Ik heb al 3x eerder de neiging gehad om de vraag te posten hier, en toch steeds niet gedaan... Maar nu ik het me nogsteeds afvraag.. Ach waarom niet?
Wat vinden jullie wat een CMS moet kunnen en bevatten..
Beheer / modules / plugins ? Dit kan natuurlijk veel verder gaan, denk hierbij aan "Hoe een module word verwerkt", hoe de links worden (.htaccess), datastructuur, mogelijkheid tot lite functie?
Als je een CMS kiest wat kies je eerder?
A) 1 waar je zelf modules op kan ontwikkelen (Open)
B) 1 waar modules al geherinstalleerd staan, en je zelf niks kan toevoegen
Moet de CMS een setup bevatten, of is een documentatie over het opzetten voldoende?
Wat doe jij qua licentie als je een CMS hebt, opensource (GNU-licentie) of voor je klanten houden (hier ben ik zelf namelijk nog niet uit)
Eventueel extra informatie wat je kwijt wil over een CMS kan je ook gewoon kwijt. xD
--- Mijn CMS
---
is deze interface gebruikersvriendelijk? Link -> Image
---
De informatie zal gebruikt worden bij het verder ontwikkelen van mijn eigen CMS (ArieCMS)
---
Waarom bekijk je het niet van een andere kant? Er bestaan al massas CMSystemen, die waarschijnlijk beter in elkaar zullen zitten dan wat je zelf in je eentje op een half jaar tijd in elkaar steekt...
Dan denk ik enkel nog maar aan security leaks en dergelijke...
Waarom niet gewoon contributen aan een bestaande CMS zoals drupal?
zelf een cms maken (met behulp van bestaande onderdelen).
1. je kunt hem maken zoals je zelf wilt
2. makkelijker te onderhouden aangezien je de code zelf hebt geschreven
3. je kunt elke denkbare module integreren
ik heb zelf ook één gemaakt, daarin heb ik o.a. wel TinyMCE verwerkt en gekoppeld aan een database.
Waarom bekijk je het niet van een andere kant? Er bestaan al massas CMSystemen, die waarschijnlijk beter in elkaar zullen zitten dan wat je zelf in je eentje op een half jaar tijd in elkaar steekt...
Dan denk ik enkel nog maar aan security leaks en dergelijke...
Waarom niet gewoon contributen aan een bestaande CMS zoals drupal?
Omdat ik mijn eigen website wil beheren op de manier dat ik dat wil, en omdat ik het kan. Daarom maak ik mijn eigen CMS . Verder vind ik andere CMSsen altijd wel iets wat niet kan. Daarbij komt dat veel CMSsen alleen pagina-systemen zijn.
en in bestaande CMSen zoals Drupal, Joomla, .... kan je ook alle denkbare module's bijschrijven...
en ik kan me niet bedenken dat je zo even een bugfree, secure, CMS hebt geschreven met OA deftig user management (groups en ACL tot op module niveau), ....
de community van zulke grote CMSen is zo groot dat alle bugs en security leaks veel sneller ontdekt worden, als je een CMS op je eentje gebruikt zullen die er veel langer in blijven...
de community van zulke grote CMSen is zo groot dat alle bugs en security leaks veel sneller ontdekt worden, als je een CMS op je eentje gebruikt zullen die er veel langer in blijven...
Misschien juist daarom een eigen CMS.
Bij de grote CMS-systemen zijn er eerder problemen (bekend), deze problemen worden dan misbruikt... waarom zou iemand proberen een kleine CMS te misbruiken?
waarom proberen mensen een CMS te misbruiken tout cour... zo zijn sommige mensen nu eenmaal, dat is ook naast de questie, je gaat toch niet expres een onveilig cms maken?
ik zou persoonlijk me eerder verdiepen in joomla of drupal dan zelf te beginnen aan een CMS.
Mensen misbruiken soms beveiligingslekken in de grote (bekende) CM-systemen, maar dat is wel een grote minderheid, ik ben er zeker van dat de grootste groep internetgebruikers zelfs nog nooit heeft gehoord van joomla, laat staan drupal (dat volgens mij minder bekend is dan joomla).
Maar om terug tot de kwestie te komen:
ik zou het gewoon niet doen, ik zou kiezen voor een bestaand CMS en dat zelf gaan uitbreiden. Als je er zelf een wil maken moet je véél tijd hebben om een fatsoenlijk CMS in elkaar te kunnen steken, en dan nog: met meerdere personen zie je meer dan alleen, ik denk niet dat er één succesvol CMS is dat door één persoon gemaakt is (correct me if i'm wrong ).
