Ketzerische Frage...

[shadowcat]

Ich beobachte ja nach wie vor die Geschehnisse rund um WB und was im dortigen Forum los ist, und auch wenn es mich persönlich nicht mehr so wirklich betrifft, bin ich doch immer wieder schockiert von dem Verhalten der Offiziellen. Im Augenblick geht es z.B. um folgende Dinge:

• Die Homepage websitebaker.org ist seit Ende Mai nicht mehr verfügbar, da es wohl einen Hackerangriff gab. So verständlich es ist, daß man erst einmal Vorsicht walten läßt - es wäre kein Problem, die Homepage temporär auf einem anderen Server online zu stellen, der von dem Angriff nicht betroffen war, und die Domain so lange umzuleiten, bis der lokale Server wieder sicher ist. Das kostet nur ein paar Cent im Monat und ein paar Stunden Arbeit. Die Community wäre sicherlich bereit, die Seite anschließend auf tote Links und ähnliches zu prüfen. Vermutlich würde sich sogar jemand finden, der das komplett übernimmt, wenn man ihm eine Datensicherung gibt.
• In SP3 sind Sicherheitslücken bekannt, die laut "DarkViper" mit SP4 behoben sind, was von anderer Stelle jedoch widerlegt wurde. Ohne das selbst nachgeprüft zu haben, ist das Verhalten der Entwickler an der Stelle aus meiner Sicht bedenklich.
• Auch in Version 2.8.4 (für die es noch immer keinen Veröffentlichungstermin gibt) wird nach meinen Informationen weiterhin der veraltete FCKEditor als Standard mitgeliefert, obwohl diverse Sicherheitslücken bekannt sind, die die WB-Entwickler mit dem Argument unangetastet lassen, daß der FCK nicht zum Core gehört. Dabei gibt es längst ein aktiv gepflegtes Modul für den CKE, das man einfach nur nehmen und ins SVN einpflegen müßte.

Ohne jetzt groß darüber nachgedacht zu haben, was das an Aufwand bedeuten würde, und ohne Rücksicht auf meinen persönlichen Ruf im WB-Umfeld (als Beteiligter an 2 Forks) - das Ganze regt mich so auf, daß ich mich frage, ob ich nicht einen Fork auf GitHub machen soll, um dort die notwendigen Änderungen einzuspielen und eine bereinigte Version anzubieten. Analog zu dem, was der Forenuser "NorHei" (so hieß er glaub ich) gemacht hatte und was nach seinem Abschied in SP2 mündete.

Ich kann mir vorstellen, daß mir das wieder eine Menge Anfeindungen einbringen würde, aber daran bin ich gewöhnt. Wer meine persönlichen Motive in Frage stellen will kann das gerne tun - mir geht es tatsächlich nur darum, den WB-Usern, die sich im Stich gelassen fühlen, eine Möglichkeit zu geben, ein "sauberes" WB herunterzuladen und zu benutzen.

Das ist sicherlich nicht zu Ende durchdacht, weil es ja durchaus bei WB noch SPs geben kann, die dann zu übertragen wären, und es ist schwer zu trennen, welches WB man nun installiert hat... Daher habe ich durchaus Zweifel an der Idee. Allerdings nur aus technischer Sicht.

Ich habe absolut kein Interesse, mir die WB-Entwicklung anzueignen, ich bin mit BC vollauf zufrieden und eigentlich auch ausgelastet. Aber wenn ich sehe, wie die Community dort immer wieder abgekanzelt und als eine Gruppe von unwissenden Deppen hingestellt wird, ohne auch nur einen Funken Interesse für die ernstzunehmenden Bedenken und Vorschläge zu zeigen, geht mir die Hutschnur hoch.

Sagt ruhig offen Eure Meinung, mir ist bewußt, daß das eine heikle Sache ist, und ich habe selbst Zweifel an der Idee. Bleibt nur sachlich, okay? Danke.

[Morpheus]

Ich denke irgendwann muss man mal ein Schlussstrich ziehen.

Alles andere gibt nur graue Haare.

BC ist so toll und irgendwann merkt das auch der Letzte.

Schade um so ein tolles CMS wie WB aber wie gesagt --> das mit dem Schlussstrich

[florian]

Als "Herr" über 103 noch mehr oder weniger aktive WB-Instanzen wäre ich Dir unendlichst dankbar, wenn Du Dich der Sache annehmen würdest. Den aberwitzigen FCKeditor habe ich natürlich schon überall runtergeschmissen, und wo es ging auch form und news, aber das sind eher weniger Seiten.

