Massen CMS vs. Self made?
lima-city → Forum → Die eigene Homepage → Homepage Allgemein
arbeiten
aufwand
auge
autor
beispiel
erfahrung
frage
http
info
jemand
kennen
menge
nehmen
sagen
suche
system
update
url
verein
ziel
-
Seit einiger Zeit überlege ich mir schon den Webauftritt eines Vereines in dem ich aktiv bin endlich mal zu überarbeiten.
Ziel ist es dabei die Abläufe zum einstellen von Inhalten zu vereinfachen & verbessern,
manches neue überhaupt möglich zu machen und es nicht nur den "Technik Affinen" zu ermöglichen beizutragen.
Die Funktionen sind eigentlich bescheiden:
- Statische Artikel die sich "nie" ändern.
- Terminkalender - Datum, Uhr, Bildchen, Beschreibung
- Bildergalerie
- Protokoll-Archiv
- Personen Verwaltung (Anwesenheit)
- Abstimmungen
In Zukunft vl auch die Möglichkeit per Facebook die Nutzung (nur Besucher Features) erlauben,
bzw auch Infos "nach Facebook zu pushen".
Dabei bin ich mir nach wie vor nicht sicher ob ich ein fertiges CMS nehmen sollte,
oder doch SelfMade heran gehen soll.
Und zwar habe ich Sicherheitsbedenken bei dem fertig CMS.
Zwar ist mittlerweile die Nachrichten Welle über gehackte Blogs/CMS wieder zurückgegangen,
aber mir ist es eben doch in Erinnerung geblieben.
Dabei ist mir klar, dass wenn jemand gezielt uns Hacken will, es vermutlich kaum einen Unterschied macht.
Aber bei fertig CMS ist es meist so, wenn ein ZeroDay-Exploit die Runde macht,
keine Rücksicht auf den Hoster genommen wird, sondern gehackt wird wo es eben geht.
Da in dem Verein sich eben selten jemand findet, der sich um so "Technisches Zeug" kümmert,
also das CMS up to date hält (v.a. wenn es kein One-Click Mechanismuss ist) ist die Aktualität nicht immer gegeben.
Bei der bisherigen SelfMade Version bin ich mir hingegen relativ sicher was die Sicherheit angeht.
zB.: Content war mehr oder weniger statisch und wird über ein im PHP-Code hinterlegtes Array referenziert
Oder Bilder konnten nur per FTP hochgeladen werden ...
Dabei ist natürlich viel Komfort auf der strecke geblieben dafür eine höhere Sicherheit erhalten.
Allerdinsg ist auch die Frage, ob ich wenn ich noch selfMade mache,
so etwas überhaupt komplett self made durch ziehe und nicht zumindest auf ein Frame Work setzte ...
Naja, Ich wollte mal wissen ob ihr auch schon mal über so etwas nach gedacht habt?
Oder wie ihr darüber denkt.
PS: Passt der als Thread als Diskussion hier her?
Beitrag zuletzt geändert: 28.11.2012 4:12:43 von mprev -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Nun Sicherheitsbedenken solltest du bei einem selbstgemachtem CMS auch haben. Kein CMS ist perfekt. Aber gerade in der Opensource Sparte, wo an einem CMS mehrere Entwickler arbeiten und eine große Community aktiv ist, nehmen da schon die Sicherheitsrisiken ab.
Wenn du selbst gern was schreiben möchtest, gerne, aber bedenke, daß das nen Heiden Aufwand ist, ein wirklich halbwegs sicheres CMS zu kriegen und du mußt ja auch selbst Bugfixes schreiben.
Ich würde dir eher empfehlen, ein fertiges System wie Joomla oder so zu nehmen, das erspart dir den Aufwand ständig nach Sicherheitslücken ausschau zu halten. Du installierst einfach jedes Update was raus kommt und fertig.
Was die Massenware betrifft, so währe dein CMS auch nur ein CMS unter vielen und hat auch im Endeffekt schon die gleichen Funktionen wie dutzende andere CMS. Und wenn es für den erein sein soll, dann ist dir sicherlich auch durch den Kopf gegangen, noch ein oder zwei weitere Autoren aus dem Verein mit einzubeziehen. Die müsstest du in deinem eigenen CMS erstmal anlernen, während es bei Drupal und co tausende Internetseiten mit Infos Tutorials und Lernvideos gibbet wo sich weitere Autoren selbst auch das nötige Know How holen können. -
Aus meiner Erfahrung kann ich sagen: Wordpress ist schon sehr zuverlässig, falls es deinen Anforderungen genügt, und mit ein paar Plugins kriegt man das auch recht sicher. HTMLPurify, Secure Wordpress, Bulletproof Security, Limit Login Attempts, und damit ist recht vieles abgedeckt, damit werden auch ZeroDayExploits schwerer anzuwenden, oder können sogar abgewendet werden. Und wenn ich mir so die Exploitliste von exploit-db.com anschaue für WP, hat man da eigentlich nur Plugins zwischen, und diese kannst du selfmade machen, dann biste da zumindest sicher.
