Ezt ugyan mire alapozod? Kinek a statisztikája szerint?
Te személy szerint hány feltört vBulletinről tudsz?
Csak a pontosítás kedvéért kérdezem.
Vagy ez is olyan, hogy Pistike mondta Gézukának, aki a Vicus unokaöccsétől tudja?

Ez itt a reklám helye?
Ha az, elég rosszul sikerült hangnemet választani hozzá...

Nem a reklám helye, de ha azt állítja valamiről, hogy rosszabb statisztikával rendelkezik, akkor csak megkérdezhetem, hogy mire alapozza nem?
A hangnem meg olyan, ami egy kérdés hangneme lehet.

Amennyiben nem ezt mondja, hanem azt hogy szerinte az IPB jobb vagy akármilyen, úgy fel sem merül bennem a kérdés, mert az a saját véleménye lenne, amihez szíve joga.

Hogy a további polémiának elejét vegyük, én nem lebecsmérelem az IPB fórummotort, nem szokásom és nem is lenne ildomos ilyet tenni.

Először tisztázzuk, hogy vitapartnernek tartasz, vagy csak minősítgetni jöttél az effajta megnyilvánulással!
Másodszor egyezzünk meg abban, hogy kinek a statisztikáját fogadnánk el hivatkozási alapként?! (CVE,NIST,US-CERT,Secunia,SecurityFocus...stb.?) Harmadszor pedig egyezzünk meg abban, hogy a legújabb veriószámú termékekkel foglalkozunk [major szekciót vesszük alapul, a minor és egyéb build, revision változásokat nem]! (vBulletin 3.x és IPB 2.x)
Én állításaimat Secunia statisztikája alapján írtam:
vBulletin 3.x
Invision Power Board 2.x

Ezt nem csak a pontosítás kedvéért kérdezted, hanem mert sértve érezted magad, mert egy általad favoritált termékről kiderült, hogy van nála jobb. Terméktámogatási vezetőként én a helyedben megpróbálnék emberi hangnemben fellépni azokkal szemben, akik nem értenek egyet veled és nem ezt a minősíthetetlen stílust választanám mások meggyőzésére. Főleg, hogy ahogy látom Captain_Crash nem a kisujjából szopta az értesüléseit, pillanatok alatt földbe döngölve vele a nagy mellényed, amivel nekirontottál.

Captain Crash

Nem ismerlek és ezért nem is, minősítelek. Azokat sem minősítem akiket ismerek. (hacsak nem pozitív a véleményem)
Mindenki saját magát minősíti, a megnyilvánulásaival, tehát azt is tisztázzuk, hogy te ragaszkodsz a te véleményedhez én meg az enyémhez, akár vitatkozhatunk is, ha úgy gondolod de, maradjunk meg kulturált embereknek, ha úgy kívánod vitapartnereknek.
Ezért javasolnám zárjuk ki az érzelmi részét a hozzászólásokból.
Nem effajta vagy affajta megnyilvánulásról van szó, hanem kérdeztem, és te válaszoltál.
Érdekesnek tűnik az általad linkelt statisztika. Igen a legújabbakkal foglakozzunk, ami nem IPB 2.x vB 3.x hanem IPB 2.1.x vB pedig 3.5.x.
Akkor kezdjük a tényeket:
IPB 2.1.0; 2.1.1; 2.1.2; 2.1.3; 2.1.4 + a 2.1.4 re is jött javítás ez, ha jól számolom 5 kiadás + 1 fix
vB 3.5.0: 3.5.1, 3.5.2, 3.5.3. ez Összesen négy kiadás az új változatokból

Vegyük úgy, hogy az alapot levonjuk és a többi mind biztonsági frissítés, akkor kimondhatjuk, hogy az IPB öt biztonsági hibát volt kénytelen javítani a vB pedig csak hármat.

