - jaki CMS

Michał S.:
Andrzeju, piszę tu o polskich realiach.

Niemniej jednak to, co napisałem jest raczej prawdą i może odnosić się również do rynku US: jeśli firma nie posiada swojego oprogramowania, to albo nie umie go napisać, albo nie posiada zaplecza finansowego, albo zamierza szybko zniknąć z rynku.

Pozdrawiam.

Bardzo ciekawa teoria zaiste. Nasza firma istnieje od trzech lat, nie ma własnego CMSa i ma się bardzo dobrze. Na rynku USA nie jest to żadne dziwadło, rynek drupala i joomli jest dynamiczny i super rozwijający się, a pisanie własnego CMSa jest postrzegane jako dziwactwo i kojarzy się z zatęchłymi rądowymi agencjami co to jeszcze IE6 używają (ewentualnie jakieś banki czy inne wielkie korpo co potrzebują czegoś naprawdę szytego na miarę - chociaż nic nie stoi na przeszkodzie żeby Joomle czy Drupala wykorzystać jako framework i nadpisać nawet większość podstawowych funkcji, samemu nie zagłębiając się zbytnio w zbyt niskopoziomową deweloperkę. Zrobiliśmy dziesiątki gigantycznych projektów w ten sposób bez marnowania czasu na tworzenie własnego CMS). Nie wypowiadam się o polskich realiach, bo polskich byznesmenów na nasze usługi niestety jeszcze nie stać.Mateusz J. edytował(a) ten post dnia 21.05.10 o godzinie 00:25

Temat: Serwis miejski - jaki CMS

Marek P.:

Aldona Malinowska:

Marcin Śpiewak:
I tu dochodzimy do sedna. Edukacja kosztuje, zależy tylko jak się za nią płaci ;)

O tak ;) chytry płaci dwa razy!
Na swoje usprwiedliwienie dodam tylko, że budżet na stronę był skromny (6.000).
Mimo wszystko był to kosztowny błąd i bardzo bolesna nauczka!
Mam nadzieje, że nauka nie poszła w las ;)

--

Aldona

Na 99 % sami - SAMI - zainfekowaliści witrynę.
\ Edyta

Wirusy są po stronie właściciela.
Włamania po stronie skryptu / Skrypt bez większego problemu można tak zabezpieczyć co by ok. 95 % włamań nie było możliwe. Mam 20 site na Joomle działające bez włamań/wirusów od najmniej 5 lat...

Twoje narzekania są bezpodstawne. Należy zadawać inne pytania...Marek P. edytował(a) ten post dnia 19.05.10 o godzinie 21:17

My mamy coś 20000 vhostów i jeśli kiedykolwiek jakaś strona została zainfekowana to ZAWSZE przez użykownika używającego tego badziewiastego windowsa i kradzionego total commandera pełnego robactwa.

Temat: Serwis miejski - jaki CMS

Mateusz J.:
Nie wypowiadam się o polskich realiach, bo polskich byznesmenów na nasze usługi niestety jeszcze nie stać.

No tak, bo kogo stać na darmowego CMS jakim jest joomla, pewnie tylko Amerykanie używają tego drogiego systemu, bo co polak może wiedzieć o CMS.

Co do samego Joomla, to jest gniot, pomijając już to, że został napisany tak samo jak linux czyli na od... się, to ma więcej dziur krytycznych niż się to komukolwiek śniło, a przybywa ich z każdym dniem. Ze swojej strony mogę polecić WP, choć trzeba uważać na wtyczki, bo niekiedy są pisane na kolanie, ewentualnie coś mocniejszego jak Kentico CMS.Dominik Łabudziński edytował(a) ten post dnia 21.05.10 o godzinie 01:19

Temat: Serwis miejski - jaki CMS

Dominik Łabudziński:

Mateusz J.:
Nie wypowiadam się o polskich realiach, bo polskich byznesmenów na nasze usługi niestety jeszcze nie stać.

No tak, bo kogo stać na darmowego CMS jakim jest joomla, pewnie tylko Amerykanie używają tego drogiego systemu,

Dobre :)
Ale wracając do meritum, to wynika, że ten DARMOWY CMS jest często droższy od autorskiego.
Oczywiście mówię o firmie, która profesjonalnie go wdraża (nie o studencie) - świadczy support, usuwa błędy, przeprowadza szkolenia, słowem "ful serwis".

Biorąc pod uwagę sam koszt szkolenia Joomla a autorski system - wydaje się, że cena za Joomle jest dwukrotnie wyższa :)
Już nie wspominam o czasie jaki trzeba przeznaczyć na szkolenia.
- odnoszę się do przeciętnej witryny firmowej.
A zresztą nauczcie Panią Krysie Joomli - powodzenia :)

Temat: Serwis miejski - jaki CMS

Za samego CMS oczywscie nkt nam nie płaci :) firmy płacą nam za komponenty robione na zamówienie, wykorzystujące Joomla! czy innego opensource'a jako podstawy i frameworka. Z wdrożeniami i szkoleniami nie ma problemu, nie zdarzyło się jeszcze szkolenie dłuższe niż 5 dni roboczych: jeden z największych klientów miał coś 10 osób do przeszkolenia, napisaliśmy mu na zamówienie własny system zarządzania zdarzeniami i własny komponent do bazy wiedzy / faq, własny komponent do zamawiania eventów, plus template i parę innych mniejszych rozszerzeń na zamówienie, całość zajęła nam półtora miesiąca (w porywach 4 osoby licząc project managera) i kosztowała klienta 150k$ :)

Dobrze wykorzystany CMS open source, w dobrych rękach wykwalifikowanego teamu potrafi zrobić taki sam albo lepszy impact niż własny system. Na Zachodzie klienci mają zaufanie do tych CMSów bo wiedzą że nawet gdyby firma robiąca dane zlecenie rzuciła focha i/lub olała klienta, zawsze znajdzie się małe stado ekspertów którzy ogarną co trzeba w krótkim czasie.

Joomla/Drupal/inne cms same w sobie dziur nie mają dużo (na odpowiednio skonfigurowanym hostingu nie ma prawa się nic wydarzyć o ile ktoś nie zainstaluje jakiegoś badziewnego komponentu, który np pozwala pobrać configuration.php przez przeglądarkę i zapoznać się ze wszystkimi hasłami)Mateusz J. edytował(a) ten post dnia 21.05.10 o godzinie 07:11

Temat: Serwis miejski - jaki CMS

Andrzej Winnicki:
Pewnie takowy system ma miec tez forum i inne bajery.
Ja osobiscie uzylbym phpBB jako podstawki i po prostu go zmodyfikowal i dodal wszystko czego mi tam trzeba.

Pare takich rozwiazan robilem i swietnie sie sprawdzily ;)

Ja osobiście szczerze nie polecam.
Może i dobry skrypt, ale jego popularność jest jego wadą - szeroko dostępna lista błędów i ogólna dziurawość (bezpieczeństwo) powoduje że jest idealnym celem dla włamywaczy. Miałem przypadek, że po 3 dniach od opublikowania dziury miałem włamanie ją wykorzystujące.

Jeśli już, to koniecznie z jakąś blokadą włamań, typu "Cracker Tracker Professional G5", chociaż nie jestem pewien czy to wystarczy.

W końcu doszedłem do jako-takiej wersji instalacji tego skryptu, ale i tak liczba prób włamań na serwisie niezbyt popularnym idzie w tysiące/mc.Piotr Likus edytował(a) ten post dnia 22.05.10 o godzinie 09:26

Temat: Serwis miejski - jaki CMS

Aldona Malinowska:
Umowa nie zawierała zapisu o obowizku aktualizacji oprogramowania w celu dbania o bezpieczeństwo, czy mimo wszytsko twórca powinien ponosić odpowiedziałność za to co się stało? Ponad trzy tyg walczył z tym, żeby pozbyć się swiństwa i żeby strona znowu działała poprawnie nie strasząc uzytkowników komunikatem o tym że sieje trojanami.

To smutna historia, u mnie (własnoręczna) analiza powłamaniowa + naprawa trwała 1-2 dni. Ubawiło mnie jak pierwszy raz zrobiłem tylko to co zwykle robią ludzie w tym wypadku - odtworzenie + zmiana haseł - za dwa dni kolejny włam :) Człowiek uczy się na błędach.

Tylko do tego trzeba:
a) znajomości środowiska
b) kopii zapasowej
c) logów

Ale 6 tysiów to niewielki budżet jak na "profesjonalną firmę" (od strony IT), w związku z czym nie dziwie się, że nie mieli czasu się tym zająć. Ale od strony klienta (waszej) to musiał być dramat - co by było, gdyby włamywacze zrobili "defacement"?

A nawiązując do tematu:
Nigdy nie poleciłbym "autorskiego" CMS - nie wiem w ogóle jak to się dzieje, że w Polsce skrypty "autorskie" są tak popularne. Może to wynik niedouczenia klientów?

Jeśli w planach mam rozwój serwisu, to muszą to komuś zlecić.

