Re: Segurança no Joomla! vs XOOPS

[MaDDoX]

Olá, sou webmaster da empresa de informática do Governo de Sergipe, e estamos decidindo por qual CMS de código livre optaremos a partir do próximo ano para nos livrarmos do Lotus Notes. Desenvolvi recentemente um site em joomla, e fiquei positivamente impressionado por sua facilidade de uso e flexibilidade. Estamos tendo essa semana uma apresentação do CMS XOOPS, que possui uma comunidade bastante ativa no Paraná, estado em que seu governo o adota para todos os sites oficiais. O ministrador do curso descarta o Joomla por "conter sérias falhas de segurança" que o tornariam completamente inadequado para uso corporativo, mas temos que levar em consideração que ele está 'vendendo o seu peixe', já que o mesmo ministra cursos e dá suporte de XOOPS pelo Brasil.

Pelo que pude ver até agora, a tal "vantagem de segurança" que ele apresentou foram muito mais ligadas a limitações do XOOPS e a configurações de permissão de acesso de pastas que a qualquer outra coisa. Ele precisa instalar via FTP os módulos, e utiliza SCH ao invés do protocolo de transferência padrão. Nada que não possa ser feito também utilizando-se o Joomla. Como o XOOPS é obviamente obsoleto em relação ao Joomla em termos de interface, facilidade de uso e acessibilidade, gostaria de obter informações concretas sobre o quesito segurança em relação ao mesmo.

Agradeço antecipadamente,

-Breno Azevedo da Silva
Webmaster AGETIS Sergipe

[Ronildo Costa]

Eu penso da seguinte forma amigo.
Se ele acha que o joomla é tão fraco assim?? Pq não ele não hackeia o site do joomla.org ??
É muito fácil falar, acho que ele deveria ser no mínimo ético e não fazer tal comentário.

Sobre segurança penso o seguinte, não existe nenhum sistema 100% seguro, pois se o cara quiser invadir eu tenho quase certeza que ele conseguirá (mesmo com o xoops ou com o joomla, pessoal é a minha opinião). Tomamos como exemplo uma casa, vc acha que sua casa é 100% segura?? Você acha que se um ladrão quiser invadir ele não vai conseguir??

Mas existe muitas coisas que podemos fazer para restringir ou minimizar esse problema, a maior falha que existe em segurança é o próprio usuário. O site bem configurado e protegido, terá uma chance muito remota de ser invadido muito remota mesmo. Mas é aquela coisa o cara pode entrar, mas vamos investigar vamos saber por onde ele entrou, será que foi por falha do joomla?? Será que não foi seu servidor?? Será que não foi nenhuma extensão que vc instalou?? Será que não é o cpanl?? e por ai vai...

Já que o cara disse que o joomla tem uma brecha forte em segurança, peça para ele fazer uma demonstração. Se ele ta falando é pq deve ter conhecimento. Eu não falaria uma asneira dessa sem conhecer realmente o que estou falando.
Quando as pessoas me perguntam joomla ou xoops é melhor?? Eu respondo que não existe melhor e sim um que se adeque melhor ao seu projeto.
Mas estava no FISL esse ano e fiz questão de assistir a palestra de xoops, e o que me mostraram foi umas coisas muito toscas, só quem é muito leigo para ficar impressionado com aquilo, por exemplo, o cara foi demostrar um site desenvolvido com xoops que utiliza layouts diferentes do convencional (de colunas), meu Deus era um site tão ruim e feio que eu acho que até meu sobriho faria coisa melhor (mas isto é discussão pra outra thread).

É isso amigo, espero que tenho conseguido pelo menos elucidar vc um pouco. A pessoal não gostaria que ngm aqui do fórum ficassem fazendo críticas não construtivas respeito de outros softwares. Se for pra falar falem com base com algum conhecimento não digam: eu não gosto dele pq ele é ruim. É muito fácil falar isso como o cara do xoops falou da segurança do joomla.

Fiquem a vontade pra fazer críticas não sou o dono da verdade.

abs
Roni

[Willian Souza]

Pelo jeito nosso amigo ai Maddox não conhece muita coisa do Joomla...  ;D

Como nosso colega Ronildo disse, não existe sistema seguro, mas o Joomla é bastante seguro sim em relação a outros CMS, principalmente se for em relação ao Mambo que tem tido diversas falhas de segurança.

Se segurança é o problema e se o site que irá fazer é para algum órgão governamental, dinheiro não é problema certo? Então... quando for contratar uma hospedagem, contrate um plano com SSL - SSL (Secure Socket Layer) protocolo seguro com criptografia de 128 bits - que vc não terá problemas mesmo.

