Journal Wormux fait la promotion de logiciels propriétaires

Posté par yeKcim (site web personnel) le 05 août 2009 à 23:41.

Étiquettes : aucune

août

2009

Fait assez rare pour être mentionné, un jeu libre fait la promotion de logiciels propriétaires de la façon la plus immonde qui soit : le spam. Pas vraiment à cheval sur la sécurité du site, nous avons semble-t-il laissé des spammeurs s'infiltrer et envoyer leurs messages depuis notre serveur. Comme par hasard, il ne s'agit pas de spam pour des pilules bleues mais bien pour des logiciels privateurs.

Comment en sommes-nous arrivés là ?

Notre site était fait en plusieurs parties :
- Un wiki pour les pages de docs et les pages principales (mediawiki)
- Un blog pour les news (dotclear)
- Un forum (fluxbb)
- Des scripts php persos (récupération du changelog et de la liste des auteurs dans le svn, vérifications automatiques de l'état d'avancement des traductions, statistiques du jeu en ligne,...)

Pour que le site reste homogène, un entête commun était incrusté dans chaque cms, ce qui rendait très pénibles les mises à jour...

Nous aurions pu utiliser joomla ou drupal mais, les différentes parties ont été ajoutées au fur et à mesure, donc c'était historique. Et puis nous entendons pas mal de critiques disant qu'il s'agit de véritables usines à gaz.

On nous conseille WebGUI(http://www.webgui.org), PHPBoost(http://www.phpboost.com), Wordpress (http://www.scriptol.fr/wordpress/wordpress-universel.php)... Qu'est ce que vous utilisez vous même pour la promotion de vos projets ?

# Et Comment en êtes-vous arrivés là ?

Posté par allcolor (site web personnel) le 05 août 2009 à 23:50. Évalué à 10.

C'est bien de décrire l'archi mais ça n'explique pas le comment le spam part de vos serveurs ! ;) Or vu le titre !
- [^] # Re: Et Comment en êtes-vous arrivés là ?
  
  Posté par M le 05 août 2009 à 23:59. Évalué à 4.
  
  ce qui rendait très pénibles les mises à jour...
  
  Ca sent des scripts php troué et non mis à jour.
  
  j'ai toujours été étonné du nombre de trou que ces logiciels (forum, wiki, ...) pouvait avoir.
  Après tout avec une conception orienté sécu, on devrait en limiter une grosse partie ?
- [^] # Re: Et Comment en êtes-vous arrivés là ?
  
  Posté par Halfr le 06 août 2009 à 01:20. Évalué à 4.
  
  En fait c'est yeKcim qui fait lui même le spam : http://linuxfr.org/~yeKcim/24466.html
  - [^] # Re: Et Comment en êtes-vous arrivés là ?
    
    Posté par Halfr le 06 août 2009 à 01:21. Évalué à 4.
    
    Je parlais du titre hein, j'ai rien contre la promo de wormux :)
  - [^] # Re: Et Comment en êtes-vous arrivés là ?
    
    Posté par yeKcim (site web personnel) le 06 août 2009 à 01:22. Évalué à 6.
    
    Oui c'est vrai qu'à une époque j'ai fait cette campagne (qui n'a évidemment rien à voir). Notez bien que la promotion d'un projet libre n'est pas toujours facile, il faut trouver des trucs accrocheurs si on veut trouver des contributeurs....
# Il y a pas de secret

Posté par syj le 06 août 2009 à 00:34. Évalué à 8.

Il faut mettre à jour dans la journée après toute alerte de sécurité car elle sont très souvent de niveau zero-day.
Pour çà, je vous recommande le RSS du Certa français qui collectent et diffusent les alertes.
Enfin, evitez au maximum les extensions qui ne sont pas forcement aussi bien maintenu et aussi bien audité que le reste du CMS concerné.
- [^] # Re: Il y a pas de secret
  
  Posté par yeKcim (site web personnel) le 06 août 2009 à 00:49. Évalué à 2.
  
  Le problème c'est que, dès lors qu'il y a des modifications dans les fichiers php, les mises a jours deviennent un véritable casse-tête...
  - [^] # Re: Il y a pas de secret
    
    Posté par Misc (site web personnel) le 06 août 2009 à 03:31. Évalué à 5.
    
