[SECURITY] Plugins, Addons und Templates von 3-magi.net

[wolfgang_58]

Hallo miteinander,
bin ja nicht gerade der Freak, der ständig und immer überall nachschaut, ob es Neuigkeiten gibt, aber dieser Thread hat mich schon etwas als "einfacher" User von "cmsimple" gestutzt!

Heißt das alles, dass die Plugin usw., die ich in der Homepage installiert habe, nicht funktionieren bzw. können von "aussen" manipuliert werden??

Ich bin mir nun nicht mehr sicher mit cmsimple, da es auch soviele verschiedene "Programm-Namen" gibt!! Ich glaube, bevor ich hier mit den Plugins usw. einen "Fehler" mache und hinterher ärgert es mich unheimlich, werde ich doch auf Joomla umsteigen!
"Schade für cmsimple, aber wenn sich viele Köche streiten, dann ... "
Dachte, da ich nun etwas Einblick habe (mit php und eurer Hilfe), dass es "Es ist es .."

aber ...

es grüßt
Wolfgang

[cmb]

Hallo Wolfgang,

zunächst mal ist es wichtig zwischen CMSimple_XH und CMSimple zu unterscheiden. Soweit ich weiß, verwendest Du durchweg CMSimple_XH, und da gab es die Sicherheitslücke, um die es hier geht, gar nicht. Lediglich wenn 5 meiner neueren Plugins unter CMSimple verwendet wurden (obwohl ich als Voraussetzung für den Betrieb meiner Plugins CMSimple_XH angegeben habe), gab es die Sicherheitslücke. Allerdings ist diese mit den jüngsten Versionen behoben worden.

Also, keine Panik. Das Problem ist "längst" vom Tisch.

Da Du Joomla erwähnst: das hat eine etwas ähnliche Geschichte wie CMSimple. Ursprünglich gab es Mambo, aber das wurde geforkt, und dann zu Joomla umbenannt. Auch CMSimple_XH (1.5.3) wurde geforkt, und nach einer Weile zu CMSimple umbenannt (der Entwickler hatte sich in der Zwischenzeit die Rechte am Namen gesichert). Nun kennt heute kaum noch jemand Mambo (und schon lange ist die Entwicklung eingestellt), aber Joomla ist sehr verbreitet. Das liegt daran, dass Joomla ein richtiges Open-Source-Projekt mit einer aktiven Community ist, die die Entwicklung vorantreibt, genauso wie CMSimple_XH -- na ja, da ist die Community viel kleiner, dafür ist aber auch das System kompakter und einfacher. Bei CMSimple_XH habe ich nach wenigen Wochen mein erstes Plugin geschrieben (Pagemanager); bei Joomla habe ich nach zwei Tagen das Handtuch geworfen, weil ich immer noch nicht heraus gefunden hatte, wie ich das Template ändern kann.

[wolfgang_58]

Hallo Christoph,
danke für die Ausführung.

Ich bin eben "nur" ein einfacher "Webmaster" der einfache Homepage's erstellt und das mit CMS als "System", da ich von HTML "geheilt" bin
Bei mir läuft wohl auf allen "Url's"=Homepage's und Testseiten "cmsimple_xh_16" und fast immer mit den neuesten Plugin.
Es ist für mich schon eine "Bereicherung", dass man durch cmsimple hingewiesen wird, das es was Neues gibt {version.nfo}
Als normaler Anwender der Software muss man sich zwar am Anfang etwas an die Struktur gewöhnen, aber schnell kapiert!
Ich bin weder Informatiker noch sonst ein PC-Freak, nur einfach mal Seiten ins Internet stellen und das so "schön" und "effektiv" wie möglich!

Joomla 2.5:
naja, ist wirklich sehr umfangreich und erst muss man sich an diese Struktur gewöhnen, ganz was anderes was ich z.Zt. von cmsimple_xh gewohnt bin !!??!!

es grüßt
Wolfgang

[cmb]

ch bin eben "nur" ein einfacher "Webmaster" der einfache Homepage's erstellt und das mit CMS als "System", da ich von HTML "geheilt" bin

Ich denke, da hast Du mit CMSimple_XH genau das richtige System gefunden. Systeme wie Joomla haben durchaus Ihre Berechtigung, aber wenn nur ein einzelner Bearbeiter im Spiel ist, und die Website relativ klein ist, dann sind die meines Erachtens Overkill -- das buchstäbliche mit "Kanonen auf Spatzen schießen".

