From: Ergin ALTINTAS (ealtintas@gmail.com)
Date: Sat 07 Jan 2006 - 08:22:18 EET
On 1/6/06, Devrim GUNDUZ <devrim@gunduz.org> wrote:
> > Oysa her işimizi gören güzel hesap makinelerini alıp da kullanmak ve
> hesap
> > makinesini yapmak için uğraşacağımız zamanda bir adım sonraki işlere
> zaman
> > ayırsak daha iyi olmaz mı?
>
> Bence olmaz. Çünkü olay basit bir hesap makinesi değil.
>
> Bu portal yazılımlarının hemen hemen hepsinin sürekli güvenlik açığı
> dertleri var. Bu da ilk güvenlik açığında sizin sisteminizin de sorun
> yaşaması demek. Sürekli güncel tutabileceğim derseniz sorun yok. Takip
> etmeniz gerekli.
>
> Bugün Nuke tadındaki yazılımlar artık baştan yazılmayı gerektirecek
> noktada. Kod tabanının da değişmesi gerektiğini düşünüyorum.
>
> Yazılacak çok şey var aslında bu konuda ama olayı basite indirgemeden
> düşünmekte fayda olduğunu belirtmek istiyorum.
>
> Saygılar
> --
> Devrim GUNDUZ
>
Merhaba,
Güvenlik gereksinimlerini dikkate alan ve istediğiniz özellikleri karşılayan
arkasında güçlü ve kalabalık bir topluluk olan bir CMS isterseniz XOOPS'u
kesinlikle denemenizi oneririm. Eksikleri yok mu? Her hazır CMS gibi tabiki
var, fakat PHP bilginizle moduller yazabilir gerekiyorsa kucuk hack ler
yaparak kendinize uydurabilirsiniz.. XOOPS sizin belirttiginiz
ihtiyaclarinizi karsilayacak bir sistem (coklu dil vb.)
PHPNuke'dan kesinlikle uzak durmanızı oneririm çünkü Devrim'in de dediği
gibi
kodları artık çöp niteliğinde... Benim PHPNuke'dan cok dilim yandı, fakat
basit kod yamaları ile daha guvenli hale getirilebiliyor. Bkz.
http://www.yapay-zeka.org/~eski 4 yıldır PHPNuke5.5 ile guvenli bir sekilde
devam ediyor... Ama kendi yaptığınız yamaları sürekli yeni updatelere
taşımak
zaman alacaktır. Nuke'dan dilim yandıktan sonra sitelerimi coğu sitemi
XOOPS'a gecirdim.
XOOPS'u günde toplam 600-800 hit alan 4 sitede yaklaşık 3-4 yıldır
kullanıyorum. Guncellememi zamanında yapmadığımdan (3-4 ay geciktirmiştim)
bir kere başıma gelen bir durum (user.php dosyası kullanılarak spam
gonderilmesi) dışında guvenlik sorunu yasamadım.
Mambo (artık joomla)'yu kısa bir sure icin denedim, kodlarını inceleme
firsatim olmadı, genel bir CMS olarak iyi oldugunu düşünüyorum. Fakat modul
cesitliligi acısından XOOPS kadar iyi değil.
XOOPS'un uzerinde calisan her modull kodlama kalitesi olarak cok kaliteli
olmasa da (bu modulun yazariyla ilgili bir konu), CMS'nin kernel'i kodlama
kalitesi olarak oldukça iyi seviyede, kendim bizzat inceledigimden bunu
soyluyorum.
XOOPS'un modülerliği de üst seviyede,ornegin sadece kerneli kurduğunuzda 30
kusur tablo kuruyor sisteme yeni bir modul kurdugunuzda tablo sayısı artıyor
fakat modulu kaldırdığınızda module ait tablolar da siliniyor veritabanında
boylece yeni modeüller denediğiniz için veritabanınız çöplüğe dönüşmüyor...
Bir CMS'nin ne kadar güvenilir olacağını anlamak için bence web
sitelerindeki
forumları support bölümlerini incelemelisiniz. Kaç tane geliştiricisi kaç
olduğuna, sorulara ne kadar hızlı cevap verildiğine bakmalısınız. XOOPS bu
açıdan da oldukça başarılı.
Bütün bunlara karşın geçtiğimiz dönemlerde XOOPS'un kendi sitesinin dahi
(ben
şimdiye kadar (4 sene boyunca) 1 kere gördüm) hack'lenmiş olması (1 gün
sonra
normale döndü) güvenilirlik konusunda size fikir vermeli... Eğer sitenizde
kredi kartı bilgileri gibi gizli bilgiler tutmuyorsanız ve sürekli
veritabanınızın yedeğini alıyorsanız, belki bu riski göze alabilirsiniz...
Bahsettiginiz, diğer CMS'ler hakkında fikrim yok ancak size tavsiyem
baskalarının onerilerini dinlemek yerine, localhost'unuzda kendi kendinize
bu
sistemlerden size uygun olacagini dusunduklerinize zaman ayırıp test
etmeniz,
ihtiyacınız olan modülleri ve yönetim panellerini incelemeniz. Cunku bir
kere birisini sectikten
sonra genellikle baska bir CMS'ye gecmek oldukca zor oluyor otomatik migrate
araclari cogunlukla yok veya yetersiz...
Hesap makinasini yeniden dizayn etmek konusuna gelince, sahsim adina
konusuyorum:
- Guvenlik benim icin birinci sirada ise, zamanım var ise ve hazırlanacak
site cok kapsamlı değilse kesinlikle hazır CMS kullanmazdim, belki hazır
CMS'nin sadece template (theme vb.) ozelligini ve mevcut templatelerini
kullanırdım.
- Gunvelik benim icin ikinci sirada zaman birnci sirada ise hazır CMS'nin
authentication gerektiren ve veritabanına erişim yapan her yerine detaylı
goz atar ve gerekirse değiştirmeler yapardım. (XOOPS kerneli merkeziyetci
bir mantıkla oldukça guzel yazıldığından kernel üzerinde kucuk değişiklikler
(1 satirlik) yaptığınızda sitenin toplamında büyük değişiklikler meydana
getirebiliyorsunuz)
Örneğin: yönetici icin authentication'ı veritabanından değil de başka bir
yönetmle (mesela statik) yapabilecekseniz (sitenizin içeriği buna müsade
edecek ise) mevcut CMS'yi oldukça güvenli bir hale getirmiş olurdunuz.
Eğer XOOPS kullanmaya karar verirseniz xoops 2.2 den sonra XOOPS ekibi
modüllere sertifikasyon vermeye başladı, sertifikasyon verilmiş (official)
modülleri kullanmanızı öneririm... Bu modüller diğerlerine göre daha
güvenilirdirler...
Saygılarımla.
Not. Tüm türk linux camiasının mutlu bir bayram geçirmesi dileğiyle...
Pardus varken çok zor olmaz sanırım :)
-- www.yapay-zeka.org
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama