Kommentare zu: TYPO3 Security Bulletin – 19 Extension betroffen http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/?utm_source=rss&utm_medium=rss&utm_campaign=typo3-security-bulletin-19-extension-betroffen Das Blog zu TYPO3, JavaScript und openSource Wed, 05 May 2010 21:58:00 +0200 http://wordpress.org/?v=2.9.2 hourly 1 Von: Jonas http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1393 Jonas Sun, 20 Dec 2009 14:06:55 +0000 http://typo3weblog.de/?p=539#comment-1393 Hi Zuammen Im letzten Jahr habe ich viel mit Extension Entwicklern gemailt, teilweise mit konkreten Patches und vorschlägen, teilweise einfach ein Dankeschön für die tolle Arbeit. Alles in allem war ich sehr positiv überrascht wie viele Entwickler geantwortet und sich über ein Feedback gefreut haben. Die Möglichkeiten sind alle schon da, es ist einfach eine Frage der Kommunikation. Ein kleines Experiment: 1.) Macht eine Liste mit den Extensions die Ihr in Euren Projekten nutzt. 2.) Schaut ob jedes Projekt bei Forge ist. (forge.typo3.org) 2.1) Wenn nein: Schreibt dem Entwickler ein Dankeschön für die Tolle arbeit und fragt ob er die Extension auf Forge stellen würde, damit man Issues und Patches erfassen kann. Und ganz wichtig, damit man im Team an der Extension via SVN arbeiten könnte. 2.2) Wenn das Projekt bei Forge ist, schreibt den Entwicklern des Forge Teams eine Dankschön-Mail, dass sie es auf Forge entwickeln! 3.) Wenn das Projekt bei Forge ist und Ihr einen Patch oder eine tolle Idee habt, schreibt einen schönen kurzen Report im Issue tracker. (z.B. "add Insert Record support" mit einem Link zu einem Snipped, oder "switch cron script to scheduler" mit einem link zum Tutorial. 4.) Fragt nach 1-2 Wochen nach. Ihr werdet überrascht sein, wie viele Entwickler offen sind um mit anderen zusammen zu arbeiten. Viele Extension-Entwickler wissen schlicht und einfach nicht, dass es Forge, Newsgroups oder IRC zu TYPO3 gibt! Viele kriegen auch wenig produktives Feedback, weil viele Nutzer nicht verstehen, dass es ja freiwillige Entwicklungsarbeit ist und sie deswegen keien spezifischen Erwartungen stellen dürfen. Eine Kopplung vom TER zu Forge wäre absolut genial und absolut wichtig! Gruss Jonas Hi Zuammen

Im letzten Jahr habe ich viel mit Extension Entwicklern gemailt, teilweise mit konkreten Patches und vorschlägen, teilweise einfach ein Dankeschön für die tolle Arbeit.

Alles in allem war ich sehr positiv überrascht wie viele Entwickler geantwortet und sich über ein Feedback gefreut haben.

Die Möglichkeiten sind alle schon da, es ist einfach eine Frage der Kommunikation.

Ein kleines Experiment:
1.) Macht eine Liste mit den Extensions die Ihr in Euren Projekten nutzt.
2.) Schaut ob jedes Projekt bei Forge ist. (forge.typo3.org)
2.1) Wenn nein: Schreibt dem Entwickler ein Dankeschön für die Tolle arbeit und fragt ob er die Extension auf Forge stellen würde, damit man Issues und Patches erfassen kann. Und ganz wichtig, damit man im Team an der Extension via SVN arbeiten könnte.
2.2) Wenn das Projekt bei Forge ist, schreibt den Entwicklern des Forge Teams eine Dankschön-Mail, dass sie es auf Forge entwickeln!
3.) Wenn das Projekt bei Forge ist und Ihr einen Patch oder eine tolle Idee habt, schreibt einen schönen kurzen Report im Issue tracker. (z.B. “add Insert Record support” mit einem Link zu einem Snipped, oder “switch cron script to scheduler” mit einem link zum Tutorial.
4.) Fragt nach 1-2 Wochen nach.

Ihr werdet überrascht sein, wie viele Entwickler offen sind um mit anderen zusammen zu arbeiten.