[Der Zwerch]

Hallo,
Auch ich habe einmal versucht, Joomla zu verstehen .... habe es aber sehr schnell aufgegeben. Das war mir zu "aufgeplustert", zu schwer als Newbie zu verstehen.
Daher ist CMSimple_XH für mich die Lösung. Vor allen Dingen ist es der Support, der hier gegeben wird, was dem einfach gestrickten User weiterbringt.

Allerdings ist es ein wenig unübersichtlich, wenn man sich den Thread "aktuelle Downloads" anschaut. Dort stehen 4 verschiedene Versionen.
Ich handhabe es dann so, dass ich mich nur an das "_XH" halte, auch bei Plugins (quasi als roter Faden, wobei die anderen sicherlich auch sicher und gut sind!). Die Versionsinfos sind da mehr als hilfreich, um auf dem Laufenden zu bleiben.

Als Vorschlag:
Vielleicht kann man ja direkt unter aktuelle Downloads einen Post "Sicherheitshinweise" packen. Von dort dann auf entsprechende Posts im Forum verlinken.
Da ich eigentlich nur in diesem Bereich unterwegs bin, wäre das sehr hilfreich. Alt. kann man versuchen, über die RSS-Feeds am Ball zu bleiben.
Die liest man aber nicht überall.

[Gert]

Allerdings ist es ein wenig unübersichtlich, wenn man sich den Thread "aktuelle Downloads" anschaut.

Ich bitte um Entfernung des Original CMSimple (3.4 UND aktuelle Version) aus den beiden Threads:

http://cmsimpleforum.com/viewtopic.php?f=2&t=5293

http://cmsimpleforum.com/viewtopic.php?f=16&t=5294

Gleichzeitig fordere ich die Macher von CMSimple_XH erneut auf, das CMS umzubenennen. Das Beispiel Mambo => Joomla wurde ja bereits erwähnt.

Ansonsten muss ich davon ausgehen, dass die Verwirrung gewollt ist,

Gert

[cmb]

Vielleicht kann man ja direkt unter aktuelle Downloads einen Post "Sicherheitshinweise" packen.

In den Bemerkungen zum Security-Forum steht:

please check this forum frequently!

Und auch wenn das ein englisches Forum ist, halte ich den Vorschlag für sinnvoll (zumal ja Threads bei Bedarf auch übersetzt werden). Um nun nicht immer nachschauen zu müssen, ob etwas neues gepostet wurde, kann man das Security-Forum abonnieren (unter http://cmsimpleforum.com/viewforum.php?f=36 befindet sich ganz unten ein kleiner Schalter), so dass man dann immer eine E-Mail bekommt. Viel ist normalerweise im Security-Forum nicht los, so dass man dann auch nicht allzu viele E-Mails befürchten muss.

Ansonsten muss ich davon ausgehen, dass die Verwirrung gewollt ist,

Als Du selbst noch bei CMSimple_XH mitgearbeitet hast, gab es doch auch keine Verwirrung. Jedenfalls hast Du, soweit ich weiß, nie vorgeschlagen CMSimple_XH umzubenennen.

Die Verwirrung gibt es erst, seit Du einen Fork von CMSimple_XH als CMSimple 4.x anbietest. Vielleicht solltest also Du den Namen ändern.

Gleichzeitig fordere ich die Macher von CMSimple_XH erneut auf, das CMS umzubenennen. Das Beispiel Mambo => Joomla wurde ja bereits erwähnt.