Ezek tények és nem statisztika, de ha akarod én is, összehozok neked X neves oldalt, aki a vB javára dönti el a mérleget.(statisztikailag) de a tények, most a vB javára billentik a mérleg nyelvét.
Mindkettő javára írnám, azt hogy a biztonsági rés felfedezése után maximum 1-2 nap elteltével mindkettő kiadja a biztonsági javítását

Csaba_20

Köszönöm a hozzászólásod, lehet, hogy az én értékrendemmel van baj de, nem igazán látom mi a minősíthetetlen a hozzászólásomba, és mi lenne neked az emberi?
De te tudod, számomra nem derült ki hogy egy másik termék jobb lenne de, nem is minősítettem eddig az IPB fórummotort, csak megkérdeztem, hogy mire alapozta az állítását.
A mellényről meg csak annyit hogy én veled szemben nem voltam tiszteletlen, ezért kérlek a személyeskedést, mellőzzük.
Ha tényeket tudsz felsorolni, akkor szívesen veszem ezeket, és szívesen válaszolok neked is de, tartsuk itt is a beszélgetést egy civilizált hangnemben, és adjuk meg egymásnak a minimális tiszteletet, ha valakinek itt lett volna oka megsértődni az nem te vagy.
Az érintett pedig kulturált módon válaszolt nekem amit ezúton is köszönök.

Üdv

Vedd úgy! Egy biztonsági statisztikának több tényalapja van, tekintve, hogy kifejezetten a biztonsági sebezhetőségekről szól és nem a minor update-ekről, build-ekről és revision-ökről. Ezenkívül a sebezhetőségekről szóló statisztika részletezi, hogy mely terméknél van partial fix és melynél nincs (az oldalon megtalálod azt is, hogy miként kategorizálja a Secunia ezeket). Valamint a sebezhetőségek is megtalálhatóak, milyen jellegűek a hibák (System access, Security bypass, XSS...stb).

Amit te tényként leírtál az csak annyi, hogy az egyik minor verzióból újabb build, vagy átdolgozás jelent meg.

Kérlek hozz össze pár neves oldalt! Lehetőleg ezúttal biztonsági sebezhetőségek terén és ne minor update-k terén!
Jah, és persze privátban, mivel ennek a fórumnak nem a terméked támogatása a cél, ha nem tünt volna még fel. Köszi!

ZoltanN: Bár azt írod te tisztelettel viseltetsz irántam és megadod a minimális tiszteletet, de közben megköszönöd azt a hozzászólásom, amit veled szemben tiszteletlennek tartasz. Ne haragudj, de azt kell mondjam ez álszentség és burkolt gúnyolódás. Öntsünk tiszta vizet a pohárba, semmi tiszteletre méltó nem volt az eddigi hozzászólásaidban és nekem nem vagy szimpatikus. Az pedig egyszerűen nevetséges, hogy elvárod mindenkitől, hogy tiszteljen. Ahhoz, hogy valakit tiszteljenek tenni is kell valamit...nem csak kötekedni tudni

Ezeket félre téve, az általad felhozott verziószámos példa közelében se volt a Captain_Crash által belinkelt statisztika minőségének és teljesen irreleváns volt a biztonságosság megítélésének szempontjából. Arról nem is beszélve, hogy világosan felhívta a figyelmed arra, hogy a major szekciót vegyétek alapul, erre te jöttél az egyes frissítésekkel.

Majd akkor fogsz labdába rúgni a Secunia statisztikájával, ha eldobod a csőlátásod és a megfelelő tényekre helyezed a hangsúlyt. Amíg viszont ezt nem teszed meg, addig csak nevetségessé teszed a terméket, amiről pozitív benyomást szeretnél kelteni. A PR dumát pedig nem mindenki nyalja be! Vicces: "Mi csak 3 frissítést adtunk ki, a konkurens meg 10-et! Ezért a mienk jobb. Igaz, hogy a 3 frissítésben mi 10 hibát javítottunk, ők meg összesen 3-at, de ez lényegtelen, mert mi csak 3 frissítést adtunk ki."

