Journal Wormux fait la promotion de logiciels propriétaires

Posté par  (site web personnel) .
Étiquettes : aucune
9
5
août
2009
Fait assez rare pour être mentionné, un jeu libre fait la promotion de logiciels propriétaires de la façon la plus immonde qui soit : le spam. Pas vraiment à cheval sur la sécurité du site, nous avons semble-t-il laissé des spammeurs s'infiltrer et envoyer leurs messages depuis notre serveur. Comme par hasard, il ne s'agit pas de spam pour des pilules bleues mais bien pour des logiciels privateurs.

Comment en sommes-nous arrivés là ?

Notre site était fait en plusieurs parties :
- Un wiki pour les pages de docs et les pages principales (mediawiki)
- Un blog pour les news (dotclear)
- Un forum (fluxbb)
- Des scripts php persos (récupération du changelog et de la liste des auteurs dans le svn, vérifications automatiques de l'état d'avancement des traductions, statistiques du jeu en ligne,...)

Pour que le site reste homogène, un entête commun était incrusté dans chaque cms, ce qui rendait très pénibles les mises à jour...

Nous aurions pu utiliser joomla ou drupal mais, les différentes parties ont été ajoutées au fur et à mesure, donc c'était historique. Et puis nous entendons pas mal de critiques disant qu'il s'agit de véritables usines à gaz.

On nous conseille WebGUI(http://www.webgui.org), PHPBoost(http://www.phpboost.com), Wordpress (http://www.scriptol.fr/wordpress/wordpress-universel.php)... Qu'est ce que vous utilisez vous même pour la promotion de vos projets ?
  • # Et Comment en êtes-vous arrivés là ?

    Posté par  (site web personnel) . Évalué à 10.

    C'est bien de décrire l'archi mais ça n'explique pas le comment le spam part de vos serveurs ! ;) Or vu le titre !
  • # Il y a pas de secret

    Posté par  . Évalué à 8.

    Il faut mettre à jour dans la journée après toute alerte de sécurité car elle sont très souvent de niveau zero-day.
    Pour çà, je vous recommande le RSS du Certa français qui collectent et diffusent les alertes.
    Enfin, evitez au maximum les extensions qui ne sont pas forcement aussi bien maintenu et aussi bien audité que le reste du CMS concerné.
    • [^] # Re: Il y a pas de secret

      Posté par  (site web personnel) . Évalué à 2.

      Le problème c'est que, dès lors qu'il y a des modifications dans les fichiers php, les mises a jours deviennent un véritable casse-tête...
      • [^] # Re: Il y a pas de secret

        Posté par  (site web personnel) . Évalué à 5.

        Pour appliquer une css commune sans toucher au code, je te conseille delivrance
        http://deliverance.openplans.org/

        L'appli a été présenté lors des rmlls : http://2009.rmll.info/Deliverance.html et lors de pyconf.fr 2009 : http://www.pycon.fr/sessions/seances/skinner_vos_application(...) , tu doit trouver la video et les slides.

        Et sinon, tu peut choper l'auteur sur le canal de l'afpy ( #afpy sur freenode ), ou le voir lors d'un afpyro ( le 20 aout pour le prochain, à paris )
      • [^] # Re: Il y a pas de secret

        Posté par  . Évalué à 1.

        Il me semble que Joomla en version 1.5 apporte un début de solution au problème douloureux des mises à jour des fichiers modifiés, à l'aide de répertoires supplémentaires réservés aux modifications ad hoc, et non touchés par les mises à jour.

        Non testé, je doute que ce soit magique, mais l'initiative est là.
      • [^] # Re: Il y a pas de secret

        Posté par  . Évalué à 4.

        Dans certains, CMS comme Joomla , il y a des mécanismes d'extension qu'il faut respecter afin d'éviter de modifier directement le PHP.

        Je reconnais que quelques fois , c'est tentant tellement c'est plus simple de modifier le PHP pour corriger le petit pixel qui ne va pas et qu'on arrive pas à corriger avec le CSS ou le CMS :).
        • [^] # Re: Il y a pas de secret

          Posté par  . Évalué à 3.

          Et sinon est-ce que ce genre de choses ne peut pas se gérer avec un gestionnaire de sources?
          • [^] # Re: Il y a pas de secret

            Posté par  . Évalué à 1.

            À moins de faire une branche locale du repo central du projet (et encore ça ne marchera pas si certaines modifications nécessitent de réinstaller) ça risque d'être très complexe.

            Au mieux on peut créer un patch et l'appliquer après chaque mise à jour en priant que ça ne casse pas tout.
  • # PHPBoost

    Posté par  (site web personnel) . Évalué à 1.

    PHPBoost, la nouvelle version est vraiment très bonne. L'essayer c'est l'adopter.
  • # Dites-moi...

    Posté par  . Évalué à 10.

    ... vous n'utiliseriez pas SquirrelMail par hasard ?

    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: Dites-moi...

      Posté par  . Évalué à 3.

      Il y a Spip qui ai pas mal, avec qui je ne reçois pas de spam de partout, contrairement à Wordpress ou Dotclear. Il reste assez personnalisable, et très solide.
      PHPBoost est pas mal non plus, et regroupe toutes les fonctionnalités (News, Download...)
      • [^] # Re: Dites-moi...

        Posté par  . Évalué à -2.

        Tu t'appelles Spip et tu n'as pas mal ?

        -->[ ]
  • # Troll... mais...

    Posté par  (site web personnel) . Évalué à 4.

    Je fais tous mes sites en Ruby on Rails depuis 2 ans, qu'il fassent 5 pages ou que ça soit un réseau social, ça marche du tonerre. Lâcher PHP ne m'a pas fait verser de larme, au contraire.

    Pleins de développeurs/intégrateurs me disent : mais Ruby on Rails, c'est pas un CMS !

    Je leur réponds : quand t'as un framework solide, full objet, que t'as des briques de qualité que tu peux poser en quelques minutes (authentification, gestion des droits, moteur de templates)... jvois plus trop l'utilité d'utiliser un CMS PHP qui va te prendre la tête dès que tu vas vouloir étendre une fonctionnalité. A moins si t'es sûr de rien vouloir développer par la suite... Ce qui est rarement le cas.

    Nicolas.
  • # Drupal

    Posté par  . Évalué à 1.

    Au niveau pro j'utilise Drupal, c'est un bon choix par rapport à Joomla, par expérience.

    De plus, Hedgewars utilise Drupal: http://www.hedgewars.org/ avec le même type de problématiques.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.