CMS Made Simple face aux autres CMS: les enjeux de la sécurité

Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
#1
Lorsque l'on compare les CMS disponibles sur le marché c'est bien souvent en terme d'usabilité pour le débutant. L'interface est-elle intuitive ? L'installation simplifiée au maximum? Grâce à quelques uns qui ont la générosité de s'investir gratuitement nous disposons d'un outil pratique et efficace. Le cahier des charges est donc rempli. Reste un aspect, souvent moins mis en avant mais tout aussi important: la sécurité au sens large de l'application (facilité de mise à jour, fiabilité du code etc...). Je lisais récemment un débutant qui rencontre de nombreux problèmes de failles de sécurité avec Joomla. Il fait l'analyse suivante : les cms dans leur ensemble sont des projets collaboratifs disposant d'un réservoir de compétences important. Ces compétences sont souvent assez disparates :en fonction de son degré de technicité, chacun apporte sa pierre à l'édifice. En face la cybercriminalité dispose de moyens autrement plus conséquents (payer durablement des équipes de développeur de haut-vol par exemple).
Alors bien sûr, la sécurité, la vraie s'entend, cela ne se voit pas, cela n'est donc pas payant en terme d'affichage. Sacrifier ou retarder le développement de fonctionnalités nouvelles pour consolider et sécuriser l'existant devrait être une priorité. Aujourd'hui, pour peu que l'on série un peu l'usage, 99% des CMS du marché proposent des fonctionnalités suffisantes. Que dire de la sécurité de ces applications....Cela risque d'ailleurs à terme de devenir une source de revenu importante pour les hébergeurs qui feront payer l'installation d'applications tierces pour pallier les insuffisances notoires de ce type de produit. J'aime beaucoup CMSMS et l'utilise très régulièrement, j'espère que les choix stratégiques opérés pour les développements futurs tiendront compte de ce facteur essentiel.
Sans-doute serait-il intéressant de mettre en place une structure qui autorise les responsables développement de plusieurs projets collaboratifs à travailler ensemble sur les questions de sécurité. Mutualiser les compétences, cela fonctionne plutôt bien non? Pour l'heure la "guéguerre" entre CMS doit bien faire sourire les gens qui en tirent partie en espèces sonnantes et trébuchantes.
Win 10 pro 64 - CMSMS 2.2.19 - grincheux parfois...
Répondre
#1
Lorsque l'on compare les CMS disponibles sur le marché c'est bien souvent en terme d'usabilité pour le débutant. L'interface est-elle intuitive ? L'installation simplifiée au maximum? Grâce à quelques uns qui ont la générosité de s'investir gratuitement nous disposons d'un outil pratique et efficace. Le cahier des charges est donc rempli. Reste un aspect, souvent moins mis en avant mais tout aussi important: la sécurité au sens large de l'application (facilité de mise à jour, fiabilité du code etc...). Je lisais récemment un débutant qui rencontre de nombreux problèmes de failles de sécurité avec Joomla. Il fait l'analyse suivante : les cms dans leur ensemble sont des projets collaboratifs disposant d'un réservoir de compétences important. Ces compétences sont souvent assez disparates :en fonction de son degré de technicité, chacun apporte sa pierre à l'édifice. En face la cybercriminalité dispose de moyens autrement plus conséquents (payer durablement des équipes de développeur de haut-vol par exemple).
Alors bien sûr, la sécurité, la vraie s'entend, cela ne se voit pas, cela n'est donc pas payant en terme d'affichage. Sacrifier ou retarder le développement de fonctionnalités nouvelles pour consolider et sécuriser l'existant devrait être une priorité. Aujourd'hui, pour peu que l'on série un peu l'usage, 99% des CMS du marché proposent des fonctionnalités suffisantes. Que dire de la sécurité de ces applications....Cela risque d'ailleurs à terme de devenir une source de revenu importante pour les hébergeurs qui feront payer l'installation d'applications tierces pour pallier les insuffisances notoires de ce type de produit. J'aime beaucoup CMSMS et l'utilise très régulièrement, j'espère que les choix stratégiques opérés pour les développements futurs tiendront compte de ce facteur essentiel.
Sans-doute serait-il intéressant de mettre en place une structure qui autorise les responsables développement de plusieurs projets collaboratifs à travailler ensemble sur les questions de sécurité. Mutualiser les compétences, cela fonctionne plutôt bien non? Pour l'heure la "guéguerre" entre CMS doit bien faire sourire les gens qui en tirent partie en espèces sonnantes et trébuchantes.
Win 10 pro 64 - CMSMS 2.2.19 - grincheux parfois...
Répondre
#2
L'analyse est bonne mais je la modèrerais sur un point (concernant cmsms, pour les autres je ne sais pas) : oui nous avons affaire à des bénévoles avec tout ce que cela implique, mais l'Open source est un gain important pour la sécurité car n'importe qui peut vérifier le code, de plus de ce que j'ai connus, il y a eu très peu de faille dans cmsms et toutes sont corrigées très très rapidement.

