Päivityksen 3.2.1 tietoja, sekä tietoturvan parannuksia
- Kharadus
-
Aiheen kirjoittaja
- Vieras
-
18.12.2013 09:18 #6218
: Kharadus
Kharadus loi aiheen: Päivityksen 3.2.1 tietoja, sekä tietoturvan parannuksia
Päivityksen 3.2.1 tietoja, sekä tietoturvan parannuksia
Loman lähestyessä ovat Joomla-tonttumme työskennelleet yötä päivää. Jos et jo tiedä, on Joomlan versio 3.2 täynnä uusia ominaisuuksia, joista yhdessä on valitettavasti huomattava ongelma, jota ei havaittu ajoissa julkaisua edeltävässä testaamisessa. Loppupään versioiden kehityksessä syys- ja lokakuun aikana oli alpha, beta ja julkaisukandidaatteja, joita Joomlan yhteisön jäsenet testasivat taukoamatta löytääkseen mahdolliset ongelmat. Yksi kuitenkin pääsi livahtamaan ohi tarkkaavaisilta silmiltä, ja se olikin harmillisen hankala tapaus, estäen joidenkin käyttäjien käyttöoikeudet sivustoonsa ilman minkäänlaista helppoa ratkaisua oikeuksien palauttamiseksi.
Osallistujien suurin päänvaiva on ollut valita, miten lähteä korjaamaan tilannetta. Tämä ei ole vain bugi, joka voitaisiin korjaustiedostolla helposti hoitaa. Ongelmaan ei ole yksittäistä ”oikeaa ratkaisua”. Toimivat ratkaisut vaativat joitakin seuraavista toimenpiteistä:
a. hajottaa taaksepäin yhteensopivuus, mikä tarkoittaisi siirtymistä Joomlan versioon 4.0, joka tarjoaisi muita uusia ominaisuuksia, jotka myös rikkoisivat taaksepäin yhteensopivuuden, jonka kehittäjät haluaisivat mieluusti säilyttää, jos pyrimme siirtymään uuteen pääversioon (tämä johtaisi myös käyttäjien hämmentymiseen heidän odottaessaan LTS-versiota joka olisi numeroltaan J!3.5 tai J4.5);
b. pakottaa palvelimesi PHP-version korotukseen, joka rikkoisi painalluspäivitykset joillakin sivustoilla, ja rajoittaisi kykyä levittää uusia, muihin asioihin liittyviä tietoturvapäivityksiä, tai
c. ottaa käyttöön heikompi tietoturvan taso salasanojen suojaamiselle, joka jättäisi käyttäjän suunnilleen J1.5 ja 2.5-tasoiseen suojaukseen, joka on varsin surullinen tilanne nykypäivänä.
Näistä vaihtoehdoista yksikään ei ole järin erinomainen, ja PLT (Production Leadership Team, tuotannonjohtoryhmä) on paininut ongelman kanssa jo tovin. Mitä ensin luultiin vain sarjaksi päivityksiä, on paisunut suuremmaksi ongelmaksi, joka käsittää joukon päätöksiä ja yhteisön valistamista, jota kukaan ei osannut odottaa.
Hyvänä uutisena ongelmalle on luotu alustava ratkaisusuunnitelma, jota nyt testataan tarkasti. 3.2.1-päivitys peruu joitakin 3.2:n mukana tulleita muutoksia, sekä fiksusti testaa ja muokkaa salasanasuojausta, joka on käytössä. Tämä julkaisu ratkaisee suurimman osan käyttöoikeusongelmista, mutta emme valitettavasti voi automaattisesti palauttaa käyttöoikeuksia käyttäjille, jotka ovat lukittuina PHP-version muutoksen takia.
Alla on joitakin väliaikaisratkaisuja näiden ongelmien välttämiseksi, kunnes 3.2.1 julkaistaan.
Ylläpidän käytössä olevaa Joomla 3.2-sivustoa
Jos olet jo asentanut version 3.2, ja kaikki toimii, ei sinun tarvitse murehtia mistään. Sivustolla ei ole uusia tietoturva-aukkoja 3.2 –päivityksen jälkeen. Älä kuitenkaan ota käyttöön Vahva salasana (Strong Password)-toimintoa, ellet ole testiympäristössä, sekä varmistanut käytössä olevan PHP:n version. Sivustot, joilla on käytössä PHP:n versio 5.3.7 tai uudempia sekä käyttö-, että testipuolella tulevat nauttimaan vahvemmasta tietoturvasta, joka vain paranee 3.2.1:n myötä.
Suunnittelen tällä hetkellä sivustoa Joomla! 3.2:lla
Ja alat olemaan valmis julkaisemaan sivuston. Tässä tilanteessa ovat jotkin käyttäjät törmänneet ongelmaan, jossa he eivät voi kirjautua sivustolle näin estäen sivuston käyttämisen palvelimella, jolla on neljä vuotta vanhaa softaa. He ovat ottaneet käyttöön Vahva salasana (Strong Password) –asetuksen kehitysympäristössä, johtaen ylläpidon ja muiden käyttäjien salasanojen korkean tason kryptaamiseen, mutta sivustoja siirrettäessä palveluntarjoajan ympäristöön, jolla on käytössä hyvin vanha PHP:n versio (5.3.6 ja sitä edeltävät), ei paremmin suojattujen salasanojen tuki ole käytettävissä antamaan heille käyttöoikeuksia. (Salasanan resetointi ei korjaa ongelmaa bugin takia, joka korjaantuu versiossa 3.2.1.)
Jos tilanteesi on tämä, ja voit odottaa versiota 3.2.1 ennen sivuston julkaisua, ei sinulla ole hätää. Vaihtoehtoisesti voit pyytää palveluntarjoajaasi päivittämään palvelimesi PHP:n versioon 5.3.7 ( tai uudempaan). Jos tämäkään ei onnistu, niin ota Vahvat salasanat -asetus pois käytöstä ollessasi vielä sivuston kehityspalvelimella ja luo uusi superkäyttäjäylläpitotili, joka käyttää aiempaa salasanojen kryptaamisen versiota. Voit siirtää sivuston, jolla tämä superkäyttäjä on, vähemmän ajan tasalla olevan palveluntarjoajan palvelimelle. Käyttäjien salasanat, jotka on luotu tai päivitetty Vahvat salasanat-asetuksen ollessa käytössä eivät toimi palvelimella, jonka PHP ei ole ajan tasalla. Ne joudutaan resetoimaan joko ennen sivuston siirtoa, tai uudelleenasettaa muuton jälkeen ylläpitopuolen Käyttäjien hallinnasta.
Sivustoille, joilla Vahvat salasanat -asetus on käytössä, löytyy asetuksen pois käytöstä ottamiseen ohjeet osoitteesta docs.joomla.org/How_to_disable_the_Strong_Passwords_feature .
Käytän tällä hetkellä Joomlan versiota 3.0/3.1 sivustollani
Voit päivittää suoraan versioon 3.2 ja nauttia kaikista uusista ominaisuuksista, jätä vain Vahvat salasanat -asetus koskemattomaksi, kunnes versio 3.2.1 julkaistaan, tai olet varma että PHP -palvelimesi on yllämainittujen vaatimusten tasoinen.
Käytän tällä hetkellä Joomlan versiota 2.5 sivustollani
Hienoa – asia ei koske sinua. Koska versio 2.5 on pitkäaikaistuettu versio, uudet ominaisuudet, kuten tämä koodi, eivät ole vielä osana sitä.
Käytän tällä hetkellä Joomlan versiota 1.5 sivustollani
Varmista, että käyttäjäsi ovat muistaneet päivittään Internet Explorerin versioon 6! (Vitsi vitsinä, mutta eiköhän olisi aika siirtyä nykyaikaan, Joomla 1.5:n tuki lopetettiin joulukuussa 2012, ja suosittelemme painokkaasti käyttäjiämme päivittämään versioon 2.5 tai 3.2). Vaikkei sovellusta enää tueta, ei se toki sivustosi käyttämistä estä.
Koska Joomla 3.2.1 julkaistaan?
Arvauksesi on yhtä hyvä kuin minunkin. Koska reitti on vielä epäselvä, tässä ei voi vain arvioida vapaaehtoisten tarjoamaa tuntityömäärää, että versio saataisiin julkaistua. Hätä ei kuitenkaan ole tämän näköinen, meillä on loistava vapaaehtoisten joukko, jotka työskentelevät hiki hatussa löytääkseen kaikki mahdolliset ongelmat ja ansat, joita näiden ratkaisuiden käyttöönotto saattaisi aiheuttaa, kehittäen ohessa erinomaisia ratkaisuja kaikkien vaihtoehtojen varalle. Valmis versio saattaa olla tarjolla ”pian”, mutta tarkoittaako se ensi viikkoa vai vuoden alkua on vaikea sanoa.
Miten voimme välttää vastaavan tilanteen tulevaisuudessa?
Tarvitsemme yksinkertaisesti enemmän ihmisiä testaamaan ja ilmoittamaan bugeista. Kun kutsu käy beta- ja julkaisukandidaattien julkaisusta, tarvitsemme kipeästi uusia ihmisiä hyppäämään mukaan ja vääntelemään asetuksia uuteen uskoon eri palvelinympäristöissä. Ne, jotka näitä ominaisuuksia kehittävät testaavat ne kyllä puhki omassa kotiympäristössään, mutta tarvitsemme tuoreita silmiä ja palvelimia osaksi testausprosessia.
Tule vapaaehtoiseksi testaamaan! Jos koet pystyväsi auttamaan, liity Google Groupin sähköpostilistaan, jonka kautta ilmoitamme julkaisua edeltävästä testaamisesta. (Tämä on hyvin rajoitetun toiminnan ryhmä, joten postilaatikkosi ei täytä viesteistä) groups.google.com/group/jtesters
Loman lähestyessä ovat Joomla-tonttumme työskennelleet yötä päivää. Jos et jo tiedä, on Joomlan versio 3.2 täynnä uusia ominaisuuksia, joista yhdessä on valitettavasti huomattava ongelma, jota ei havaittu ajoissa julkaisua edeltävässä testaamisessa. Loppupään versioiden kehityksessä syys- ja lokakuun aikana oli alpha, beta ja julkaisukandidaatteja, joita Joomlan yhteisön jäsenet testasivat taukoamatta löytääkseen mahdolliset ongelmat. Yksi kuitenkin pääsi livahtamaan ohi tarkkaavaisilta silmiltä, ja se olikin harmillisen hankala tapaus, estäen joidenkin käyttäjien käyttöoikeudet sivustoonsa ilman minkäänlaista helppoa ratkaisua oikeuksien palauttamiseksi.
Osallistujien suurin päänvaiva on ollut valita, miten lähteä korjaamaan tilannetta. Tämä ei ole vain bugi, joka voitaisiin korjaustiedostolla helposti hoitaa. Ongelmaan ei ole yksittäistä ”oikeaa ratkaisua”. Toimivat ratkaisut vaativat joitakin seuraavista toimenpiteistä:
a. hajottaa taaksepäin yhteensopivuus, mikä tarkoittaisi siirtymistä Joomlan versioon 4.0, joka tarjoaisi muita uusia ominaisuuksia, jotka myös rikkoisivat taaksepäin yhteensopivuuden, jonka kehittäjät haluaisivat mieluusti säilyttää, jos pyrimme siirtymään uuteen pääversioon (tämä johtaisi myös käyttäjien hämmentymiseen heidän odottaessaan LTS-versiota joka olisi numeroltaan J!3.5 tai J4.5);
b. pakottaa palvelimesi PHP-version korotukseen, joka rikkoisi painalluspäivitykset joillakin sivustoilla, ja rajoittaisi kykyä levittää uusia, muihin asioihin liittyviä tietoturvapäivityksiä, tai
c. ottaa käyttöön heikompi tietoturvan taso salasanojen suojaamiselle, joka jättäisi käyttäjän suunnilleen J1.5 ja 2.5-tasoiseen suojaukseen, joka on varsin surullinen tilanne nykypäivänä.
Näistä vaihtoehdoista yksikään ei ole järin erinomainen, ja PLT (Production Leadership Team, tuotannonjohtoryhmä) on paininut ongelman kanssa jo tovin. Mitä ensin luultiin vain sarjaksi päivityksiä, on paisunut suuremmaksi ongelmaksi, joka käsittää joukon päätöksiä ja yhteisön valistamista, jota kukaan ei osannut odottaa.
Hyvänä uutisena ongelmalle on luotu alustava ratkaisusuunnitelma, jota nyt testataan tarkasti. 3.2.1-päivitys peruu joitakin 3.2:n mukana tulleita muutoksia, sekä fiksusti testaa ja muokkaa salasanasuojausta, joka on käytössä. Tämä julkaisu ratkaisee suurimman osan käyttöoikeusongelmista, mutta emme valitettavasti voi automaattisesti palauttaa käyttöoikeuksia käyttäjille, jotka ovat lukittuina PHP-version muutoksen takia.
Alla on joitakin väliaikaisratkaisuja näiden ongelmien välttämiseksi, kunnes 3.2.1 julkaistaan.
Ylläpidän käytössä olevaa Joomla 3.2-sivustoa
Jos olet jo asentanut version 3.2, ja kaikki toimii, ei sinun tarvitse murehtia mistään. Sivustolla ei ole uusia tietoturva-aukkoja 3.2 –päivityksen jälkeen. Älä kuitenkaan ota käyttöön Vahva salasana (Strong Password)-toimintoa, ellet ole testiympäristössä, sekä varmistanut käytössä olevan PHP:n version. Sivustot, joilla on käytössä PHP:n versio 5.3.7 tai uudempia sekä käyttö-, että testipuolella tulevat nauttimaan vahvemmasta tietoturvasta, joka vain paranee 3.2.1:n myötä.
Suunnittelen tällä hetkellä sivustoa Joomla! 3.2:lla
Ja alat olemaan valmis julkaisemaan sivuston. Tässä tilanteessa ovat jotkin käyttäjät törmänneet ongelmaan, jossa he eivät voi kirjautua sivustolle näin estäen sivuston käyttämisen palvelimella, jolla on neljä vuotta vanhaa softaa. He ovat ottaneet käyttöön Vahva salasana (Strong Password) –asetuksen kehitysympäristössä, johtaen ylläpidon ja muiden käyttäjien salasanojen korkean tason kryptaamiseen, mutta sivustoja siirrettäessä palveluntarjoajan ympäristöön, jolla on käytössä hyvin vanha PHP:n versio (5.3.6 ja sitä edeltävät), ei paremmin suojattujen salasanojen tuki ole käytettävissä antamaan heille käyttöoikeuksia. (Salasanan resetointi ei korjaa ongelmaa bugin takia, joka korjaantuu versiossa 3.2.1.)
Jos tilanteesi on tämä, ja voit odottaa versiota 3.2.1 ennen sivuston julkaisua, ei sinulla ole hätää. Vaihtoehtoisesti voit pyytää palveluntarjoajaasi päivittämään palvelimesi PHP:n versioon 5.3.7 ( tai uudempaan). Jos tämäkään ei onnistu, niin ota Vahvat salasanat -asetus pois käytöstä ollessasi vielä sivuston kehityspalvelimella ja luo uusi superkäyttäjäylläpitotili, joka käyttää aiempaa salasanojen kryptaamisen versiota. Voit siirtää sivuston, jolla tämä superkäyttäjä on, vähemmän ajan tasalla olevan palveluntarjoajan palvelimelle. Käyttäjien salasanat, jotka on luotu tai päivitetty Vahvat salasanat-asetuksen ollessa käytössä eivät toimi palvelimella, jonka PHP ei ole ajan tasalla. Ne joudutaan resetoimaan joko ennen sivuston siirtoa, tai uudelleenasettaa muuton jälkeen ylläpitopuolen Käyttäjien hallinnasta.
Sivustoille, joilla Vahvat salasanat -asetus on käytössä, löytyy asetuksen pois käytöstä ottamiseen ohjeet osoitteesta docs.joomla.org/How_to_disable_the_Strong_Passwords_feature .
Käytän tällä hetkellä Joomlan versiota 3.0/3.1 sivustollani
Voit päivittää suoraan versioon 3.2 ja nauttia kaikista uusista ominaisuuksista, jätä vain Vahvat salasanat -asetus koskemattomaksi, kunnes versio 3.2.1 julkaistaan, tai olet varma että PHP -palvelimesi on yllämainittujen vaatimusten tasoinen.
Käytän tällä hetkellä Joomlan versiota 2.5 sivustollani
Hienoa – asia ei koske sinua. Koska versio 2.5 on pitkäaikaistuettu versio, uudet ominaisuudet, kuten tämä koodi, eivät ole vielä osana sitä.
Käytän tällä hetkellä Joomlan versiota 1.5 sivustollani
Varmista, että käyttäjäsi ovat muistaneet päivittään Internet Explorerin versioon 6! (Vitsi vitsinä, mutta eiköhän olisi aika siirtyä nykyaikaan, Joomla 1.5:n tuki lopetettiin joulukuussa 2012, ja suosittelemme painokkaasti käyttäjiämme päivittämään versioon 2.5 tai 3.2). Vaikkei sovellusta enää tueta, ei se toki sivustosi käyttämistä estä.
Koska Joomla 3.2.1 julkaistaan?
Arvauksesi on yhtä hyvä kuin minunkin. Koska reitti on vielä epäselvä, tässä ei voi vain arvioida vapaaehtoisten tarjoamaa tuntityömäärää, että versio saataisiin julkaistua. Hätä ei kuitenkaan ole tämän näköinen, meillä on loistava vapaaehtoisten joukko, jotka työskentelevät hiki hatussa löytääkseen kaikki mahdolliset ongelmat ja ansat, joita näiden ratkaisuiden käyttöönotto saattaisi aiheuttaa, kehittäen ohessa erinomaisia ratkaisuja kaikkien vaihtoehtojen varalle. Valmis versio saattaa olla tarjolla ”pian”, mutta tarkoittaako se ensi viikkoa vai vuoden alkua on vaikea sanoa.
Miten voimme välttää vastaavan tilanteen tulevaisuudessa?
Tarvitsemme yksinkertaisesti enemmän ihmisiä testaamaan ja ilmoittamaan bugeista. Kun kutsu käy beta- ja julkaisukandidaattien julkaisusta, tarvitsemme kipeästi uusia ihmisiä hyppäämään mukaan ja vääntelemään asetuksia uuteen uskoon eri palvelinympäristöissä. Ne, jotka näitä ominaisuuksia kehittävät testaavat ne kyllä puhki omassa kotiympäristössään, mutta tarvitsemme tuoreita silmiä ja palvelimia osaksi testausprosessia.
Tule vapaaehtoiseksi testaamaan! Jos koet pystyväsi auttamaan, liity Google Groupin sähköpostilistaan, jonka kautta ilmoitamme julkaisua edeltävästä testaamisesta. (Tämä on hyvin rajoitetun toiminnan ryhmä, joten postilaatikkosi ei täytä viesteistä) groups.google.com/group/jtesters
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
Valvojat: jkwebdesign, Gamoss, JiiKoo
Sivu luotiin ajassa: 0.032 sekuntia