Aliás... que tipo de informação teria no seu site que alguém iria querer hachear?!?!?!

[Ronildo Costa]

Willian pq fala isso do mambo??
Vc conseguiria hackear um site mambo???
Acho que vc está tendo uma visão muito distorcida do mambo. Eu não me atreveria fazer alguns comentários de mambo que vc faz.
E se quiser tirar algumas dúvidas de mambo contate o Paulino, o cara vai poder lhe esclarecer melhor as dúvidas.

E não foi o maddox que disse isso do joomla, foi o instrutor do xoops que dará o curso no local onde ele trabalha??

E só pq é pro governo dinheiro não é o problema??? Não entendi???
O site do joomla.org é bem seguro e não utiliza ssl.

abs
Roni

Pelo jeito nosso amigo ai Maddox não conhece muita coisa do Joomla...  ;D

Como nosso colega Ronildo disse, não existe sistema seguro, mas o Joomla é bastante seguro sim em relação a outros CMS, principalmente se for em relação ao Mambo que tem tido diversas falhas de segurança.

Se segurança é o problema e se o site que irá fazer é para algum órgão governamental, dinheiro não é problema certo? Então... quando for contratar uma hospedagem, contrate um plano com SSL - SSL (Secure Socket Layer) protocolo seguro com criptografia de 128 bits - que vc não terá problemas mesmo.

Aliás... que tipo de informação teria no seu site que alguém iria querer hachear?!?!?!

[Willian Souza]

Não tenho absolutamente nada contra o Mambo, imagine... Mas pelo que tenho visto, diversos sites em Mambo já foram invadidos por problemas de segurança no seu código.

SSL não faz parte do Joomla, óbvio, mas isso é um protocolo de segurança com criptografia quando alguém acessa a página de determinado diretório. Como o que acontece em sites de bancos.

Quando falo a questão do dinheiro meu caro, é que pode ser contratado um plano mais caro de hospedagem e que garanta a segurança de seu site.

Até mais meu caro. 

[Daniel Corrêa]

MaDDoX, acredito que os dois links abaixo pode ajudar a decidir sobre a segurança do Joomla!
- http://dev.joomla.org/component/option, ... ,33/p,223/
- http://dev.joomla.org/component/option, ... ,33/p,195/

Eu particularmente tenho sites meus e de clientes rodando o Joomla! a mais de um ano e nunca fui hackeado. Apesar de terem tentado explorar uma falha do AWSTATS, o que nada tem a ver com o Joomla!

O casamento de um servidor seguro com um CMS seguro, como o Joomla!, é perfeito. Só vai dar problemas se você vacilar nas configurações de permissão.

A questão do SSL nada tem a ver com segurança do Site e sim com os dados trafegados, criptografados, entre o cliente e o servidor.

A maioria, senão todos, os sites hackeados que usam Joomla! estavam desatualizados e não seguiam as orientações de segurança - http://forum.joomla.org/index.php/topic,81058.0.html

Eu não usaria o Xoops no lugar do Joomla!

[MaDDoX]

Se ele acha que o joomla é tão fraco assim?? Pq não ele não hackeia o site do joomla.org ??

Boa pergunta Ronildo. Ele inclusive disse que quebraria qualquer senha de seis dígitos em algumas horas, de oito dígitos em coisa de um dia, e que já havia desafiado publicamente, via transmissão durante um evento, qualquer um a hackear o site do xoops paraná. Creio que vou propor o seu desafio a ele amanhã A propósito, concordo plenamente com o seu comentário em relação a design, ainda estou esperando ver UM site em xoops sequer que não seja um tanto quanto tosco e sempre em três colunas.. :/

Se segurança é o problema e se o site que irá fazer é para algum órgão governamental, dinheiro não é problema certo? Então... quando for contratar uma hospedagem, contrate um plano com SSL - SSL (Secure Socket Layer) protocolo seguro com criptografia de 128 bits - que vc não terá problemas mesmo.

Se dinheiro não fosse problema não estaríamos ansiosos para nos livrarmos do Lotus Notes - que custa R$100 por cabeça/mês de licença. Quanto ao SSL, grato pelo toque, acredito que nosso CPD já o esteja utilizando.

Aliás... que tipo de informação teria no seu site que alguém iria querer hachear?!?!?!

Sinto muito Willian, mas isso não é resposta para a minha pergunta, e completamente irrelevante pra ser sincero.

Obrigado pelos comentários a todos, vou conferir os links pchardnet.

[Daniel Corrêa]

MaDDox, vocês usam a plataforma NOTTES/DOMINO para criação de intranets e sites com o Quick Place?