le vrai problème de manière général n'est pas de savoir si Joomla, cmsms, ou un phpbb est bourré de faille, c'est surtout de savoir combien de temps mettent les utilisateurs à se mettre à jour Wink

autrement dit le problème comme bien des fois se situe dans l'interface chaise/PC
Répondre
#2
L'analyse est bonne mais je la modèrerais sur un point (concernant cmsms, pour les autres je ne sais pas) : oui nous avons affaire à des bénévoles avec tout ce que cela implique, mais l'Open source est un gain important pour la sécurité car n'importe qui peut vérifier le code, de plus de ce que j'ai connus, il y a eu très peu de faille dans cmsms et toutes sont corrigées très très rapidement.

le vrai problème de manière général n'est pas de savoir si Joomla, cmsms, ou un phpbb est bourré de faille, c'est surtout de savoir combien de temps mettent les utilisateurs à se mettre à jour Wink

autrement dit le problème comme bien des fois se situe dans l'interface chaise/PC
Répondre
#3
Joomla étant plus utilisé, il reste logique qu'il fasse l'objet d'attaques plus ciblées et plus nombreuses. CMSMS est effectivement rapidement mis à jour en fonction des failles de sécurité découvertes au demeurant peu nombreuses. Pour la question de l'open Source, je serais moins optimiste. Une fois encore tout le monde dispose du code, pirates compris. C'est un peu moins vrai sur des systèmes propriétaires ou il faut un délai minimum au pirate pour obtenir les sources. C'est un vieux débat et j'entends bien vos arguments.
La question du "positionnement" de ces outils reste cruciale. A qui sont-ils destinés ? Des développeurs ayant de sérieuses compétences serveur/sécurité. J'ai quelques doutes ici... Et pointer du doigt l'interface chaise/PC n'est peut être pas la meilleure façon d'aborder le problème. Un rapide parcours de forums voisins montre combien des webmasters déjà expérimentés peuvent être désarmés face à ces problèmes de sécurité. Un CMS est un objet techniquement complexe (plusieurs milliers de ligne de code, que celui qui n'a jamais cherché où était repêchée telle ou telle variable me jette la première pierre), il me semble illusoire de vouloir en assurer la sécurité en la faisant reposer sur de bonnes pratiques supposées côté utilisateur...Joomla voit aujourd'hui beaucoup de ses adeptes déserter à cause d'une politique de ce type. Bref je ne disais rien d'autre que : "consolidons les fondations déjà saines avant de construire un nouvel étage". Les équipes de développeurs qui orienteront leurs choix en ce sens verront leurs efforts récompensés à terme....à mon humble avis!
Win 10 pro 64 - CMSMS 2.2.19 - grincheux parfois...
Répondre
#3
Joomla étant plus utilisé, il reste logique qu'il fasse l'objet d'attaques plus ciblées et plus nombreuses. CMSMS est effectivement rapidement mis à jour en fonction des failles de sécurité découvertes au demeurant peu nombreuses. Pour la question de l'open Source, je serais moins optimiste. Une fois encore tout le monde dispose du code, pirates compris. C'est un peu moins vrai sur des systèmes propriétaires ou il faut un délai minimum au pirate pour obtenir les sources. C'est un vieux débat et j'entends bien vos arguments.
La question du "positionnement" de ces outils reste cruciale. A qui sont-ils destinés ? Des développeurs ayant de sérieuses compétences serveur/sécurité. J'ai quelques doutes ici... Et pointer du doigt l'interface chaise/PC n'est peut être pas la meilleure façon d'aborder le problème. Un rapide parcours de forums voisins montre combien des webmasters déjà expérimentés peuvent être désarmés face à ces problèmes de sécurité. Un CMS est un objet techniquement complexe (plusieurs milliers de ligne de code, que celui qui n'a jamais cherché où était repêchée telle ou telle variable me jette la première pierre), il me semble illusoire de vouloir en assurer la sécurité en la faisant reposer sur de bonnes pratiques supposées côté utilisateur...Joomla voit aujourd'hui beaucoup de ses adeptes déserter à cause d'une politique de ce type. Bref je ne disais rien d'autre que : "consolidons les fondations déjà saines avant de construire un nouvel étage". Les équipes de développeurs qui orienteront leurs choix en ce sens verront leurs efforts récompensés à terme....à mon humble avis!
Win 10 pro 64 - CMSMS 2.2.19 - grincheux parfois...
Répondre
#4
Vu déjà ici, le nombre de messages qui n'ont pas leur version CMS à jour !
Il y a comme un manque ...
J-C Etiemble v 2.2.xx
Répondre
#4
Vu déjà ici, le nombre de messages qui n'ont pas leur version CMS à jour !
Il y a comme un manque ...
J-C Etiemble v 2.2.xx
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)