Ein eigenes System hat eine Menge aufwand, und ist ebenfalls Knackbar. Man braucht nur müde sein und einmal eine Validierung vergessen, eine Art und Weise von Angriffen nicht kennen oder mit einer Sicherheitstechnik nur halb vertraut sein, und schon ist es geschehen, und du weißt nichtmal warum. Und wenn dann ein BlackHat und kein WhiteHat am Werke war hast du verloren. Bei einer OpenSource CMS Lösung hast du viele Benutzer, viele Bug Reporter, und darunter auch viele WhiteHats, die solche Exploits suchen und melden.
In meinen Augen ist ein fertiges CMS eine bessere Wahl. Damals wollte ich für meinen Blog auch eine eigene Software schreiben, nun hab ich einen Wordpressblog und dazu ein eigenes Plugin geschrieben, was die Serverlast stark minimiert (von 25-30mb Speicheraufnahme + gute CPU Auslastung auf, wenns Plugin greift, 400kb Speicherauslastung und keine nennenswerte CPU Last. Schaffen auch andere Plugins, aber damals war ich noch naiv und wollte alles selbst machen, und nun läufts, obwohls nen großer dampfender Haufen ist...)
Meine Empfehlung ist also Wordpress, mit vllt selbst geschriebenen Plugins, falls du da besondere Anforderungen hast. Aber auch andere CMS, die vllt das Ziel besser Treffen, wie ilchClan oder ähnliches, wären zu empfehlen.
Liebe Grüße -
Zeit und Aufwand musst du in Relation zum Projekt setzen. Analog könnte man sich fragen, ob man nicht für Mutti ein eigenes kleines Linux-Derivat schreibt, damit sie sicher auf ihrem Heim-PC wirklich sicher ist. In meinen Augen völliger Unsinn. Du bist auf jeden Fall schneller und effektiver, wenn du ein vorhandenes CMS nimmst und es "dicht" machst. Mit Wordpress hast du im Handumdrehen sämtliche geforderten Features und eine fertige Seite. Dann schaust du, wie du die Installation am besten absicherst und lässt dich bei jeder neuen Version informieren.
Die Frage ist bei Lima eine sehr beliebte und eine Suche hätte dir viel Aufschluss geben können. Zum Beispiel: Letztes Thema zu diesem Thema.. -
kalinawalsjakoff schrieb:
Du installierst einfach jedes Update was raus kommt und fertig.
Na eben nicht ;)
kalinawalsjakoff schrieb:
Was die Massenware betrifft, so währe dein CMS auch nur ein CMS unter vielen ...
Nein, eben nicht ... Es geht mir hier ja um die Exploits die dann die runde gehen.
Nicht irgend welche Features ....
kalinawalsjakoff schrieb:
noch ein oder zwei weitere Autoren aus dem Verein mit einzubeziehen. Die müsstest du in deinem eigenen CMS erstmal anlernen, während es bei Drupal und co tausende Internetseiten mit Infos Tutorials und Lernvideos gibbet wo sich weitere Autoren selbst auch das nötige Know How holen können.
Naja, die kriegen ohnehin einfach eine Persönliche Einschulung, egal was kommt.
Und so kompliziert ist das nun auch nicht ... ich bau ja keinen Traktor-Reparatur-Bau-Kasten ;)
ggamee schrieb:
Aus meiner Erfahrung kann ich sagen: Wordpress ist schon sehr zuverlässig, falls es deinen Anforderungen genügt, und mit ein paar Plugins kriegt man das auch recht sicher. HTMLPurify, Secure Wordpress, Bulletproof Security, Limit Login Attempts, und damit ist recht vieles abgedeckt, damit werden auch ZeroDayExploits schwerer anzuwenden, oder können sogar abgewendet werden. Und wenn ich mir so die Exploitliste von exploit-db.com anschaue für WP, hat man da eigentlich nur Plugins zwischen, und diese kannst du selfmade machen, dann biste da zumindest sicher.
Ok, dass dass (ob das?) nur exploits sind weiß ich jetzt zB. nicht.
Aber wenn ich dann eh wieder self Made machen müsste ...
ggamee schrieb:
Ein eigenes System hat eine Menge aufwand, und ist ebenfalls Knackbar. Man braucht nur müde sein und einmal eine Validierung vergessen, eine Art und Weise von Angriffen nicht kennen oder mit einer Sicherheitstechnik nur halb vertraut sein, und schon ist es geschehen, und du weißt nichtmal warum. Und wenn dann ein BlackHat und kein WhiteHat am Werke war hast du verloren. Bei einer OpenSource CMS Lösung hast du viele Benutzer, viele Bug Reporter, und darunter auch viele WhiteHats, die solche Exploits suchen und melden.
Ob knackbar oder nicht. Darum geht es doch gar nicht.
