Meglio un CMS oppure fare tutto a mano? Splinder é un segno di forza di Drupal?

[ubaldo.gulotta]

Oggi stavo parlando in chat con una persona e mi diceva che i CMS sono delle porcherie e le persone serie non comprano libri su DRUPAL ma uno di PHP, uno di JAVASCRIPT, uno di CSS, uno di XHTML aggiornati e rigorosamente IN INGLESE.
Mi ha anche detto che anni fa Splinder http://www.splinder.com/ aveva usato il CMS Drupal per realizzare il loro software di blog rimuovendo la firma ed era stata accusata di copia ed era finita sotto processo. Ai tempi il famoso CMS non aveva neppure le password crittografate. Inoltre questa persona ha anche aggiunto che usando un software dove il codice è alla portata di tutti e quindi visionabile é 2 volte più craccabile (scusate il termine ma non so come si scrive).
Voi cosa ne pensate, Drupal è davvero meno sicuro di una soluzione fatta con le proprie mani con codice segreto non distribuito liberamente? E’ davvero rischioso usare un CMS? I programmatori seri fanno davvero tutto con le loro mani? Io ho dato un’occhiata a Boonex (è solo un esempio) e dentro ci ho trovato tante di quelle librerie che neanche immaginate!

Io ho sempre creduto che appogiarsi ad un framework come Drupal non fosse per nulla sbagliato e antiprofessionale!

[zedr]

Credo che dovresti dare retta a persone che conoscono veramente ciò di cui parlano. Il tuo interlocutore non è tra queste.

[ubaldo.gulotta]

Originariamente inviato da zedr
Credo che dovresti dare retta a persone che conoscono veramente ciò di cui parlano. Il tuo interlocutore non è tra queste.

bene

[arlenness]

Mi è capitato di parlare con collega di lavoro, un Ingegnere informatico sullo stesso argomento alcuni giorni fa. Io uso CMS famosi e open source mentre lui si è costruito il suo CMS spendendo parecchio tempo e soldi, perchè dice che il suo CMS è più sicuro, meno attaccabile, non deve installare continuamente aggiornameni di sicurezza e i clienti di alto target devono avere un prodotto proprietario. Chiaramente non sono d'accordo con lui, sono un sostenitore dell'open source, ma rimangono molti dubbi. Voi cosa ne pensate?

[zedr]

Originariamente inviato da arlenness
lui si è costruito il suo CMS spendendo parecchio tempo e soldi

dice che il suo CMS è più sicuro, meno attaccabile

Ma dai? Mi avrebbe stupito se avesse detto altrimenti.

Originariamente inviato da arlenness
non deve installare continuamente aggiornameni di sicurezza

Il che' e' un male, perche' gli aggiornamenti continui e frequenti sono segno di un ciclo di sviluppo del software sano, in cui il codice viene costamentemente esteso, migliorato e tenuto sotto controllo da una comunita' attiva di sviluppatori.

Probabilmente non lo aggiorna perche' il software non ha vulnerabilita' note a lui. Ha mai fatto dei vulnerability assessment e del penetration testing condotti da persone e aziende esterne? Altrimenti la sua affermazione "e' piu' sicuro" non vale niente.

Originariamente inviato da arlenness
i clienti di alto target devono avere un prodotto proprietario.

I clienti, di basso e di alto target, devono avere un prodotto sicuro e funzionante. Punto.

Il fatto che codice sia proprietario e chiuso non lo rende piu' sicuro a priori: vedi Windows (chiuso e proprietario) e Linux (aperto e free). Quale di questi due sistemi operativi e' generalmente considerato il piu' sicuro?

Detto questo, esistono aziende in Italia che lavorano benissimo con CMS autoprodotti e proprietari.

edit: formattazione

[arlenness]

La tesi del mio collega ingegnere informatico sulla sicurezza è la segunte:
CMS proprietari essendo meno diffusi e con sorgente nascosto sono difficilmente attacabili mentre CMS open source e diffusi vengono attaccati spesso e per questo devono rilasciare 20 - 30 aggiornamenti di sicurezza annualmente. Sarebbe impensabile aggiornare centinaia di siti 30 volte all'anno, sarebbe troppo costoso.

Io parlo come web designer con competenze di comunicazionee e alcune competenze di informatica ma non oso contraddire un ingegnere autore di un CMS costosissimo. Mi sembra comunque uno spreco costruirsi un CMS in casa quando CMS open source sono ottimi e avanzatissimi.

[zedr]

Originariamente inviato da arlenness
La tesi del mio collega ingegnere informatico sulla sicurezza è la segunte:
CMS proprietari essendo meno diffusi e con sorgente nascosto sono difficilmente attacabili mentre CMS open source e diffusi vengono attaccati spesso e per questo devono rilasciare 20 - 30 aggiornamenti di sicurezza annualmente. Sarebbe impensabile aggiornare centinaia di siti 30 volte all'anno, sarebbe troppo costoso.

Io parlo come web designer con competenze di comunicazionee e alcune competenze di informatica ma non oso contraddire un ingegnere autore di un CMS costosissimo. Mi sembra comunque uno spreco costruirsi un CMS in casa quando CMS open source sono ottimi e avanzatissimi.

Il fatto di essere un ingegnere informatico non lo rende necessariamente un buon programmatore o un buon architetto di sistemi, anzi...

Il suo approccio "security through obscurity" e' controverso e oggetto di frequenti dibattiti tra gli sviluppatori. E' difficile discuterne usando te come proxy, per cui mi limito a lasciarti qualche puntatore per approfondire l'argomento, con i pro e i contro:

http://it.wikipedia.org/wiki/Sicurez...ite_segretezza
http://it.wikipedia.org/wiki/Principio_di_Kerckhoffs
http://www.apogeonline.com/openpress/cathedral

Secondo il ragionamento del tuo collega, Linux e i vari BSD dovrebbero essere i sistemi operativi meno sicuri del mondo. Mi pare che i fatti dimostrino il contrario.

Infine, molti CMS moderni dispongono di un sistema automatico per aggiornare le patch, tramite patch o hotfix, che rendono il procedimento semplice e per nulla costoso.

[ubaldo.gulotta]

A mio avviso una base da cui partire ci deve essere, non ha senso che ogni programmatore quando inizia a lavorare debba partire da zero ogni volta quindi un CMS é senza dubbio necessario. La verità comunque non esce dalla bocca di quel programmatore per un semplicissimo motivo. Boonex per esempio usa centinaia di librerie free, non mi stupirei che il nucleo del software fosse costituito da solo 1MB di dati.
Forse i programmatori veri (non gente come in sottoscritto che brancola nel buio) non usano questo forum perché non ne hanno bisogno quindi é una discussione a senso unico (speravo di no ma pazienza...) e forse avere un codice segreto anziché open source da effettivamente più garanzie e forse linux é più sicuro perché meno bombardato.

[zedr]

Originariamente inviato da ubaldo.gulotta forse avere un codice segreto anziché open source da effettivamente più garanzie

Non da nessuna garanzia, ma solo un'illusione di sicurezza.

Originariamente inviato da ubaldo.gulotta
e forse linux é più sicuro perché meno bombardato.

L'infrastruttura di Internet e' prevalentemente basata su software open-source. Chi te l'ha messa in testa 'sta fesseria?