Tisztelt admin

Elnézésed szeretném kérni az ide nem illő hozzászólásaimért ez az utolsó, többet nem teszem, szíves megértésed köszönöm.
Az oldal jó erre is szavaztam és máskor is látogatni, fogom.

Captain Crash

Amennyiben megbántottalak úgy elnézésed, kérem, nem állt szándékomban. Szívesen folytatnám az értelmes vitát, de nem itt mert ez a téma (topic) nem az IPB vs vBulletin vitáról szól hanem arról hogy ”Hogy tetszik az oldal?” erre is lehetet szavazni. Off topicként még csak annyit hogy ezeket nem nevezném minor updatenek amikor majdnem minden fájl érintett, nézd meg a változtatások naplóját mindkét oldalon. Még egyszer a statisztika a 2.x vb 3.x a jelenlegi verziők pedig 2.1.x vs 3.5.x
Még egyszer elnézésed, ha megbántottalak nem volt szándékos. Igazán értelmes vitapartner voltál.

Csaba_20
Neked nem tudok mit mondani, hogy én szimpatikus vagyok vagy sem az igazán szubjektív dolog kinek igen kinek nem, embere válogatja.
Azért köszöntem meg a hozzászólásod, mert gyerekkoromban arra tanítottak, hogy tiszteljem az embertársaim, még akkor is ha nem értek velük egyet.
Kötekedni meg veled nem kötekedtem, te szóltál, hozzám én meg megkértelek, hogy ha lehet, ne személyeskedjünk, én most is tartom magam ehhez.

A kezdeti melldöngetésből milyen szép visszafogott diplomatikus szöveg lett. Rájöttél arra, hogy te egy cég nevében kommunikálsz? Ideje volt...
Azt meg végképp nem állítottam, hogy velem kötekedtél volna. De a folyamatos ferdítéseid nem tudnak már érdekelni, csak a termék reklámozását fejezd szerintem itt be.

Ha nem állt volna szándékodban, akkor nem jöttél volna Pistikével, meg Vicussal, ezzel próbálva degradálni a kijelentésem, a "te hány feltört" szoftverről tudsz szintre. Mindenesetre máskor inkább rejtsd véka alá az érzelmeid, akkor nem lesz ekkora meglepetés, ha belefutsz egy megalapozott érvelésbe.



Én felajánlottam a privát üzenetet, továbbra is fennáll a lehetőség. Elismerem, nincs akkora színtér, nem látja más, csak én, tehát vagy beéred ennyivel, vagy folytatod máshol a terméktámogatást.



Az általad felsoroltak a minor verzió build-jei, vagy revision-jei voltak. Az egy külön kérés volt, hogy ne minor update szinten folytasd. De mégegyszer elmondom, a biztonsági sebezhetőségekről és nem minor update-ről, vagy buildekről és revision-ökről szólt a statisztika.



Nem sikerült megbántanod, úgyhogy nincs miért mentegetőznöd.

Hát privátot azóta sem kaptam, valószínüleg úgy már nem fontos, ha nincsen közönség, ami előtt lehetne a terméket támogatni, így hát részemről a vitát lezártnak tekintem.

Egyfelől mindkét oldal állításaiban volt szerencsém pontatlanságot találni, úgy gondolom, Captain Crash esetében a 3.0.x és a 3.5.x vonal összemosása egy olyan hiba, ami a termék ismeretének hiányából fakad.

Ha mindkét verzió kódját átnézed, viszonylag kevés kód egyezik meg, a templatek jelentős része viszont a két változat között használható, a lehetőségek listája, a kezelés, stb. nagyjából azonos: A felhasználló nem szembesül egy jelentős változással, így érthető a 3.5 mint verziószám. Nem véletlen, hogy nem 3.1 vagy 3.2 jött ki.

Hasonló módon megkérdőjelezhető, hogy egy hibával mikor érdemes foglalkozni? Nem mindegy, hogy a hiba az alapértelmezés szerinti telepítés része, vagy esetleg egy 3rd party plugin kapcsán jelenik meg, mi kell a hiba esetleges kihasznállásához, stb.

