staging.inyokaproject.org

Gerade bin ich auf diesen Thread aufmerksam geworden. Da ich schon länger nach einem leicht zu bedienenden CMS suche, bin ich sehr neugierig. Mir stellt sich jedes Mal die Frage nach der Sicherheit. Die meisten CMS machen es erforderlich, in PHP diverse Türchen zu öffnen, und die Berichte über Sicherheitslücken häufen sich. Wie sieht es da in cms -db aus? Ergeben sich sicherheitstechnische Vorteile daraus, dass keine SQL-DB im Hintergrund läuft? Ist gewährleistet, dass die Textdateien, die da als "DB" verwendet werden, auch wirklich nur vom CMS editiert und ausgelesen werden? Ich nehme mal an, dass zumindest das Thema SQL-Injection entfällt... 😉

Zum Thema Sicherheit kann ich nicht viel sagen, aber es gab bisher keinen sicherheitsrelevanten Bug. (Der Adminbereich könnte Lücken haben, aber das Login-System sollte eigentlich sicher sein.)

Die Textdateien können von jedem, der auf dem Server Schreib-Zugriff hat, bearbeitet werden. Das sollte aber nicht weiter schlimm sein. Einige Dateien können auch, wenn man den richtigen Pfad eingibt, über einen Webbrowser gelesen werden, aber das sollten nur Dateien sein, bei denen dies nicht sicherheitsrelevant ist.

Falls du doch einen sicherheitsrelevanten Bug finden solltest, kannst du den im Bug-Bereich im cms -db-Forum melden, dann behebe ich den Fehler.

Das ist doch mal eine Aussage. ☺ Schreibrechte haben also nur User, die sich auch über das Login-System anmelden können. Ich nehme mal an, dass auch beim Gästebuch die Rechte so geregelt werden, dass nicht einfach ein Gast, der weiß, wie die "Gästebuch-Datei" heißt, diese unter Umgehung der Sicherheitsmaßnahmen bearbeiten kann.

Somit ist das cms -db schonmal in der näheren Auswahl. Ich glaub, ich teste es wirklich mal. 😉

PaganTux schrieb:

Schreibrechte haben also nur User, die sich auch über das Login-System anmelden können.

Genau. Und Benutzer können nur vom Hauptbenutzer (intern "root") erstellt werden. Außerdem kann der Hauptbenutzer für jeden Benutzer Berechtigungen festlegen, sodass ein Benutzer z.B. nur Seiten bearbeiten kann.

PaganTux schrieb:

Ich nehme mal an, dass auch beim Gästebuch die Rechte so geregelt werden, dass nicht einfach ein Gast, der weiß, wie die "Gästebuch-Datei" heißt, diese unter Umgehung der Sicherheitsmaßnahmen bearbeiten kann.

Das ist selbsverständlich völlig korrekt. Wäre auch etwas komisch, wenn jeder einfach herkommen könnte und einen Gästebucheintrag löschen kann (oder bearbeiten, was im Moment über den Adminbereich noch nicht geht).

Du kannst eine aktuelle Version auch immer unter http://staging.cms-db.de/ testen. Allerdings ist diese Version neuer als die zum Download verfügbare.

So, hab dein Werk (Version 0.5.1 alpha)mal in XAMPP geladen und ausprobiert. Erster Eindruck: Klasse! Besonders schick finde ich den "Startbildschirm" im Admin-Bereich. Das MacOS-Outfit verleiht dem Verwaltungsbereich einen richtig gemütlichen Kick. Schade finde ich nur, dass sich dieses Design nicht fortsetzt: Die Seiten der jeweiligen Unterfunktionen sind immer noch schwarz auf weiß.

Was ich mir wünschen würde, wäre eine komfortablere Möglichkeit der Template-Anpassung. Als absoluter Design-Laie möchte ich nur ungern im CSS-Code herumpfuschen. Vielleicht enthält ja die nächste Version einen WYSIWYG-Editor, von dessen Benutzung du nicht ausdrücklich abraten musst?

