Scoperta grave falla di sicurezza su Drupal 5 e 6

[= odino =]

Via OSSblog segnalo questa notizia.

La descrizione dettagliata del problema (XSS) sta qua ( in english ):
http://drupal.org/node/449078

Che sia di aiuto per gli utenti che mai avessero qualche sito di prova con Drupal o lo utilizzassero per altri motivi, e che sia anche un monito per chi ha ben sottolineato come Joomla! fosse un software poco sicuro rispetto a progetti (quali, per esempio, Drupal ).

E speriamo che non vengano fatti troppi danni 

[ko]

...ma dai...i problemi di sicurezza in Drupal vengono notificati nel lato amministratore automaticamente con una tempestivita' assoluta. Davvero trovo incredibile che Joomla! venga preso in considerazione come competitore di Drupal..e' un argomento che si perpetua solo perche' tra il grande numero di appassionati di Joomla! -i cui meriti in quanto strumento accessibile a tutti per fare un sito web dinamico, seppure scarsamente configurabile, in modo veloce, vanno assolutamente riconosciuti- ce ne sono alcuni che si piccano di essere dei professionisti del web per il fatto di aver imparato ad usare Joomla! Se e' vero che ognuno dei due strumenti ha i suoi bugs di sicurezza (come praticamente qualsiasi altro software di largo uso), l'equilibrio finisce li. Dal punto di vista della flessibilita' e delle potenzialita' di sviluppo del sito, tra Joomla! e Drupal non c'e' a tutt'oggi possibile confronto.
Con buona pace di "Ternaria informatica", che fa i siti "professionali" con Joomla!.....

[= odino =]

...ma dai...i problemi di sicurezza in Drupal vengono notificati nel lato amministratore automaticamente con una tempestivita' assoluta

Davvero? cavolo anche su Joomla!

Dal punto di vista della flessibilita' e delle potenzialita' di sviluppo del sito, tra Joomla! e Drupal non c'e' a tutt'oggi possibile confronto.

Dal punto di vista della flessibilità di due strumenti procedurali allora finiamo il confronto e spostiamo su framework veramente potenti ed estendibili.

...ma dai...i problemi di sicurezza in Drupal vengono notificati
Con buona pace di "Ternaria informatica", che fa i siti "professionali" con Joomla!.....

O con symfony, o con magento, o con ZF. Che bella la varietà!

Nessuno qui ha parlato male di Drupal, ed è per questo che i flame vengono smontati subito.

[ko]

...ma a me non interessa nulla se si parla male di Drupal, semplicemente Joomla! non e' comparabile con Drupal che potrebbe semmai essere confrontato con Typo3, nel campo Open Source mysql /php (entrambi nati come Content Management Framework). Troppo il divario nella potenzialita' dei due software. Il confronto non esiste, e un post come questo, che con tono "trionfante" annuncia (chissa' perche' su un forum Joomla! dove in teoria andrebbero semmai annunciate le falle di sicurezza di Joomla! appunto...che c'entra Drupal?) una importante "falla di sicurezza" di Drupal, e' chiaramente di tipo volutamente denigratorio, perche' del tutto fuori luogo nel contesto. Pensate un po' se in un forum "ufficiale" di Drupal dovessero mettersi ad annunciare tutti i bugs d Joomla! Secondo me il "flame" e' proprio il post stesso, il quale abbassa la credibilita' di questo sito in modo evidente....Postato in modo evidentemente interessato, da una piccola societa' di servizi web, che ha fatto di Joomla! (che non e' affatto un software professionale per realizzare siti web), la base principale del suo "business"....

[sudoku]

eviterei di mettere sul piano personale/professionale il confronto tra software. Ogni software ri/conosce bugs, i software OS grazie alla grande parteciapzione ed alla competenza degli sviluppatori copre le falle in maniera più rapida ed efficace. Posto questo: Joomla! così come Drupal, Typo3, WP etc.. rispondono in maniera più o meno flessibile alle necessità dell'utente finale: ergo non credo si possa sostenere che uno o l'altro siano preferibili per siti professionali (posto che poi esista una definizione per professionale, dato che si sviluppa in funzione del cliente che è quello, che fattura alla mano, definisce la "professionalità" dell'operazione).

[ko]

...non sono d'accordo. Il mezzo conta. Posto che al livello grafico si puo' dare il medesimo aspetto a un sito, sia che giri su Joomla!, su Drupal, su Typo3, etc...vi sono proprieta' non direttamente visibili che sono quelle che poi fanno la differenza sulle potenzialita' di sviluppo del sito. A livello di design e di strutturazione dei contenuti tutto quello che si puo' fare con Joomla! e Wordpress si puo' fare, e meglio, (con piu' sfumature e flessibilita'), con Drupal, e non il contrario. Non capisco perche' non vada ammesso, dato che e' la pura verita'. La freccia all'arco di Joomla! e' semmai la facilita' di apprendimento.....

[ko]

..ma poi, e lo dico al moderatore, non e' espressamente vietato, in questo forum, "fare riferimento a prodotti e servizi a pagamento"? E come mai lasciate per un anno un post che nel suo footer rimanda proprio ad un servizio a pagamento? Credo proprio che, per rispettare le regole da voi stessi indicate, dovreste rimuovere al piu' presto, tutti i post di "Ternaria informatica", che per l'appunto offre servizi a pagamento....a meno che non ci sia qualcosa di poco trasparente nella gestione di questo sito, ma ovviamente sono sicuro di no...

[vamba]

non e' espressamente vietato, in questo forum, "fare riferimento a prodotti e servizi a pagamento"?

Precisiamo per correttezza e per rispetto dei lettori.
Nel forum è si vietato fare riferimento a prodotti commerciali e servizi a pagamento all'interno dei post, non è vietato però nelle firme inserire richiami a servizi commerciali dell'utente stesso, e questo è il caso specifico che credo sia menzionato nel suo intervento.

La sottile differenza, che a prima vista potrebbe apparire giustamente come incoerenza, ha risvolti ben diversi.
Infatti se l'utente inserisce richiami a servizi commerciali anche propri nei post, gli stessi verrebbero immediatamente moderati.

Mettere riferimenti commerciali, che devono essere ovviamente propri dell'utente stesso in firma, lasciano  all'utente la possibilità di visualizzarli o meno utilizzando la funzione nascondi firme.

Come amico e fan anche di Drupal concordo in parte sul discorso di non dover avvisare gli utenti nel caso di problematiche, come in questo caso, trovo però errata la sezione dove tale avviso è stato inserito e, con rammarico scusandomi per il terribile ritardo mi appresto a spostare in sezione più consona questo messaggio.