Sajnos tény az, hogy egy rendszer összetettségének növekedése a hibák számának növekedésével is együtt jár a legtüöbb esetben. Egy a WYSIWYG szerkesztésnek, az AJAXnak, stb. ára van, több a hibalehetőség, és könnyű találni olyan hbát ami X plugin telepítése után, Y template mellett, ha két opciót bekapcsolsz...

Ugyanakor egy termékhez támogatást nyújtó cégtől elvárom, hogy legyen tisztában azzal, hogy 1 patch nem feltétlenül 1 hibát javít

Azt pedig mindenki döntse el, hogy neki milyen szolgáltatásokra van szüksége, nekem számos olyanra is szükségem van amit az invision egyszerűen nem tud, sok olyanra amihez ezt módosítgatni kellene drasztikusan (ez sok hibalehetőséget teremtene) a vBulletin viszont tudja.

Biztonság szempontból egyik sem jelent igazán kritikus problémát.

No, akkor egy kicsit negatívabb hozzászólás elsősorban ZoltanN válaszára várva a kérdésben: Szép meg jó, hogy az értékesítéssel, támogatással foglalkoztok, de lehetne ezt csinálni sok szempontból elegánsan is.

Nagyon sok esetben fontos, hogy a fórum ne csak 1 nyelvet tudjon, ti csak MAGYAR nyelvű csomagot osztotok meg, angol nyelvi filet külön nem, ellenben a magyar nyelvi filet nem lehet megosztani, sem külön (meglévő angol licence mellé) megvásárolni.

Az eredeti regisztráció nem csak az angol nyelv támogatása miatt érték, hanem azért is, mert ott pl. fejlesztőkkel is tudsz beszélni, a 3.5 RCk kapcsán volt olyan, hogy másnapra jött a fix egy problémára. Nem hiszem, ha még egy kézen átmegy, oda vissza, akkor ez a sebesség tartható, ha pedig nem gondoltok a többnyelvű fórumokra akkor gond van.

Megmondom őszintén a smiley-re kitalált pofi fordítás, stb. is szokatlan, és nyilván lehet találni más apró gondokat is. Amit itt láttam, sok szempontból inkorrekt megnyilvánulás (patchek száma vs hibák száma) az előbb említett kérdések, stb. miatt nem szívesen függenék support szempontból ettől a disztribútortól.

TheElf: Biztosan igazad van és valószínüleg mindenki más téved, még a Secunia is, amikor nem veszi figyelembe a minor update-eket. (Hát még a build és revision változásokat.) Ne haragudj, de az hibázik, aki minor és egyéb alsóbb verziószám változásokból próbál biztonsági statisztikát varázsolni!

Captain Crash: A 3.5 nem minor update. Hogy ki és hogyan számozza a verzóit az mindenkinek magánügye, de minor updatenek hívni azt amikor a kódnak kb 90%a biztosan változott akkor is erős túlzás, ha a verziószámnak csak sokadik számjegye nőtt volna eggyel.

Miért? Mert teljesen különböző kód, teljesen különböző hibalehetőségekkel. Pont arról van szó, hogy a 3.5 nem minor update, mert alapvetően máshogy működik mint a 3.0 szinte minden szempontból.

Azért nem 4.0 mert nem kell újra tanulni a használatát is.

De:
Teljesen új plugin rendszer
Teljesen új mód az adattárolásra
Teljesen új attachment kezelés
Az eddigiekkel szemben objektum orientált felépítés (szinte mindenhol, eddig szinte sehol nem volt az)
AJAX támogatás miatt gyakorlatilag az összes hozzászólásokkal, azok szerkesztésével, moderálással kapcsolatos funkció működése megváltozott.

Soroljam még mi változott? A look & feel maradt, a design maradt, és egy két tábla maradt. Érdemben mindenütt másutt teljesen újraírták. Ez kérlek szépen nem minor update kategória.

A linux kernel esetében 2.0 és a majd esetleg lesz 3.0 között mindent minor updatenek tekintesz? Pedig sok tekintetben közel sem annyira teljes az újraírás mint a vbulletin esetében.