Auf jeden Fall bin ich sehr gespannt auf die nächste Version, vor allem auf das neue Standard-Template. ☺

Hallo, sieht sehr schick aus ☺

Ich habe mit Konqueror allerdings ein Problem, wenn ich den Adminbereich betrete. Die Menüleiste im MacOS-Style unten funktioniert zwar, wird aber verschmiert, wenn ich die Seite weiter nach unten scrolle. Nachdem das geschehen ist, ist das Menü dann auch nicht mehr benutzbar.

Vermutlich ein KHTML-spezifisches Problem. Wär super, wenn du das fixen könntest.

Qt: 4.4.3

KDE: 4.1.3 (KDE 4.1.3)

Konqueror: 4.1.3 (KDE 4.1.3)

PaganTux schrieb:

So, hab dein Werk (Version 0.5.1 alpha)mal in XAMPP geladen und ausprobiert. Erster Eindruck: Klasse! Besonders schick finde ich den "Startbildschirm" im Admin-Bereich. Das MacOS-Outfit verleiht dem Verwaltungsbereich einen richtig gemütlichen Kick. Schade finde ich nur, dass sich dieses Design nicht fortsetzt: Die Seiten der jeweiligen Unterfunktionen sind immer noch schwarz auf weiß.

Ich kann die Adminbereichs-Einstellungen um eine Funktion zum Änderen der Farben erweitern. Aber standardmäßig wird es so bleiben, wie es ist.

PaganTux schrieb:

Was ich mir wünschen würde, wäre eine komfortablere Möglichkeit der Template-Anpassung. Als absoluter Design-Laie möchte ich nur ungern im CSS-Code herumpfuschen. Vielleicht enthält ja die nächste Version einen WYSIWYG-Editor, von dessen Benutzung du nicht ausdrücklich abraten musst?

Leider gibt es keinen WYSIWYG-Editor, mit dem sich ganze Templates erstellen lassen, die dann auch nach was aussehen. Aber es gibt einen Template-Generator, mit dem man einige vorgegebene Templates selbst anpassen kann. Im Moment ist er aber noch nicht fertig.

PaganTux schrieb:

Auf jeden Fall bin ich sehr gespannt auf die nächste Version, vor allem auf das neue Standard-Template. ☺

Du kannst die neue Version inklusive Template schon im Testbereich ausprobieren.

Klip schrieb:

Ich habe mit Konqueror allerdings ein Problem, wenn ich den Adminbereich betrete. Die Menüleiste im MacOS-Style unten funktioniert zwar, wird aber verschmiert, wenn ich die Seite weiter nach unten scrolle. Nachdem das geschehen ist, ist das Menü dann auch nicht mehr benutzbar.

Vermutlich ein KHTML-spezifisches Problem. Wär super, wenn du das fixen könntest.

Das ist ein wohl schon sehr alter Bug in KHTML, da er in Safari 3.0 (dort ist er in Version 3.1 behoben) auch auftrat. Im Moment hilft da leider nur die Umstellung auf das alternative Design.

Ab sofort ist die aktuell in Entwicklung befindliche Version im Testbereich zum Download verfügbar: http://staging.cms-db.de/download.php

jan93 schrieb:

Ab sofort ist die aktuell in Entwicklung befindliche Version im Testbereich zum Download verfügbar: http://staging.cms-db.de/download.php

Super, ich werde das ganze in ein paar Tagen mal installieren und richtig durchtesten, melde mich dann bald nochmal hier.

Einen guten Rutsch wünsch ich euch noch

Es sind jetzt fast alle Dateien auf die Lokalisierungs-Klasse umgerüstet. Es fehlen nur noch die Dateien ab /admin/space.php, davon sind aber auch schon ein paar fertig und nicht alle geben überhaupt Text aus. Bis in cms -db dann noch andere Sprachdateien dabei sein werden, wird es aber noch eine Weile dauern, weil ich vorher noch ein Webinterface für die Übersetzung schreiben muss. (Ich kann kein schon vorhandenes Script dafür verwenden, weil ich die Lokalisierungsklasse von cms -db selbst geschrieben habe.)

Allerdings muss ich nach der Sache mit der Lokalisierung auch noch eine Versions-Vergleich-Funktion schreiben, das Update-Script erweitern und einige Sachen ins Backup-Script einfügen, weil sich mit cms -db 0.6 einige Sachen (z.B. Vereinigung von Seiten und Sektionen zu Seiten, neue Konfigurationsdateien, anderes Statistikformat, ...) geändert haben.

