Новости и анонсы

В Joomla 3.3 будет повышена планка безопасности

Joomla
Добавление в избранное
Сохранить

В Joomla 3.3 будет повышена планка безопасности

Эта статья даст ответы на следующие вопросы:

  • Зачем сейчас вносить изменения?
  • Почему планка не была повышена сразу же со старта 3.x?
  • Как это повлияет на расширения?
  • Получу ли я какие-нибудь предупреждения?
  • Что случится, если мой хост НЕ готов к Joomla 3.3?

Зачем сейчас вносить изменения?

Серия Joomla 3.x постепенно подводит нас к версии 3.5 (LTS - релиз с долгосрочной поддержкой), которая будет выпущена через год и будет поддерживаться в течение минимум двух лет. В PHP 5.3.x (начиная с версии 5.3.10) произошли существенные изменения, повышающие уровень криптографии, которые могут быть использованы для защиты паролей. Смотря на то, как долго держатся сайты на Joomla 1.5 и 2.5, несложно предугадать, что Joomla 3.x продержатся также долго. Никто, имеющий сайт на Joomla 3.x, не захочет подвергать себя риску. Мы тоже не хотим быть под постоянным давлением из-за того, что не можем достаточно хорошо защитить Joomla. На фоне постоянно улучающихся методов взлома, было бы неверно не использовать преимущества более безопасных криптографических алгоритмов, которые стали доступны в PHP 5.3.10, и не реализовать их в грядущем LTS релизе.

Наша PLT команда (Production Leadership Team) могла бы выбрать путь, при котором были бы написаны проверочные тесты и использованы именно те варианты, которые подходили бы к версии PHP, найденной на каждом сервере. Но PLT этого не сделала. Безопасность итак очень сложна и включает в себя большое количество запутанного кода, а добавление гибкости для поддержки серверов, которые были установлены более трех лет назад и после этого не обновлялись, является ударом по производительности, который на себе ощутят все. Вместо этого, мы внедряем улучшенную криптографию в Joomla 3.3 и делаем её доступной по умолчанию для всех веб-сайтов, которые будут использовать Joomla 3.3.

Безопасность веб-сайтов всегда у всех на уме, а после недавних событий, связанных с кредитными картами «Target Stores» и паролями в Adobe, владельцы веб-сайтов на CMS стали еще более осведомленными о безопасности. Joomla всегда относилась к безопасности с должным уважением. Даже сейчас, уже почти год после того, как Joomla 1.5 достигла конца цикла поддержки, версия 1.5.26 является очень безопасной (при условии, что был установлен последний патч). Вадим Куницын довольно популярно раскрыл эту тему в своей заметке.

Почему планка не была повышена сразу же со старта 3.x?

Возможно, мы сделали бы это, если бы у нас было знание о том опыте, который мы получили совсем недавно. Но тогда, летом 2012 года, мы не смогли предугадать минимальную версию PHP, хотя в свое время, нам достаточно неплохо удалось это сделать для Joomla 1.5 и 2.5.

Опыт мы этот получили, когда столкнулись в ноябре 2013 года с проблемой внедрения улучшенной безопасности в Joomla 3.2. Тогда, после выпуска Joomla 3.2, мы обнаружили, что у большого количества хостеров на серверах установлено устаревшее программное обеспечение. К тому же, среди наших тестеров не нашлось таких, которые проверяли Joomla 3.2 на устаревших версиях PHP. Наши попытки сделать так, чтобы Joomla устанавливалась на как можно больше серверов, похожи на попытки отказа от поддержки IE6. Пришло время отказаться от задержек по улучшению безопасности из-за устаревшего программного обеспечения.

Чтобы вы понимали, насколько все устарело – последняя версия PHP на данный момент 5.5.8. PHP 5.2 закончила свой цикл жизни в январе 2011 года, хотя многие Joomla 1.5 веб-сайты все еще на ней! Когда в 2012 году вышла Joomla 3, мы установили в качестве минимальной версии PHP 5.3.1, которая вышла в ноябре 2009. Сейчас мы устанавливаем в качестве минимальной версии PHP 5.3.10, которая вышла в феврале 2012, и являлась текущим релизом до Апреля 2012. Так что изменения повлияют на те сервера, которые были установлены до начала 2012 года и после этого не обновлялись.

Как это повлияет на расширения?

Это изменение не должно повлиять на расширения. Серия Joomla 3.x должна поддерживать обратную совместимость, начиная с первого релиза 3.0 и заканчивая версиями серии 3.5. Поэтому разработчики расширений не должны заботиться об обновлении, если они вовремя перешли на Joomla 3.x API. Все те расширения, которые правильно используют Joomla 3.x API - вне опасности. Но те расширения, которые частично заменили создание аккаунта и плагины входа своими собственными реализациями, должны быть протестированы разработчиками расширений перед выходом Joomla 3.3.

Получу ли я какие-нибудь предупреждения?

Да, в следующем релизе серии 3.x, а именно в Joomla 3.2.2, которая планируется в начале февраля, будет встроена проверка версии PHP на вашем сервере. Если на нем не установлена PHP 5.3.10 и выше, вы получите послеустановочное сообщение, которое сообщит о том, что ваш сервер НЕ готов к Joomla 3.3. Если вы не получили такое сообщение, то все в порядке!

Если вы хотите проверить это прямо сейчас, то зайдите в панель управления, нажмите на «Система» – «Информация о системе» – «Информация о PHP» и вы увидите версию PHP, которая установлена на вашем сервере.

Что случится, если мой хост НЕ готов к Joomla 3.3?

Вашему веб-сайту не будет нанесен вред. В версии 3.2.2 появится новая возможность, которая будет проверять версию PHP и если сервер не готов к Joomla 3.3, то эти обновления просто не будут установлены. Также в течение шести месяцев после выхода Joomla 3.3, проект Joomla! будет выпускать обновления безопасности для 3.2 и 3.3 (а также и для 2.5), так что любые уязвимости могут быть быстро устранены с помощью одного клика, без необходимости обновления до Joomla 3.3. Это даст вам время на то, чтобы запросить у хостера обновление версии PHP. Вы должны решить этот вопрос до октября 2014 года, тогда вы сможете обновиться до Joomla 3.5 в один клик.

Оригинальная статья: Michael Babker
Dmitry Rekun
Работаю в банковской сфере, а с веб-разработкой (непосредственно с Joomla) столкнулся в 2007 году. Теперь это моё хобби, а в редких случаях и вторая работа. Какое-то время вёл свой блог, но решил попробовать работать в команде. И вот c 2012 года я здесь :)

Подпишитесь на рассылку новостей CMScafe