[TYPO3-UG Italy] aggiornare TYPO3 a versioni successive a 4.5.x, quale direzione prendere?

Tonix (Antonio Nati) tonix at interazioni.it
Fri Aug 24 09:55:48 CEST 2012 

Il 24/08/2012 08:44, Alessandro Tuveri ha scritto:
> Ciao Antonio
> tutti i ragionamenti qui fatti sugli update e doveri, ecc. si 
> scontrano anche con le responsabilita'. E' noto ad esempio che PHP 5.2 
> e' 'out' ormai da mesi e puo' presentare problemi di sicurezza. Quindi 
> ad un certo punto c'e' il preciso obbligo di passare a PHP 5.3 ma.... 
> inevitabilmente aggiornare anche le estensioni che non girano piu' e 
> il CMS.
> Per me non e' solo un problema di chiarire con un cliente cosa va 
> fatto e naturalmente il cliente spesso per risparmiare ti dira' di 
> lasciar cosi' le cose.
> In breve: si possono "lasciar cosi' le cose" quando c'e' magari un 
> problema potenziale di sicurezza (es. PHP non aggiornato) con 
> potenziale danno per altri siti ospitati nella stessa macchina o VPS?
> Certo, tutto si puo' ricondurre a norme contrattuali da stabilire con 
> il cliente, ma sulla sicurezza andrei cauto
>

Io ragiono da ISP, gli utenti hanno ID e privilegi diversi, possono 
usare PHP diversi e non possono accedere agli spazi degli altri, per cui 
il problema della sicurezza è relativo.

Dato che se uno vuole il PHP 4.0, la cosa non ha impatti sugli altri 
utenti/siti, per me il problema non esiste.

Comunque, sui buchi di sicurezza ci andrei ancora più cauto.
Non mi spaventano quelli noti del PHP 5.2, perché se li conosci li 
circoscrivi.

Mi spaventano quelli non noti del 5.3, molto di più. Troppe volte nuovi 
rilasci hanno cure che sono peggiori della malattia, per cui lascio che 
li provino quelli che muoiono dalla voglia di aggiornare, e poi installo 
una versione iper-controllata, antecedente a rilasci di nuove funzionalità.

Anche TYPO3 a suo tempo ha rilasciato un patch di sicurezza che ha 
causato più problemi del problema originale.

Comunque, io devo ragionare da ISP.
Il mio cliente mi chiede uno spazio WEB e poi ci mette quello che vuole 
lui, per cui se quella parte di PHP 5.2 per lui sia pericolosa io non 
posso saperlo a priori. E' lui responsabile delle sue azioni, e quindi 
mi chiederà la 5.3 se sarà il caso.

Può anche usare perl o ruby o chissà cosa'altro, ed io oltretutto devo 
rispettare la riservatezza delle zone che lui mi affitta, non posso 
andare a vedere cosa fa.

Non sono il responsabile del lavoro e delle attività del cliente. Se il 
cliente vuole la 5.2 di PHP, deve avere quello che decide lui.
Puoi avvertirlo che ci sono bachi o che nella 5.3 si fa anche il caffè, 
poi decide lui.

Se tu vuoi decidere al suo posto, te ne prendi tutti gli oneri.

Come soluzione ponte, c'è quella concordata. Si avvisa il cliente, del 
quale si sa che usa la 5.2, che sarebbe opportuno passare alla 5.3. A 
questo punto il cliente chiede ai suoi sviluppatori (magari a te) quanto 
gli costa, e poi può anche decidere di rimanere con la 5.2.

Ciao,

Tonino

P.S. Comunque, finora, tutte le volte che ho visto rischi di sicurezza 
sono sempre stati riconducibili a pessime analisi delle applicazioni e 
mai a prodotti.

> ALESSANDRO TUVERI
>
> --------------------------------------
> AREA SERVIZI INFORMATICI E MULTIMEDIALI
> Servizi WEeb d'Ateneo
> Universit� degli Studi di Udine
> tel. ufficio 0432-558904
> --------------------------------------
> Homo sine pecunia est imago mortis
> --------------------------------------
>
> ----------------------------------------------------------------------
> SEMEL (SErvizio di Messaging ELettronico) - AINF, Universita' di Udine
>
>
> _______________________________________________
> TYPO3-UG-Italy mailing list
> TYPO3-UG-Italy at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-italy


-- 
------------------------------------------------------------
         Inter at zioni            Interazioni di Antonio Nati
    http://www.interazioni.it      tonix at interazioni.it
------------------------------------------------------------

More information about the TYPO3-UG-Italy mailing list