StartPowiadomieniaAktualizacja 3.2.1 - ulepszenia w zakresie bezpieczeństwa

Aktualizacja 3.2.1 - ulepszenia w zakresie bezpieczeństwa

Michael Babker: Update on 321 and security enhancements Michael Babker: Update on 321 and security enhancements
Oceń ten artykuł
(4 głosów)

Wraz ze zbliżającymi się Świętami elfy z krainy Joomla! wyrabiają nadgodziny. Jeśli tego nie zauważyliście, to wiedzcie, że Joomla 3.2 jest pełny nowości.

Michael Babker opublikował na blogu społeczności artykuł Update on 321 and security enhancements. Przedstawiamy tłumaczenie artykułu, które przygotował dla nas Skipper. Dziękujemy

Niestety, jedna z tych nowości ma usterkę, której nie wykryto podczas testów poprzedzających publikację. W końcowym okresie przygotowań przed udostępnieniem nowej wersji - wrzesień, październik - przeprowadziliśmy serię testów wersji alfa, beta i wersji RC (ang. Release Candidate), w trakcie których wielu członków wspólnoty Joomla! szukało „dziury w całym”, by wykryć jak najwięcej błędów. Jednak umknął nam jeden - i to, niestety, poważny. Powoduje on blokowanie dostępu do aplikacji użytkownikom tworzącym nowe witryny, a nie mamy łatwego sposobu odblokowania tego dostępu.

To, co blokuje naszych programistów, to wybór sposobu rozwiązania problemu. Problem ten bowiem nie jest zwykłą dziurą do załatania. Nie ma tu idealnych rozwiązań. Możliwe rozwiązania obejmują, alternatywnie:

a) złamanie zasady zgodności wstecznej, co oznacza co oznacza przeskok do Joomla! wersji 4.0, gdy istnieją inne nowe funkcje, które również złamałyby zgodność wsteczną i które programiści woleliby uwzględnić w nowej wersji głównej (tj. 4.0 - tłum.) ze względu na znaczny wysiłek wkładany w jej przygotowanie (Dodatkowo trzeba by sobie poradzić z zamieszaniem ze strony użytkowników oczekujących wersji LTS o spodziewanej numeracji wersji J!3.5 lub J!4.5)

b) wymuszenie aktualizacji wersji PHP na serwerze użytkownika, co uniemożliwiłoby w przypadku niektórych witryn ich aktualizację za pomocą jednego kliknięcia oraz zablokowałoby możliwość publikowania niepowiązanych z wersją PHP łat dotyczących bezpieczeństwa; albo

c) powrót do niższego poziomu bezpieczeństwa w odniesieniu do szyfrowania haseł, co zapewnia nam taki sam lub tylko nieco wyższy poziom bezpieczeństwa niż ten, który mieliśmy w J!1.5 i J!2.5 - a stać nas na coś więcej. Naprawdę.

Żadna z tych opcji nie jest idealna a Zespół produkcyjny ciągle zmaga się z decyzją, który kierunek wybrać. To co - jak sądziliśmy na początku - da się załatwić łatami, okazało się o wiele poważniejszym problemem wymagającym podjęcia szeregu decyzji oraz działań szkoleniowych na rzecz Społeczności - czego nikt się nie spodziewał.

Dobra wiadomość jest taka, że został stworzony plan działania i jest rzetelnie realizowany. Aktualizacja do wersji 3.2.1 zostanie częściowo pozbawiona wybranych cech wersji 3.2, mądrze przetestowana, i wyposażona w dotychczasowy system szyfrowania hasła. Ta wersja rozwiąże większość problemów z dostępem, jednakże nie możemy automatycznie przywrócić dostępu do Twojej witryny, jeśli został on już zablokowany w wyniku zmiany wersji PHP.

Poniżej znajdziesz uwagi co do sposobów radzenia sobie w okresie przejściowym z omawianymi problemami - do chwili udostępnienia wersji 3.2.1.

Zarządzasz witryną opartą na Joomla! 3.2

Jeśli już zainstalowałeś lub zaktualizowałeś witrynę do wersji 3.2 i wszystko działa - to nie ma powodu do obaw. Nie ma żadnych nowych słabych punktów w związku z wersją 3.2. Nie włączaj jednak opcji silnego hasła, jeśli do tej pory nie sprawdziłeś jej działania w środowisku testowym i nie sprawdziłeś wersji PHP na swoim serwerze. Witryny korzystające z PHP w wersji 5.3.7 lub wyższej w procesie projektowania/testowania/konsolidacji i wreszcie eksploatacji korzystać będą z podwyższonego poziomu bezpieczeństwa, który wraz z udostępnieniem wersji 3.2.1 jeszcze wzrośnie.

