Обсуждение технических проблем индимедии

автор a., дата 2011-09-25 17:00, исходное сообщение, textile

Ты готов обеспечить переезд на новый движок? Сколько это займёт по времени?

Если серьёзно, переезд на новый движок может занять больше сил, чем исправление тех недостатков движка, ради которых вообще стоило бы затевать такой переезд (из всего озвученного серьёзных проблем имхо только две — стабильность и отсутствие wysiwyg-редактора сообщений).

Если есть силы на то, чтобы организовать построение нового сайта на новом движке, перенос данных со старого движка, наведение более-менее своего внешнего вида, а потом и последующую поддержку более навороченного движка¹ — не лучше ли потратить все эти силы на доведение до ума того, что уже есть?

¹ Для сравнения: в Samizdat на данный момент всего примерно 8000 строк кода в 90 файлах, в Hyperactive — только своих 20000 строк в 700 файлах, не считая 2400 файлов локальных копий Rails, Selenium, TinyMCE и т.п.

Кроме этого, у нового движка вполне может обнаружиться множество собственных проблем. Только известных разработчикам Hyperactive багов на сайте проекта на данный момежт насчитывается 29, ещё 114 запросов на улучшения, в том числе и такие трививальные, как показывать ссылку на страницу публикации на всех страницах, а не только на главной.

Самая серьёзная претензия к Hyperactive — безопасность. То, что у них прямо в дереве исходников валяется собственная копия Rails, причём старая версия 2.2, которую 2 года никто не обновлял — имхо очень плохой знак. Только за эти два года в этой версии было обнаружено 8 уязвимостей:

При этом CVE-2011-2930 — вообще дырка класса “SQL Injection”, позволяющая получить несанкционированный доступ к базе, что в контексте Индимедии означает доступ к электронным адресам, использовавшимся пользователями для регистрации, и к базе зашифрованных паролей, что существенно облегчает подбор пароля по словарю.

В пакетах Rails для Debian и для Fedora все эти дырки закрыты, так что если бы если бы они использовали системную версию Rails, им не пришлось бы патчить свою локальную копию, как они это делали 2 года назад для ещё более старых уязвимостей.

Кто-нибудь берётся устранить хотя бы эту проблему?

Powered by Free Software, including Ruby programming language, PostgreSQL database. Samizdat engine is free software; you can distribute/modify it under the terms of the GNU General Public License version 3 or later.