Viele Extension-Entwickler wissen schlicht und einfach nicht, dass es Forge, Newsgroups oder IRC zu TYPO3 gibt! Viele kriegen auch wenig produktives Feedback, weil viele Nutzer nicht verstehen, dass es ja freiwillige Entwicklungsarbeit ist und sie deswegen keien spezifischen Erwartungen stellen dürfen.

Eine Kopplung vom TER zu Forge wäre absolut genial und absolut wichtig!

Gruss Jonas

]]> Von: Frank Nägler http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1387 Frank Nägler Wed, 16 Dec 2009 09:15:24 +0000 http://typo3weblog.de/?p=539#comment-1387 Das ist ja nicht gemeint. Der Vorschlag ist eine Art Portal, in dem man seine Extension anbieten kann. Es geht darum eine Anlaufstelle zu schaffen, wo man Extensions finden kann, die zur Übernahme zur Verfügung stehen. T3BAY sozusagen :D Das ist ja nicht gemeint. Der Vorschlag ist eine Art Portal, in dem man seine Extension anbieten kann. Es geht darum eine Anlaufstelle zu schaffen, wo man Extensions finden kann, die zur Übernahme zur Verfügung stehen. T3BAY sozusagen :D

]]> Von: Georg Ringer http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1386 Georg Ringer Wed, 16 Dec 2009 08:04:38 +0000 http://typo3weblog.de/?p=539#comment-1386 du kannst problemlos schon heute extensions an wen anderen übertragen, einfach einloggen und dann bei der liste deiner extensions einen user eingeben und button klicken du kannst problemlos schon heute extensions an wen anderen übertragen, einfach einloggen und dann bei der liste deiner extensions einen user eingeben und button klicken

]]> Von: Frank Nägler http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1385 Frank Nägler Tue, 15 Dec 2009 22:05:49 +0000 http://typo3weblog.de/?p=539#comment-1385 Deine Idee finde ich echt super. Hast Du diese Idee schon einmal im Core-Team geäußert? Falls nicht würde ich das gerne mal weiter tragen. Deine Idee finde ich echt super. Hast Du diese Idee schon einmal im Core-Team geäußert? Falls nicht würde ich das gerne mal weiter tragen.

]]> Von: Tolleiv http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1384 Tolleiv Tue, 15 Dec 2009 20:02:32 +0000 http://typo3weblog.de/?p=539#comment-1384 Hi, in einigen anderen Open-Source Projekten gibt es sowas wie "Orphan Projects", das sind Aufgaben (in unserem Fall Extensions) die es zwar gibt um deren Pflege sich aber keiner mehr kümmert. Vllt. wäre ein "Nutzerinterface" zur Freigabe / Übertragung bzw. der Beantragung zur Übertragung einer solchen Extension ein Weg die vielen Leichen im TER in sinnvolle und aktuelle Extensions "umzuwandeln". Vllt. würde es auch einfach genügen Extensions mit einem "maintained"-Flag, welches regelmäßig bestätigt werden muss, auszustatten und nur Extensions zum direktem Download anzubieten die wirklich gewartet werden. Alles nur so Ideen - insgesamt sind die Feedback-Möglichkeiten zu Extensions im TER zu gering und die Bestehenden werden zu selten genutzt ... aber das wurde an so vielen Stellen schon diskutiert - ob sich da wirklich mal jemand findet steht in den Sternen ;) Hi,
in einigen anderen Open-Source Projekten gibt es sowas wie “Orphan Projects”, das sind Aufgaben (in unserem Fall Extensions) die es zwar gibt um deren Pflege sich aber keiner mehr kümmert. Vllt. wäre ein “Nutzerinterface” zur Freigabe / Übertragung bzw. der Beantragung zur Übertragung einer solchen Extension ein Weg die vielen Leichen im TER in sinnvolle und aktuelle Extensions “umzuwandeln”. Vllt. würde es auch einfach genügen Extensions mit einem “maintained”-Flag, welches regelmäßig bestätigt werden muss, auszustatten und nur Extensions zum direktem Download anzubieten die wirklich gewartet werden.