Richtig, darauf reitest Du schon lange rum. Allerdings verdrehst Du da die Sachlage[1]; schließlich ist Joomla ein Fork von Mambo, genauso wie CMSimple 4 ein Fork von CMSimple_XH ist. Dass letztere Tatsache weder auf Wikipedia (siehe dazu auch den albernen Diskussionspunkt Hamster quälen zeichnet sich ab), noch auf http://cmsimple.org/ noch im Quellcode von CMSimple 4.x richtig dargestellt wird, ist Dein Werk. Da solltest Du vielleicht mal nachbessern.

Ich bitte um Entfernung des Original CMSimple (3.4 UND aktuelle Version) aus den beiden Threads:

Wie sich die Zeiten ändern können... Wenn ich mich nicht irre, hast ursprünglich Du diese beiden Threads erstellt. Das war zwar noch vor CMSimple 4, aber die anderen drei Varianten hast Du dort aufgelistet.

[1] Eine richtigere Darstellung habe ich bereits weiter oben in diesem Thread gepostet.

[Der Zwerch]

Hallo,

...kann man das Security-Forum abonnieren (... ganz unten ein kleiner Schalter)

Gleich mal gemacht. Da unten habe ich noch nie geschaut

Um die "Gabel" einmal ohne Kenntnisse der Richtigkeit (als Außenstehender) aufgreifen zu können:
Ist es wie folgt korrekt?

Code: Select all

CMSimple (Urversion bis 3.4) => CMSimple_XH (bis 1.5.3) => CMSimple_XH (1.6.2)
                     |                        |
                     |                        |=> CMSimple 4.x (vorherige Versionen kenne ich nicht)
                     |
                     |=> CMSimple Classic (Version bis 3.54)

[cmb]

Ist es wie folgt korrekt?

Fast. CMSimple_XH wurde ursprünglich von CMSimple 3.2 geforkt, aber die Änderungen von CMSimple 3.3 wurden noch übernommen; die Änderungen von CMSimple 3.4 allerdings nicht mehr (wobei unter CMSimple_XH 1.6 die wohl einzig relevante Änderung, der CSRF-Schutz, implementiert wurde).

CMSimple 4.x (vorherige Versionen kenne ich nicht)

In der Übergangszeit zwischen CMSimple_XH 1.5.3 und CMSimple 4 (etwa ein halbes Jahr) hieß das System CMSimpleCoAuthors und später CMSimpleSubsites.

[Gert]

Die Verwirrung gibt es erst, seit Du einen Fork von CMSimple_XH als CMSimple 4.x anbietest. Vielleicht solltest also Du den Namen ändern.

Dummfrech wie immer

Noch einmal für alle:

Seit Anfang November 2012 bin ich Inhaber aller Rechte an CMSimple, von der ersten bis zur aktuellen Version: Code, Name, Domains.

Der Code steht unter GPL3 zur Nutzung zur Verfügung, alle anderen Rechte sind davon unberührt.

Leider ist es finanziell bei einem Open Source Projekt nicht machbar (bzw. nicht sinnvoll), aufwändige Prozesse zu führen, und es würde wohl auch dem Ansehen von CMSimple schaden. Also beschränke ich mich auf Hinweise und Bitten.

CMSimple ab Version 4.0 nutzt einigen Code aus CMSimple_XH 1.5.3, auf der Grundlage der GPL3, das ist in den Core Dateien erwähnt. Das Original deshalb als Fork von einem Fork zu bezeichnen ... denkt selber nach. Zumal ich Gründer und Namensgeber von CMSimple_XH bin und das Projekt bis Anfang 2012 koordiniert und organisiert habe.

Übrigens: Als CMSimple_XH entstanden ist, stand CMSimple noch nicht unter GPL zur Verfügung. Die Nutzung des Codes für ein neues CMS war also nicht möglich. Also haben wir uns damals (2009) umgesehen, was so geht, und haben uns an CMSimple SE orientiert. Wir waren der Ansicht: Wenn Peter Harteg CMSimple SE toleriert, wird er wohl auch ein CMSimple_XH tolerieren.

Hätte CMSimple Mitte 2009 schon unter GPL3 gestanden, hätte das Projekt wohl von Anfang an einen eigenen Namen bekommen.

Übrigens: "_XH" ist lächerlich in Zeiten von html5,

Gert