Mogę to zlecić firmie trzeciej (nie-autorowi) jeżeli:
a) całość kodu jest do- i przy-stępna (php, js, py, java, grafiki/PSD...)
b) kod jest dobrze napisany zgodnie ze standardami
c) firma trzecia będzie miała ochotę poznać to "autorskie" środowisko

Jeśli któregoś z tych elementów zabraknie, to jestem skazany na pierwotnego dostawcę oprogramowania i jego jedynie słuszny cennik...

A w interesie którego dostawcy jest spełnienie a,b?

Dlatego przy małym budżecie nie zastanawiałbym się i szedł w stronę OSS, o ile nie chcę zostać dojną krową. Przy większym budżecie mogę mieć większe wymagania i wybrać większą firmę, która zrobi całość (soft + wdrożenie + zmiany) w rozsądnym czasie.Piotr Likus edytował(a) ten post dnia 22.05.10 o godzinie 10:39

Temat: Serwis miejski - jaki CMS

Kwestia bezpieczeństwa CMS jest dosyć wrażliwa,
bowiem firmy które sprzedają CMS bardzo bardzo niechętnie chwalą się,
że im klientom się ktoś włamał. A jeśli już to OS CMS to jest o tym głośno, że hej. Ot i cały szum.

Na ponad 2 tysiące CMS ogólnie dostępnych systemów wybór jest trudny, fakt.

+ poza tym chyba każdy porządny CMS (np. Drupal, Joomla!) ma: aktualizacje (tak samo jak Windows, czyż nie) oraz rozszerzenia, które dodatkowo zwiększają bezpieczeństwo. I firma która sprzedaję usługę powinna zadbać o max bezpieczeństwo klienta, nawet jeśli budżet to jedyne 6 tys.Paweł F. edytował(a) ten post dnia 22.05.10 o godzinie 20:52

Temat: Serwis miejski - jaki CMS

typo jeszcze jest fajne

Temat: Serwis miejski - jaki CMS

Piotr K.:
typo jeszcze jest fajne

Po 54 miesiącach już może nie być fajne.

Temat: Serwis miejski - jaki CMS

Tak naprawdę niczego nie jesteśmy w stanie zabezpieczyć na 100%, zawsze może coś się przytrafić. Odnośnie Joomli to pomijam już toporność jej działania oraz brak logiki w interfejsie administratora (jakby nie patrzeć tym mają zarządzać też osoby, które często nie mają zbyt dużego pojęcia na ten temat).
CMSy open source są narażone na ataki z tego względu, że kod jest ogólnie dostępny i potencjalny włamywacz ma możliwość testowania różnych kombinacji u siebie na dysku lokalnym.
Moim zdaniem rozwiązania open source są jednak lepsze, ponieważ nad np. WordPressem pracuje setki doświadczonych programistów i zanim cokolwiek zostanie puszczone w obieg, to taki kod zostanie sprawdzony kilkaset razy pod różnymi kątami i nawet jeśli przytrafi im się błąd to poprawka pojawia się błyskawicznie i najczęściej wystarczy zrobić aktualizację do najnowszej wersji. Poprawka pojawia się szybko, ponieważ jeśli błąd jest krytyczny to na pewno znajdzie go kilka osób i z tych kilku osób ZAWSZE znajdzie się ktoś kto opublikuje chociażby exploita umożliwiającego wykonanie skutecznego ataku.
Odnośnie autorskich CMSów to ryzyko jest zdecydowanie większe (zależy jeszcze od jakiej firmy kupujemy aplikację), mimo że kod źródłowy nie jest ogólnie dostępny to jednak ryzyko włamania jest większe, ponieważ kodu nie przegląda tak wielu programistów i jeśli już potencjalny atakakujący znajdzie chociażby błąd z SQL Injection czy XSS w takim CMSie, to na 99.99% nie zgłosi tego firmie, która tworzyła owo oprogramowanie i właściciel takiej strony może liczyć (w najlepszym przypadku) na to, że zostanie mu podmieniony indeks. Jeśli firma jest na tyle profesjonalna i jest w stanie zareagować naprawiając błąd bardzo szybko to pół biedy, gorzej kiedy każe na siebie czekać 2 tygodnie...
Reasumując, jeśli nie masz zaufanego dostawcy aplikacji (bądź osoby, która jest w stanie zagwarantować pewien stopień bezpieczeństwa na piśmie) to zdecydowanie lepiej korzystać z popularnych rozwiązań open source.