Alles nur so Ideen – insgesamt sind die Feedback-Möglichkeiten zu Extensions im TER zu gering und die Bestehenden werden zu selten genutzt … aber das wurde an so vielen Stellen schon diskutiert – ob sich da wirklich mal jemand findet steht in den Sternen ;)

]]> Von: Frank Nägler http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1383 Frank Nägler Tue, 15 Dec 2009 12:34:46 +0000 http://typo3weblog.de/?p=539#comment-1383 Ja ich kenne diese Regelung, finde ich zum Teil auch ok. Auf der einen Seite ist die Zeit natürlich wichtig, auf der anderen sind 10 Tage nicht gerade viel, wenn man sofwas wie Urlaub berücksichtig. Aber Du hast natürlich recht, dass man eine Ext jederzeit wieder einstellen kann. Ja ich kenne diese Regelung, finde ich zum Teil auch ok. Auf der einen Seite ist die Zeit natürlich wichtig, auf der anderen sind 10 Tage nicht gerade viel, wenn man sofwas wie Urlaub berücksichtig. Aber Du hast natürlich recht, dass man eine Ext jederzeit wieder einstellen kann.

]]> Von: Georg Ringer http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1382 Georg Ringer Tue, 15 Dec 2009 12:31:07 +0000 http://typo3weblog.de/?p=539#comment-1382 naja die Policy erlaubt das Löschen nach 10 Tagen nicht-melden, also 14 Tage urlaub reichen aus um da mal was zu verschlafen. Wobei bei CSBs die Extension sofort gelöscht wird und nicht auf ein Bulletin gewartet wird naja die Policy erlaubt das Löschen nach 10 Tagen nicht-melden, also 14 Tage urlaub reichen aus um da mal was zu verschlafen.

Wobei bei CSBs die Extension sofort gelöscht wird und nicht auf ein Bulletin gewartet wird

]]> Von: Frank Nägler http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1381 Frank Nägler Tue, 15 Dec 2009 12:15:47 +0000 http://typo3weblog.de/?p=539#comment-1381 Ok, das Argument mit den alten Extensions kann ich nachvollziehen. Aber 2 Wochen Urlaub + 3 Wochen Krankenhaus ist sicher nicht unmöglich, aber sehr unwahrscheinlich ;) Wie auch immer, ich habe auch die eine oder andere Extension, die ich nicht mehr pflege, aber sollten da Sicherheitsprobleme vorliegen, würde ich diese beheben. Ok, das Argument mit den alten Extensions kann ich nachvollziehen. Aber 2 Wochen Urlaub + 3 Wochen Krankenhaus ist sicher nicht unmöglich, aber sehr unwahrscheinlich ;)

Wie auch immer, ich habe auch die eine oder andere Extension, die ich nicht mehr pflege, aber sollten da Sicherheitsprobleme vorliegen, würde ich diese beheben.

]]> Von: Georg Ringer http://typo3weblog.de/2009/12/15/typo3-security-bulletin-19-extension-betroffen/#comment-1380 Georg Ringer Tue, 15 Dec 2009 11:51:32 +0000 http://typo3weblog.de/?p=539#comment-1380 Hi, du siehst es mit den etwas falschen Augen: Einige Extensions sind aus 2006 oder noch älter. Das sind im Grunde einfach Leichen, die niemanden mehr interesieren, aber halt noch im TER sind. Manche Leute machen nicht mal mehr TYPO3 Oft sind solche Extension einfach veraltet usw. Dann kann durchaus pech dazu kommen und der Autor war 2 Wochen auf urlaub und dann noch 3 Wochen im Krankenhaus. Es ist natürlich immer möglich, dass Extensions wieder ins TER zurückkehren Georg member TYPO3 Security Team Hi,

du siehst es mit den etwas falschen Augen:

Einige Extensions sind aus 2006 oder noch älter. Das sind im Grunde einfach Leichen, die niemanden mehr interesieren, aber halt noch im TER sind. Manche Leute machen nicht mal mehr TYPO3

Oft sind solche Extension einfach veraltet usw.

Dann kann durchaus pech dazu kommen und der Autor war 2 Wochen auf urlaub und dann noch 3 Wochen im Krankenhaus. Es ist natürlich immer möglich, dass Extensions wieder ins TER zurückkehren

Georg
member TYPO3 Security Team

]]>