Wil je toch écht eentje zelf maken:
zorg ervoor dat je steeds uitbreidingen kan toevoegen, dat je code goed gedocumenteerd is én dat het gewoon veilig is.
ik zou persoonlijk me eerder verdiepen in joomla of drupal dan zelf te beginnen aan een CMS.
Mensen misbruiken soms beveiligingslekken in de grote (bekende) CM-systemen, maar dat is wel een grote minderheid, ik ben er zeker van dat de grootste groep internetgebruikers zelfs nog nooit heeft gehoord van joomla, laat staan drupal (dat volgens mij minder bekend is dan joomla).
Maar om terug tot de kwestie te komen:
ik zou het gewoon niet doen, ik zou kiezen voor een bestaand CMS en dat zelf gaan uitbreiden. Als je er zelf een wil maken moet je véél tijd hebben om een fatsoenlijk CMS in elkaar te kunnen steken, en dan nog: met meerdere personen zie je meer dan alleen, ik denk niet dat er één succesvol CMS is dat door één persoon gemaakt is (correct me if i'm wrong ).
Wil je toch écht eentje zelf maken:
zorg ervoor dat je steeds uitbreidingen kan toevoegen, dat je code goed gedocumenteerd is én dat het gewoon veilig is.Â
Mijn CMS is al bijna klaar Sterker nog.. Alleen nog UBB erin maken en dat heb ik vandaag ook net op mijn oude CMS gedaan die nu nog draaiende is. Dat is dus eigenlijk over kopieren.
Het Admin-gedeelte ga ik vandaag mee verder, en beveiliging.. Ik weet niet wat jullie allemaal willen beveiligen ect. maar Query's via een databaseclass die mysql_real_escape_string(); gebruikt werkt lekker, Get's worden netjes gescheiden. Een gebruiker kan niet dubbel inloggen. Er word met sessies gewerkt die samenhangt met de database.
En al zijn er zoveel CMS-sen, ik vind die niet fijn/overzichtelijk. Daarbij komt dat een eigen CMS toch wel iets is wat fijn is om te maken, en je leert er veel van.
Het enige wat op dit moment in mijn CMS ontbreekt zijn exceptions, die in de volgende grote update ook zitten nadat deze versie af is.
Ik heb er 1 in Java geschreven!:D Werkt echt fantastisch en mijn klanten zijn helemaal tevreden... Want ze kunnen zelfs iets aanpassen via hun telefoon!:P Naja geen bijzonderheden. Maar wel een voordeel is dat als je geen internet verbinding hebt maakt het niet uit want zodra je wel internet hebt synchroniseert mijn cms de database met nieuwe informatie uit de applicatie:D
[..quote..]
Ik weet niet wat jullie allemaal willen beveiligen ect.
Cross site scripting attack
SQL injection
UBB hacks
Arbitrary Command Execution
Remote PHP execution
Mime content type hack
Session/cookie hijacking
mail injection
brute force attacks
...
En waarom je van WYSIWIG's html naar UBB wilt gaan om dit later terug naar html te parsen snap ik ook niet goed... lijkt me gwn onnodige overhead
Waar je wel een punt hebt is dat je er veel van kan leren, maar of het daadwerkelijk iets zal worden dat je in productie zal kunnen gebruiken blijft voor mij een vraag.
Kan je trouwens de features geven die in jouw cms wel zitten die niet in een mainstream cms zitten?
Cross site scripting attack
SQL injection
UBB hacks
Arbitrary Command Execution
Remote PHP execution
Mime content type hack
Session/cookie hijacking
mail injection
brute force attacks
Veel van deze dingen is onmogelijk, UBB laat ik toch maar door TinyMCE doen. Cookies gebruik ik niet, en alle userinput word gecontroleerd..
Van sommige dingen heb ik nog nooit gehoord.. zoals brute force heb ik niet zoveel verstand van maar ook Atributy (ofzo) never heard off.
Mythix schreef:
Waar je wel een punt hebt is dat je er veel van kan leren, maar of het daadwerkelijk iets zal worden dat je in productie zal kunnen gebruiken blijft voor mij een vraag.
Why not? Script is volledig OOP en naar mijn mening netjes ingedeeld, bugs zijn dus redelijk snel te traceren en te fixxen.
Mythix schreef:
Kan je trouwens de features geven die in jouw cms wel zitten die niet in een mainstream cms zitten?
Op dit moment niet nee, maar is dat nodig?