Da von DV keine verbindliche Antwort zu kriegen ist, was die Vulnerabilities betrifft, gehe ich mal davon aus, dass sie entweder keine Ahnung hat und/oder diese tatsächlich existieren, aber sie dies nicht an die große Glocke hängen will. Jedenfalls sitze ich gerade extrem zwischen den Stühlen.
Aber mit 2.8.4 (Erscheinungsdatum vermutlich 2027) wird ja alles besser, harrharr... und auf weitere SP's braucht man in absehbarer Zeit nach meinem Dafürhalten nicht zu hoffen (bzw. diese sind ja auch eher zu befürchten. Ein SP, das standardmäßig sämtliche Droplets schreddert. Gran-di-os.).

Ich kann halt weder diesen ganzen Seitenwust auf BC (oder L+) umstellen; und leider ist es auch so, dass gerade die attraktivsten bzw. überhaupt noch gepflegten WB-Module (OneForAll, Bakery, ResponsiveFG) auch nur mit WB funktionieren (correct me if I'm wrong).

Wieviel Zeit würdest Du für die Fixes veranschlagen? Es soll Dein Schaden nicht sein.

Nach dem kümmerlichen "Relaunch" der Seite websitebaker.org wäre es durchaus denkbar, eine bessere Homepage für ein besseres WB aufzusetzen. Ich denke, dafür würden sich noch weitere Mitstreiter finden lassen. Ich wäre auf jeden Fall dabei.

Yetiie wurde übrigens gerade für 14 Tage im WB-Forum gesperrt. Nordkorea. Es ist zum Heulen.

VG
-Florian.

[creativecat]

Ich halte mich ja meist lieber raus, wenn es um WB geht.
Ich persönlich tendiere allerdings dazu, dir zu raten die Finger von WB zu lassen. Das gibt nur Ärger, weil dir das als "Bloßstellen" ausgelegt wird.
Meine WB-Installationen sind beinahe alle inzwischen mit anderen CMS umgesetzt... Daher bin ich vielleicht auch der Falsche, aber ich würde definitiv die Finger davon lassen.

[shadowcat]

Ich habe die Probleme noch nicht analysieren können. Man sollte bei der Gelegenheit vielleicht auch noch andere Module tauschen, z.B. News gegen Topics. Da die wb.org Seite offline war, genau wie das Wiki, konnte ich nicht mal das CKE-Modul runterladen, da es aus dem Forenthread entfernt wurde. Ich wollte auch erst mal hören, ob es überhaupt Interessenten gibt. Meist schreien alle "hier", und wenn es dann ans "tun" geht kommt nix mehr. Wie bei AMASP2. Bei Dir Florian sehe ich aber da keine Gefahr. Wir können ja mal per Mail weiter überlegen.

[shadowcat]

Hier ein Fix für die XSS-Lücken. Traurig ist, daß der zumindest zum Teil schon drin war, der Code war nur auskommentiert...

Datei ./modules/admin.php austauschen.

Edit: Anhang entfernt, siehe unten.

[shadowcat]

Ich kann halt weder diesen ganzen Seitenwust auf BC (oder L+) umstellen; und leider ist es auch so, dass gerade die attraktivsten bzw. überhaupt noch gepflegten WB-Module (OneForAll, Bakery, ResponsiveFG) auch nur mit WB funktionieren (correct me if I'm wrong).

Also zumindest Bakery funktioniert, jedenfalls so lange man kein mysql strict hat. -> http://forum.blackcat-cms.org/viewtopic.php?f=20&t=411

Das Problem "Beim Löschen einer Bakery-Seite bekommt man eine leere Dialogbox." war ein Fehler in BC, der inzwischen behoben ist. Und für die englische Sprache im BE gibt's auch einen Workaround. Ansonsten sind mir da keine größeren Probleme bekannt.

Das OneForAll wimmelt vor Bugs, die werde ich garantiert nicht alle beheben.

Die ResponsiveFG hab ich noch nicht probiert.

[shadowcat]

Des is so geil...

2015-07-06 12_20_33-Website Baker Community Edition Portable»Verwaltung-Erweiterungen.png (20.26 KiB) 9421 mal betrachtet

[shadowcat]

Leider habe ich mit meinem XSS-Fix für WB auch einen Bug eingebaut, der z.B. zur Folge hat, daß man im PageTree nicht mehr per Drag&Drop sortieren kann. (Also kann man schon, wird aber nicht gespeichert.)

http://forum.websitebaker.org/index.php ... #msg199243

Wer den Fix braucht und ihn nicht im WB-Forum runterladen kann oder will, bitte melden.