Temat: Serwis miejski - jaki CMS

Mateusz K.:
Odnośnie autorskich CMSów to ryzyko jest zdecydowanie większe (zależy jeszcze od jakiej firmy kupujemy aplikację), mimo że kod źródłowy nie jest ogólnie dostępny to jednak ryzyko włamania jest większe, ponieważ kodu nie przegląda tak wielu programistów i jeśli już potencjalny atakakujący znajdzie chociażby błąd z SQL Injection czy XSS w takim CMSie, to na 99.99% nie zgłosi tego firmie, która tworzyła owo oprogramowanie i właściciel takiej strony może liczyć (w najlepszym przypadku) na to, że zostanie mu podmieniony indeks.

Nonsens. Wydaje mi się że w przypadku OS ryzyko włamania powinno być zdecydowanie większe, ponieważ haker mając dostęp do kodu łatwiej znajdzie dziurę. Co do SQL injection, chyba powinno być jasne, że profesjonalna firma tworząca takie systemy powinna zadbać o odpowiednie zabezpieczenia. No przecież w umowie można dać zapis o karach umownych lub konieczności naprawienia takiej dziury. Przecież nawet same licencje OS na ogół mają zapisy, że producenci nie ponoszą żadnej odpowiedzialności za działanie systemu. Np. w przypadku GNU GPL, oprogramowanie jest rozprowadzane tak jak jest i nie ma żadnej gwarancji na poprawność działania. A firma która podejmuje się czegoś na indywidualne zamówienie zobowiązuje się przecież do należytego wykonania dzieła. Poza tym wystarczy napisać trojana który przechwyci hasła i już całe zabezpieczenia do bani.

Temat: Serwis miejski - jaki CMS

Dariusz R.:

Mateusz K.:
Odnośnie autorskich CMSów to ryzyko jest zdecydowanie większe (zależy jeszcze od jakiej firmy kupujemy aplikację), mimo że kod źródłowy nie jest ogólnie dostępny to jednak ryzyko włamania jest większe, ponieważ kodu nie przegląda tak wielu programistów i jeśli już potencjalny atakakujący znajdzie chociażby błąd z SQL Injection czy XSS w takim CMSie, to na 99.99% nie zgłosi tego firmie, która tworzyła owo oprogramowanie i właściciel takiej strony może liczyć (w najlepszym przypadku) na to, że zostanie mu podmieniony indeks.

Nonsens. Wydaje mi się że w przypadku OS ryzyko włamania powinno być zdecydowanie większe, ponieważ haker mając dostęp do kodu łatwiej znajdzie dziurę. Co do SQL injection, chyba powinno być jasne, że profesjonalna firma tworząca takie systemy powinna zadbać o odpowiednie zabezpieczenia. No przecież w umowie można dać zapis o karach umownych lub konieczności naprawienia takiej dziury. Przecież nawet same licencje OS na ogół mają zapisy, że producenci nie ponoszą żadnej odpowiedzialności za działanie systemu. Np. w przypadku GNU GPL, oprogramowanie jest rozprowadzane tak jak jest i nie ma żadnej gwarancji na poprawność działania. A firma która podejmuje się czegoś na indywidualne zamówienie zobowiązuje się przecież do należytego wykonania dzieła. Poza tym wystarczy napisać trojana który przechwyci hasła i już całe zabezpieczenia do bani.

W przypadku słabo wspieranych projektów OS zgodzę się, że ryzyko jest większe (jeżeli na przeciwko rozwiązania OS postawimy firmę, która DBA o poziom swoich produktów). Odnośnie profesjonalizmu firm oraz ich zabezpieczeń to mocno bym dyskutował, bo niemal każda firma ma w swoich sloganie "profesjonalnie", a jedyne co robią profesjonalnie to zbierają gotówkę od klienta. Aby nie być gołosłownym całkiem niedawno widziałem CMS'a opartego na zendzie, gdzie mogłem sobie wgrać skrypt PHP na serwer. XSSy praktycznie w każdym miejscu wyszukiwarki (strona gdzie użytkownicy mogli się logować). I jak klient ma zweryfikować coś takiego, jeżeli się na tym nie zna? Open Source w jakimś stopniu eliminuje ten problem.
Nie mówię tutaj o odpowiedzialności firm czy licencji OS za powstałe szkody, tylko o tym gdzie będziemy mieli mniejsze prawdopodobieństwo tego, że będziemy musieli egzekwować cokolwiek w wyniku błędu aplikacji. Jeżeli firma ma dobry produkt to oczywiście będzie w stanie zagwarantować jakiś poziom bezpieczeństwa, ale wszystkiego i tak nie da się przewidzieć.
Nie możemy tutaj generalizować, że coś jest lepsze lub gorsze. Zależy jak zostało zrealizowane.Ten post został edytowany przez Autora dnia 18.08.14 o godzinie 19:54