    Pour appliquer une css commune sans toucher au code, je te conseille delivrance
    http://deliverance.openplans.org/
    
    L'appli a été présenté lors des rmlls : http://2009.rmll.info/Deliverance.html et lors de pyconf.fr 2009 : http://www.pycon.fr/sessions/seances/skinner_vos_application(...) , tu doit trouver la video et les slides.
    
    Et sinon, tu peut choper l'auteur sur le canal de l'afpy ( #afpy sur freenode ), ou le voir lors d'un afpyro ( le 20 aout pour le prochain, à paris )
  - [^] # Re: Il y a pas de secret
    
    Posté par kursus_hc le 06 août 2009 à 04:58. Évalué à 1.
    
    Il me semble que Joomla en version 1.5 apporte un début de solution au problème douloureux des mises à jour des fichiers modifiés, à l'aide de répertoires supplémentaires réservés aux modifications ad hoc, et non touchés par les mises à jour.
    
    Non testé, je doute que ce soit magique, mais l'initiative est là.
  - [^] # Re: Il y a pas de secret
    
    Posté par syj le 06 août 2009 à 10:28. Évalué à 4.
    
    Dans certains, CMS comme Joomla , il y a des mécanismes d'extension qu'il faut respecter afin d'éviter de modifier directement le PHP.
    
    Je reconnais que quelques fois , c'est tentant tellement c'est plus simple de modifier le PHP pour corriger le petit pixel qui ne va pas et qu'on arrive pas à corriger avec le CSS ou le CMS :).
    - [^] # Re: Il y a pas de secret
      
      Posté par pouille le 06 août 2009 à 10:42. Évalué à 3.
      
      Et sinon est-ce que ce genre de choses ne peut pas se gérer avec un gestionnaire de sources?
      - [^] # Re: Il y a pas de secret
        
        Posté par Halfr le 06 août 2009 à 19:14. Évalué à 1.
        
        À moins de faire une branche locale du repo central du projet (et encore ça ne marchera pas si certaines modifications nécessitent de réinstaller) ça risque d'être très complexe.
        
        Au mieux on peut créer un patch et l'appliquer après chaque mise à jour en priant que ça ne casse pas tout.
# PHPBoost

Posté par benpro (site web personnel) le 06 août 2009 à 00:54. Évalué à 1.

PHPBoost, la nouvelle version est vraiment très bonne. L'essayer c'est l'adopter.
# Dites-moi...

Posté par zebra3 le 06 août 2009 à 00:59. Évalué à 10.

... vous n'utiliseriez pas SquirrelMail par hasard ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
- [^] # Re: Dites-moi...
  
  Posté par Frédéric LIETART le 06 août 2009 à 01:09. Évalué à 3.
  
  Il y a Spip qui ai pas mal, avec qui je ne reçois pas de spam de partout, contrairement à Wordpress ou Dotclear. Il reste assez personnalisable, et très solide.
  PHPBoost est pas mal non plus, et regroupe toutes les fonctionnalités (News, Download...)
  - [^] # Re: Dites-moi...
    
    Posté par Faya le 06 août 2009 à 04:16. Évalué à -2.
    
    Tu t'appelles Spip et tu n'as pas mal ?
    
    -->[ ]
# Troll... mais...

Posté par Nicolas Blanco (site web personnel) le 06 août 2009 à 14:37. Évalué à 4.

Je fais tous mes sites en Ruby on Rails depuis 2 ans, qu'il fassent 5 pages ou que ça soit un réseau social, ça marche du tonerre. Lâcher PHP ne m'a pas fait verser de larme, au contraire.

Pleins de développeurs/intégrateurs me disent : mais Ruby on Rails, c'est pas un CMS !

Je leur réponds : quand t'as un framework solide, full objet, que t'as des briques de qualité que tu peux poser en quelques minutes (authentification, gestion des droits, moteur de templates)... jvois plus trop l'utilité d'utiliser un CMS PHP qui va te prendre la tête dès que tu vas vouloir étendre une fonctionnalité. A moins si t'es sûr de rien vouloir développer par la suite... Ce qui est rarement le cas.

Nicolas.
# Drupal

Posté par Ludo le 06 août 2009 à 16:38. Évalué à 1.

Au niveau pro j'utilise Drupal, c'est un bon choix par rapport à Joomla, par expérience.

De plus, Hedgewars utilise Drupal: http://www.hedgewars.org/ avec le même type de problématiques.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.