Es wäre schön, auch jetzt schon die unfertige Version aus dem Testbereich herunterzuladen oder online zu testen, damit Bugs noch vor der Veröffentlichung von cms -db 0.6 beseitigt werden können.

Alle, die bereits die Version aus dem Testbereich heruntergeladen haben, sollten vor einem Update auf eine weitere Version unbedingt den Inhalt der Datei /data/version.txt auf v0.6 ändern, da es sonst zu Problemen kommen wird, sobald die Update-Funktion implementiert ist.

Es sind jetzt alle Dateien (außer die version.php, die soll aber auch nicht lokalisiert werden) auf die Lokalisierungs-Klasse umgerüstet. Die neue Version wird dann irgendwann in den nächsten Tagen fertig sein.

Hab grad mal die neue Version online getestet und gleich was gefunden, das nicht geht: Ich konnte keinen Text einrücken. Weiß nicht, ob das schon bekannt ist. Mein Browser ist FF 3.0.x unter Ubuntu (KDE4.2 b2)

Freue mich schon auf die neue Version, besonders auch auf neue Templates.

BTW: Hab vor einiger Zeit mal im Forum eines anderen CMS gelesen, dass man mit

http://xxxxxxxxxxx.xxx/index.php?page=../../../irgend/eine/Datei

den Inhalt der obigen Datei angezeigen kann? Geht das auch? Das wäre eine Schwachstelle.

CU

Solo0815 schrieb:

Hab grad mal die neue Version online getestet und gleich was gefunden, das nicht geht: Ich konnte keinen Text einrücken. Weiß nicht, ob das schon bekannt ist.

Das ist ein Problem des Editors (WYMeditor). Bei Listen funktioniert das Einrücken, ich weiß aber nicht ob das so gewollt ist oder ob es ein Bug ist.

Solo0815 schrieb:

Freue mich schon auf die neue Version, besonders auch auf neue Templates.

Du kannst die aktuelle unfertige Version jetzt schon aus dem Testbereich installieren. Das einzige was sich bis zur Endversion noch ändern wird, ist die Update-Prozedur, die bisher noch nicht implementiert ist.

Solo0815 schrieb:

BTW: Hab vor einiger Zeit mal im Forum eines anderen CMS gelesen, dass man mit

http://xxxxxxxxxxx.xxx/index.php?page=../../../irgend/eine/Datei

den Inhalt der obigen Datei angezeigen kann? Geht das auch? Das wäre eine Schwachstelle.

Eigentlich dachte ich, dass das Problem in Version 0.6 durch die neuen URLs behoben wurde, aber irgendwie hat sich da ein kleiner Fehler eingeschlichen 😬
Danke für den Hinweis.

Ein Update für Benutzer der älteren Version werde ich aber nicht anbieten, weil die neue Version bald fertig ist und es für mich ein zu großer Aufwand wäre, die alte Version nochmal zu aktualisieren. Eine Möglichkeit, den Bug zu umgehen ist die Verwendung von URL-Rewriting (denn ../ lässt sich nur im Query String verwenden, nicht aber im eigentlichen Pfad). Ich werde aber die neue Version so schnell wie möglich veröffentlichen.

Ich habe die Update-Funktion jetzt aktualisiert und ein Update *sollte* funkionieren. Könnte das bitte jemand mit der Version aus dem Testbereich ausprobieren? (vorher am besten die Installation klonen, damit es bei einem Fehler nicht zu Datenverlust kommt)

Ich werde die neue Version dann im Laufe des Tages im den Download-Bereich stellen.

edit: Umlaute im Namen einer Seite führen im Moment noch zu Problemen.
edit2: Das Umlaut-Problem sollte jetzt behoben sein.
edit3: Es kann doch noch Probleme geben, wenn der Name einer Seite schon UTF-8-kodiert ist.
edit4: Das Problem sollte jetzt endgültig gelöst sein.

Die neue Version steht jetzt zum Download bereit.

Eine Anleitung zur Installation einer Testumgebung auf einem Ubuntu-PC gibt es im Wiki-Artikel zu cms -db.