Projektujesz witrynę w oparciu o Joomla! 3.2

I właśnie przygotowujesz się do uruchomienia wersji produkcyjnej. To jest ten moment, w którym - w wyniku umieszczania witryny na serwerze bazującym na oprogramowaniu sprzed czterech lat - projektanci mieli problemy z dostępem do swoich kont. W swoich środowiskach programistycznych włączali opcję silnego hasła, by uzyskać silne szyfrowanie własnego hasła, jak i haseł użytkowników. Natomiast w chwili umieszczenia witryny w środowisku hosta z przestarzałą wersją PHP (5.3.6 lub starszą) - oprogramowanie zapewniające silniejsze szyfrowanie haseł było niedostępne i nie umożliwiało programistom dostępu do witryny. (Reset hasła w wersji 3.2 nie rozwiązuje problemu z powodu błędu - już naprawionego w wersji 3.2.1 - który wcześniej blokował dostęp do samego schematu szyfrowania).

Jeśli jesteś na tym etapie i możesz poczekać na wersję 3.2.1, to znakomicie - problem jest rozwiązany. Alternatywnie, możesz poprosić firmę hostingową o aktualizację PHP na serwerze do wersji 5.3.7 lub nowszej. Jeśli to zrobią - nie ma bólu. W przeciwnym razie - będąc we własnym środowisku programistycznym - wyłącz opcję silnego hasła i utwórz nowe konto administratora z uprawnieniami super użytkownika, korzystając z poprzedniego poziomu szyfrowania hasła. Następnie możesz już umieścić witrynę na serwerze ze starszym oprogramowaniem. Hasła użytkowników utworzone lub zaktualizowane przy włączonej opcji silnego szyfrowania nie zadziałają po umieszczeniu witryny na serwerze z przestarzałym oprogramowaniem. Muszą zostać zresetowane przed umieszczeniem witryny na serwerze lub wprowadzone ponownie z wykorzystaniem menedżera użytkowników w panelu administracyjnym.

Dla witryn z włączoną opcją silnego hasła instrukcje jej wyłączenia znajdują się pod adresem Jak wyłączyć silne hasła (ang.)

Zarządzasz witryną opartą na Joomla 3.0/3.1

Możesz ją uaktualnić jednym kliknięciem do wersji Joomla 3.2 i cieszyć się wszystkimi nowymi funkcjami. Tylko nie włączaj opcji silnego hasła do momentu wydania wersji 3.2.1 lub sprawdź wersję PHP na serwerze i postępuj zgodnie z powyższymi wytycznymi.

Zarządzasz witryną opartą na Joomla 2.5

Świetnie! Tej wersji problem nie dotyczy. Do Joomla!2.5 (wydania wspieranego długoterminowo) nowe funkcje takie jak problematyczny kod silnego hasła - w związku z wydaniem Joomla! 3.0 - nie zostały dodane.

Zarządzasz witryną opartą na Joomla! 1.5

Upewnij się, że Twoi użytkownicy używają Internet Explorera 6! (żart). Śledź harmonogram udostępniania nowych wersji Joomla! Wsparcie Joomla 1.5 zostało zakończone w grudniu 2012 roku i dlatego zachęcamy użytkowników do aktualizacji swoich witryn do Joomla 2.5 lub 3.2. Chociaż oprogramowanie w wersji 1.5 nie jest już wspierane, nie oznacza to, że Twoje witryny przestaną działać.

Kiedy zostanie wydany Joomla! 3.2.1?

Twoja kryształowa kula jest równie dobra jak moja. Ze względu na trudność wyboru ścieżki rozwiązania problemu rzecz nie w prognozowaniu koniecznej liczby potrzebnych do wdrożenia takiego rozwiązania godzin pracy wolontariuszy. Lecz nie jest aż tak źle, jak w przypadku Kongresu USA mającego cokolwiek uzgodnić. Mamy wspaniałą grupę wolontariuszy pilnie rozważających wszelkie konsekwencje alternatywnych decyzji i proponujących doskonałe rozwiązania obejmujące scenariusze odpowiadające potrzebom wszystkich użytkowników. Publikacja powinna mieć miejsce „niedługo”, co może oznaczać przyszły tydzień albo termin zaraz po Nowym Roku.

Jak możemy uniknąć powtórzenia się takiej sytuacji?

Po prostu potrzebujemy większej liczby osób pomagających w testowaniu i zgłaszających błędy. Gdy informujemy o rozpoczęciu testów wersji beta lub RC (ang. Release Candidate), naprawdę potrzebujemy nowych osób zaangażowanych w testowanie oprogramowania w różnorodnych środowiskach hostingowych. Ci, którzy programowali nowe funkcje, już przetestowali oprogramowanie i usunęli błędy - robiąc to w swoim środowisku programistycznym. Więc potrzebujemy świeżego spojrzenia i innych środowisk hostingowych do testowania.

Więc chcesz testować! Jeśli mógłbyś w tym pomóc, to zapraszamy do wpisania się na listę mailingową grupy dyskusyjnej Google, którą wykorzystujemy do zawiadamiania o rozpoczęciu testów wersji przed ich publikacją. (Jest to grupa małej aktywności, więc Twoja skrzynka odbiorcza nie będzie zalewana pocztą). https://groups.google.com/group/jtesters.

Ostatnio zmieniany Pn. 16 Gru 2013
comments powered by Disqus Powrót na górę

Aktualności - spis treści

Kalendarz publikacji

2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
Oglądasz teraz:   StartPowiadomieniaAktualizacja 3.2.1 - ulepszenia w zakresie bezpieczeństwa

Twoje konto