Und wieviele an einem System Theoretisch daran arbeiten auch nicht.
flockhaus schrieb:
Zeit und Aufwand musst du in Relation zum Projekt setzen. Analog könnte man sich fragen, ob man nicht für Mutti ein eigenes kleines Linux-Derivat schreibt, damit sie sicher auf ihrem Heim-PC wirklich sicher ist. In meinen Augen völliger Unsinn. Du bist auf jeden Fall schneller und effektiver, wenn du ein vorhandenes CMS nimmst und es "dicht" machst. Mit Wordpress hast du im Handumdrehen sämtliche geforderten Features und eine fertige Seite. Dann schaust du, wie du die Installation am besten absicherst und lässt dich bei jeder neuen Version informieren.
Die Frage ist bei Lima eine sehr beliebte und eine Suche hätte dir viel Aufschluss geben können. Zum Beispiel: Letztes Thema zu diesem Thema..
Abdichten habe ich so auch nicht daran gedacht,
aber was ich "gehört" habe, ist es wenn man sleber zu viel zwickelt dann mit updates/pluginänderungen & Co,
auch nicht mehr immer reibungslos von sich geht.
flockhaus schrieb:
Die Frage ist bei Lima eine sehr beliebte und eine Suche hätte dir viel Aufschluss geben können. Zum Beispiel: Letztes Thema zu diesem Thema..
Nur, dass die nicht wirklich auf das slebe Ziel sich richten.
Es geht eben darum, das Ich das nicht warte, v.a. nicht rund um die Uhr.
In solchen Vereinen ist eben nicht jemand da der dafür abgestellt ist.
Natürlich ist alles knackbar, aber das geht doch an der Realität vorbei.
Wieviele sind den nun aktiv ein Ziel von böswilligen Menschen?
Viel mehr ist es doch eben bei zB WP eben auch so, dass wenn man da nicht auf Hop-drop parat steht wenn ein Update da ist,
das man dann unabhängig ob man ein breites Ziel ist oder nicht, ein Exploitable-Site-Search-Bot kommt und tada.
Aber so wie ich die Tendenz hier sehe wird das hier von vielen einfach anders gesehen, bzw kennen sie eine soclhe Anforderungs Situation nicht.
-
Es kommt halt immer darauf an, was man will.
Ich tendiere in der Regel auf SelfMade CMS. Erstens weiss man wo man Änderungen durchführen muss, wenn man eine Funktion, Layout oder ein wenig Text ändern will. Zweitens kann man es immer so programmieren, dass alle, die damit Arbeiten sollen, auch damit klar kommen, ohne sich lange einarbeiten zu müssen.
Aus Erfahrung weiss ich, dass wenig Technikaffine Menschen, mit Joomla und Co. gar nicht klar kommen. Mit Wordpress kommen die meisten dann schon etwas besser klar und mit PHP-Fusion von 10 Leuten einer nicht.
Ein eigenes System hat eine Menge aufwand
Ein fertiges System hat macht meist mehr Aufwand. Es gibt kein System, dass wirklich auf Anhieb alle gewünschten Features umsetzt. Es ist immer nur ein Kompromiss, aber keine wirkliche Lösung.
-
mprev schrieb:
Ok, dass dass (ob das?) nur exploits sind weiß ich jetzt zB. nicht.
Aber wenn ich dann eh wieder self Made machen müsste ...
in diesem Fall "dass das", ein "dass dass" gibt es im Deutschen nicht :)
Es gibt halt Plugins, die einiges Versauen können, wo einige Validierungen nicht passen. Andere sind sehr sicher, das kannst du nie abwägen. Und einen Wordpress Filter schreiben geht einfacher als ein eigenes System zu basteln. Es ist immernoch dir überlassen, aber was ich sagen möchte ist, dass mehr die Plugins befallen sind, als das Kernsystem, wenn man die Plugins im Auge hat, oder mal Reviewed, oder eben selbst schreibt, ist es schon gut. Ein eigenes System hat genau die gleichen Schwachstellen: Sobald dir jemand hilft, oder du etwas nicht genau kennst und nur halb umsetzt hast du eine Lücke, und so entstehen die auch in Wordpress. Die Funktionalität ist jedoch meist schon gegeben
mprev schrieb:
Ob knackbar oder nicht. Darum geht es doch gar nicht.
Und wieviele an einem System Theoretisch daran arbeiten auch nicht.
Knackbar ist nur ein Indikator, in meinen Augen sogar ein tragender. Wenn ein System vor XSS Lücken klafft, lohnt sich der Einsatz nicht. Man wird immer irgendwo jemanden haben, der es ausnutzt. Und wenn es dir um Exploits geht, dann geht es darum, ob es knackbar ist, also Exploits angewand werden können.
Ich würde Wordpress bevorzugen, aber mir fehlt auch die Zeit die Dinge selbst umzusetzen. Wenn du allerdings die Zeit und auch die Fähigkeiten hast, alles selbst umzusetzen ist dies natürlich auch ein guter Weg. Darum ging es mir. Und Wordpress ist ein sehr gutes System, das war meine Empfehlung.
Liebe Grüße -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage