Skąd te zmiany teraz?
W kolejnych wydaniach PHP w serii 5.3.x nie wprowadzano znaczących zmian. Zmieniło się to wraz z wydaniem PHP 5.3.10, gdzie zwiększono poziom szyfrowania, co pozwala na lepsze zabezpieczenie haseł. Biorąc pod uwagę jak długo w użyciu pozostają strony oparte na Joomla! 1.5 oraz 2.5, nie trudno przewidzieć, że strony zbudowane na Joomla! 3.x, jeszcze długo pozostaną w sieci. Przy tak dużych ramach czasowych, trzeba dobrze przemyśleć kwestie bezpieczeństwa aplikacji.
Zespół Produkcyjny (PLT) miał do wyboru dalsze prace nad już skomplikowanymi metodami bezpieczeństwa lub skorzystanie z lepszych metod kryptograficznych udostępnionych w PHP 5.3.10 – wybrał to drugie.
Dlaczego nowsza wersja PHP nie obowiązuje od początku w Joomla! 3.x?
Jak pisze Michael Babker, kwestia minimalnych wymagań PHP dla wersji LTS Joomla! 3.x była ustalana latem 2012 roku. I chociaż w Joomla! 1.5 oraz 2.5, założenia te były robione równie wcześnie i się sprawdzały, to w tym wypadku stało się inaczej.
Kulminacja zdarzeń, która doprowadziła do decyzji o zmianie wersji PHP, nastąpiła w listopadzie zeszłego roku. Był to czas testów nowych funkcji bezpieczeństwa w Joomla! 3.2. Jak pisze Michael, zauważył, że duża liczba dużych hostingów posiada przestarzałe oprogramowanie na swoich serwerach. Jednocześnie żaden z testerów w społeczności, nie posiadał hostingu z oprogramowaniem na tyle nieaktualnym, by wykryć ewentualne problemy z Joomla! w starszych wersjach PHP. Stwierdzono więc, że lepiej przedłożyć kwestie bezpieczeństwa nad liczbę hostingów, na których można Joomla! zainstalować. Zresztą ewentualne problemy z minimalnymi wymaganiami instalacyjnymi, będą występować na serwerach, na których nie uaktualniano PHP od lutego 2012 roku (czyli wydania PHP 5.3.10). Fakt ten powinien dać do myślenia osobom korzystającym z usług tego typu hostingów.
Co z rozszerzeniami?
Jeśli rozszerzenie zostało napisane zgodnie z wytycznymi dla deweloperów, nic złego nie ma prawa się stać, ponieważ są one wstecznie kompatybilne. W przypadku niektórych rozszerzeń, które częściowo zastępują domyślne zakładanie kont, logowanie czy uwierzytelnianie, powinny zostać przetestowane przez twórców, w celu sprawdzenia poprawności działania.
Co jeśli nie czytam tego tekstu?
Niektórych pewnie zastanawia co z osobami, których nie interesują „niusy” ze świata społeczności. Z dnia na dzień, po aktualizacji Joomla! stracą możliwość z jej korzystania? Nie! Wraz z instalacją Joomla! 3.2.2, zostanie przeprowadzony test serwera i jeśli nie będzie on spełniał wymagań Joomla! 3.3, użytkownik zobaczy stosowny komunikat. Dodatkowo już po wydaniu Joomla! 3.3, przez 6 miesięcy łatki bezpieczeństwa będą wypuszczane również dla Joomla! 3.2. Lekko licząc każdy ma czas do października tego roku, by znaleźć sobie nowy serwer lub dogadać się z administracją obecnego.
Artykuł jest tłumaczeniem publikacji Michaela Babkera Raising the bar on security.