Ik heb andere CMSsen nooit echt goed bekeken, maar bij mijn CMS kan je in een module via
Je blokken beheren mits je deze als variabel vak in de database hebt gezet. En op dit gedeelte zal ik nog verder gaan bouwen, dat je bijvoorbeeld die vlakken een aparte module geeft o.i.d
Verder zit er jQuery in, wat in sommige CMS-sen ontbreekt..
Het ene CMS heeft dit, het andere zus en weer een ander zo, en dat zal denk ik de reden zijn waarom er zoveel van zijn =] (of gewoon omdat het leuk is om er 1 te maken)
Maar ik moet toegeven, een CMS maken wat veilig is, en veel kan is moeilijk te maken en er zit veel tijd in. Ik zit nu op anderhalve maand scripten en ik denk dat er nog wel een paar maand aan vast geknoopt kunnen worden =]
brute forcen, is (bijvoorbeeld) een username ingeven (meestal van de admin ) en via een script verschillende wachtwoorden gaan testen tot je de juiste hebt.
brute forcen, is (bijvoorbeeld) een username ingeven (meestal van de admin ) en via een script verschillende wachtwoorden gaan testen tot je de juiste hebt.
Pling,
Aah dat was mn lampje, nu weet ik weer wat dat is xD
Brute-force is dus ook vrij simpel tegen te beveiligen xD.
Na 3 verkeerde pogingen toegang op dat account met 5 minuten ontzeggen en op IP een maand ontzeggen ofzo . Helaas kom je er dan wel met proxy in (i know).
Edit: Ben nu dus bezig met anti-bruteforce script =] (+ controle op alle inlogpogingen)
Voor het bedrijf waar ik werk heb ik ook een cms gemaakt.
Wat de licenties betreft: wanneer iemand hier een website laat bouwen met cms worden deze ook hier gehost. Van ons draaien dus geen websites op andere hosts.
Het cms is modulair opgebouwd en geleverd met een content, statistieken en een gebruikers module. Op aanvraag zijn andere modules te krijgen. Deze kunnen we simpel invoegen door de map met daarin de controller, model en views in de map modules te kopieren. Het script leest zelf alle modules uit die in de directory staan.
Er wordt standaard gebruik gemaakt van TinyMce icm Imagemanager. Waarom het wiel opnieuw uitvinden?
Verder krijgen de gebruikers een uitleg over het cms die meestal 1.5 uur duurt. Vaak krijgen we de opmerking ,,is het zo makkelijk?'' Ook wordt er een mail met handleiding gestuurd. Verder kunnen ze altijd bellen als ze ergens niet uitkomen.
Tenzij je een custom session handler gebruikt zou ik daar nog niet zo zeker van zijn ;)
session id's worden namelijk transparant in een cookie opgeslagen en met elke request meegestuurd in de headers...
Maar aangezien je de IP's checkt, wat je dus zeker elke request moet doen, zit je normaal safe zover ik weet
Om brute force tegen tegaan wordt er regelmatig gebruik gemaakt van volgende methode (oa door google). na verschillende mislukt inlogpogingen komt er een extra veld bij het inlogscherm met een captcha...
Een IP een volledige maand ontzeggen zou ik ook niet doen, toch zeker niet na maar 5 pogingen, ik heb persoonlijk zoveel paswoorden dat ik op sommige sites er vele moet proberen voor ik het correcte heb ;)
Tenzij je een custom session handler gebruikt zou ik daar nog niet zo zeker van zijn ;)
session id's worden namelijk transparant in een cookie opgeslagen en met elke request meegestuurd in de headers...
Maar aangezien je de IP's checkt, wat je dus zeker elke request moet doen, zit je normaal safe zover ik weet
Om brute force tegen tegaan wordt er regelmatig gebruik gemaakt van volgende methode (oa door google). na verschillende mislukt inlogpogingen komt er een extra veld bij het inlogscherm met een captcha...
Een IP een volledige maand ontzeggen zou ik ook niet doen, toch zeker niet na maar 5 pogingen, ik heb persoonlijk zoveel paswoorden dat ik op sommige sites er vele moet proberen voor ik het correcte heb ;)
Alle gebruikers worden opgehaald in de database en in een array gestopt. Met deze array controleer ik gebruikers, en wat ze mogen.
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
Gesponsorde links
. Verder vind ik andere CMSsen altijd wel iets wat niet kan. Daarbij komt dat veel CMSsen alleen pagina-systemen zijn.
) en via een script verschillende wachtwoorden gaan testen tot je de juiste hebt.
Actiefste leden van de maand