[burnout]

Quem escreveu isto entendeu muito bem:

"Que nada, ninguém está invadindo o XoopsTotal. É apenas o Giba editando os posts, ele adora ficar mexendo no site até estragar tudo, então chama o Topet0 que ingenuamente vai arrumar a merda que o Giba fez.

Sei que ninguém está entendendo nada, e nem pode mesmo, o fato é que o Giba não dá importância à comunidade livre mas em apenas comercializar os seus próprios módulos para o XOOPS.

Pra quem ainda não entendeu, o XOOPSTOTAL é do Giba, uma ferramenta da empresa dele - foxtotal.com.br - e não uma comunidade livre. Livre, é apenas o pensamento, tutoriais, dicas e documentos que cada um editou lá e só isso.

Essa bagunça que vocês vêem no XOOPSTOTAL é um problema crônico, e foi o que desmotivou dezenas de colaboradores.

Ninguém gosta de ver o trabalho que fez no tempo livre, com carinho e dedicação, ser desfeito sem o mínimo de consideração.

O Giba pode ser um cara simpático, atencioso com amigos e funcionários e as pessoas que podem dar algum retorno financeiro, mas o resto, ou seja, "nós"... se não somos possíveis clientes, automaticamente somos apenas pedra no sapato dele.

Ele está errado, eticamente talvés, mas esse é o mundo dos negócios e é assim que é, doa a quem doer. Quem tem mais experiência na vida sabe que 98% das pessoas passam por cima das outras quando estão competindo, agem por interesses próprios e só isso. É a natureza humana.

Só posso dizer uma coisa a vocês.... Bem vindo ao mundo!

[Ronildo Costa]

@burnout

Boa cara gostei de ver, vamos comentar mas com base no que falamos, chega desse eu acho isso ou aquilo.

[Karlos Rikaryo]

Caraca esse cara q defende o Xoops é mesmo um cavalo...

O Xoops é lerdo, feio e as regras de segurança são facinho de se quebrar...eu acompoanho o Xoops desde a versão 1.2 e pra ser sincero reportei uma infinidade de erros de programação...e pra falar a verdade nuna tive a coragem de oferecer o serviço para um cliente usando o Xoops...pra desenvover alguma coisa pra ele é sempre complicado sem falar q o proprio sistema oferece reursos limitados...

tolo de quem acreditar q o Xoops é mais seguro e melhor que o Joomla ou o Mambo...

Velho quer um conselho de desenvolvedor que leva seus clientes a serio...esquece o Xoops

faz o seguinte acessa a pagina do xoops do Brasil e procura um site bonito... http://xoopsbr.org/..lá nessa comunidade ninguem fala de invasão nenhuma...mas elas existe e estão aí.....

flw 

[Ronildo Costa]

Karlos posso até posso concordar com vc, mas não é exatamente isso que o amigo está querendo saber.
Por exemplo: ele vai chegar no superior dele e dar esses motivos, com certeza eles optarão pelo xoops. Devemos ser coerentes, devemos dar motivos concretos e plausíveis para que ele possa mudar a opinião do chefe.
Como o burnout fez e fez muito bem feito.

[Jorge Rodrigues]

Bem... Aqui vai opinião de quem não conhece muito sobre segurança!

Trabalho para duas rádios (Nativa e Tupi) e um jornal (Jornal do Commercio). Todos trabalham com um gerador de conteúdo pago. Posso dizer com toda certeza do mundo que o Joomla é muito mais flexível e muito mais fácil de se trabalhar!

Estou pensando em utilizar o Joomla como nosso gerador de conteúdo. Para tanto, testei vários e vários programas parecidos: Joomla/mambo, Xoops, E107, dentre outros. Utilizei cada um deles por mais de uma semana, colocando apenas para o pessoal da informática. E foi consenso de todos que o Joomla é muito mais prático e fácil de se fazer atualiçãoes de componentes, criação de matérias etc. Agora a nossa intranet é com o Joomla e nunca nos deu problema algum.

Entretanto, como foi dito anteriormente, os grandes problemas vêm de componentes/módulos/plugins de terceiros. Posso estar enganado... Mas acho que os componentes comerciais devem ser mais seguros.

Acho que a grande vantagem do Joomla é a sua grande desvantagem: Por ser código aberto, dezenas, centenas, milhares de pessoas estão disponíveis para consertar, tirar dúvidas através de fórum, chats, FAQs, etc...

Por outro lado, não existe nenhum tipo de responsabilidade por problemas mais sérios. Não existe nenhuma empresa que responda por invasões etc. Um exemplo: Em nosso cadastro de assinantes, consta endereço, telefone, cartão de crédito etc. Havendo uma invasão e esses dados sejam roubados. Quem vai responder por isso? Nós!

Portanto, minha opinião é a seguinte: Se tens um bom provedor, se conheces sobre segurança de rede etc. Não tenha dúvidas que o Joomla é um excelente programa e os prós são muito, mas muito maiores mesmo do que os contra!

[Ronildo Costa]

Sim mais isso não é do joomla, e sim de open source em geral.

Por outro lado, não existe nenhum tipo de responsabilidade por problemas mais sérios. Não existe nenhuma empresa que responda por invasões etc. Um exemplo: Em nosso cadastro de assinantes, consta endereço, telefone, cartão de crédito etc. Havendo uma invasão e esses dados sejam roubados. Quem vai responder por isso? Nós!

[Jorge Rodrigues]

Exatamente!

Só por curiosidade fui acessar o site que o Karlos indicou e vejam o que foi dito...

"Agora, uma coisa eu te garanto, o SUPORTE, tanto em português, como em inglês, é muito melhor no xoops, que no joomla. A comunidade brasileira do jomla/mamboo é nada perto das duas de xoops só no brasil. Se você quer ajuda, ao menos na minha opinião, o xoops vai te ser mais útil. No joomla creio que seja muito mais comum você ficar sem respostas aos seus tópicos em foruns"

Ao menos de minha parte, todas as minhas dúvidas foram tiradas!

[burnout]

1. Burnout, não cite meu nome. Não nos conhecemos, mas acredite: tenho os motivos de fazer o que fiz. E muito do que dizem sobre mim é mentira vinda do mesmo grupinho de sempre...

2. XOOPS Cube é uma fortaleza comparado a isto aqui....


3. Ao povo do jambo: tentem consertar suas falhas antes de criticar, este site é uma peneira!


4. Algumas explicações:
http://www.xoopstotal.uni.cc/modules/ne ... umpost5963

[Karlos Rikaryo]

Que adiante ter suporte e não segurança, legal a comunidade ser maior e com o suporte maior até aí tudo bem, mas o Xoops é limitado...

Esse negocio do Joomla não ser seguro é aquela historia que o amigo falou, são componentes e modulos desenvolvidos por terceiros...nós que programamos em php sabemos como o codigo do Joomla é bom e organizado (fundamental para o sucesso de um programa né)...agora tem uma discusão que seria interessante puxar...

O Joomla é tão bom e tem uma variedade tão grande de componentes, modulos e plugins que fazem o sistema ter uma diversidade invejavel...vi no joomla.org algumas discussões de que tá na hora de estabelecer limites, porque se não o joomla acaba igual ao navegador Mozilla...pra quem não se lembra, o Mozilla começou com uma infinidade de recursos e essa infinidade de recursos acabou confundindo os usuarios e as consequencias foram as piores..porque isso também fez com que o Mozilla não se desenvolvesse mais e ficou insuportavel para a comunidade dá suporte, isso tudo porque não ouve uma discusão sobre limites...aí surgiu firefox, Sea Monkey e o Mozilla acabou virando fundação...

No caso do Joomla era legal ser usado um padrão de programação e um espaço que o trabalho fosse aprovado e só depois fosse liberação para a comunidade...

Gente existe componente que é uma bagunça...uso como exemplo a adaptação que foi feita no Akobook pra funcionar no Joomla. Poxa o cara que fez isso fez uma tremenda porcaria, o codigo original do Arthur Konze era bunitinho e tinha definições legais que permitia a qualquer programador entender o codigo...hoje se for mexido vai dai dar uma dor de cabeça a qualque um...

Outro componente que também posso citar é a Pony Gallery poxa o codigo da galeria original Akogallery (também do Arthur Konze) fez com que o projeto parasse porque é tanto bug que não dá...por aí vcs tiram a droga que ficou o codigo...

Mas o probema não é com o Joomla e sim com o que e agregam a ele e reforçando o Joomla dá show no Xoops, que na minha opinião continua sendo ruim...é melhor usar PHP-Nuke...que possui inumeros componentes e o suporte também é muito bom e tudo tá traduzido...de vez em quando aparece uma falha de segurança, mas como o Ronildo disse: "Isso acontece com qualquer open source"

Só lembrando uma coisa o Joomla 1.5 tá chegando e vem com tudo e vem pra mostrar que realmente o Joomla é a melhor escolha

flw

[Ronildo Costa]

@Karlos Rikaryo

Amigo por favor vamos nos manter on-topic pq o que vc disse é legal mas não está dentro do que MaDDoX perguntou.
Ele quer saber argumentos para ele convencer o chefe dele a utlizar o joomla.

[Karlos Rikaryo]

Vc tem razão, mas é que as vezes uma coisa chama outra e assim vai...

mas tudo certin....flw  ;D