Ha nem látod miről beszélsz ne akarj okosabb lenni annál aki megtehette, hogy összehasonlítsa a két kódot

TheElf: Biztosan igazad van...Secunia is elmehet a francba...lószart se tudnak hozzád képest.

Captain Crash:

Tisztázzunk valamit, felőlem személyeskedhetsz, előadhatod a te vagy a mindent tudó akárkicsida esetet, nem érdekel, egy csepet sem.

Az érdekel, hogy a két kód között gyakorlatilag a fileok elején a kommentek egyes sorai közösek.

Hogy mi a kis verzió váltás, mi a teljes újraírás azt leginkább a kód összehasonlításával lehet megmondani, bármilyen nagytekintélyű komoly intézmény vagy, nem fogod tudni az összes software verzióváltásait végigkövetni, hogy hol mi változott, ha a forrás elérhető még csak-csak de amúgy elég nehéz.

2 különböző kód van: Előfordulhat olyan, hogy csak a régi a hibás, hogy csak az új a hibás, és olyan, hogy mindkettő hibás: Mindjárt két sechole, mert két különböző PHP scriptet érint.

Ugyanakkor olyan nem fordulhat elő, hogy 1 vbulletin példányban mindkét hiba benne legyen. Miért? Mert teljesen különböző a program.

Ha azt mondod az Invision azért jobb, mert kicsit kevesebb hiba ven benne, mint 2 másik teljesen különböző jóval összetettebb megoldásban és azok extra funkcióiban... Na az nem érv.

VAGY képes vagy felfogni, hogy két különböző kódban két különböző hiba van, míg minor updatenél mivel a kód nagyobb részt azonos, sen,kinek sincs kedve az összes alverziót végignézni, vagy levonom a következtetést:

Fölsöleges veled szemben bármi érvet, tényt felhozni, úgyis azt hiszed csak neked lehet igazad, olyan kérdésben is amiben teljesen tájékozatlan vagy a tények ismeretében. Ennek megfelelő súllyal kell kezelni nyilván azt, ha hozzászólsz.

Sajnálom, hogy az bánt, hogy a Secunia biztonsági statisztikája lehúzza a vBulletin-t, a kedvencedet. És sajnálom, hogy szerinted a Jelsoft Enterprises Ltd.-nél nem tudják, hogy a major és minor update között mi a különbség. De ha ezeket tényleg így gondolod, akkor fordulj a Secunia-hoz, és mondd meg nekik, hogy ne major update-eket vegyenek figyelembe, mert szerinted a vBulletin-nél nem úgy van ám az a verziószámozás, ahogy van, és mondd meg nekik, hogy akkor is jobb a vBulletin, hogyha annyival több, nagyobb fenyegetettséget jelentő hibát is tartalmaz...

Captain Crash: A Secunia összesíti a jelentéseket nem feltétlenül adott a lehetőségük, hogy azonosítsák, mi a minor és mi a major update, feltehetőleg ha valaki megmutatná a két kódot nekik, akkor hamar észrevennék, nem azonos a két kód. Ettől még nincs értelme külön statisztikát vezetni, ilyen kérdésben vizsgálódni, egyszerűen azért, mert akit érint tudja mit használ, utána tud nézni, és ez a fő cél.

Megjegyzem: A gyakorlatban nem az határozza meg, hogy a vBulletin 3.5 mennyire biztonságos, hogy a secunia hozzászámolja-e a 3.0 hibáit vagy sem: Ha az a kód amiben a hiba van egyáltalán nem szerepel a 3.5ben akkor teljesen lényegtelen ki és hova számolja, nem érint téged.

Mind akkor, ha beszerzel egy terméket, mind akkor, amikor használsz és frissítened kell, stb. NEKED kell utánanézni, hogy a különböző helyeken megjelent hibák közül mi vonatkozik rád, mi jelent valós kockázatot. A Secunia, és társai elsősorban ehhez nyújtanak segítséget, ez a segítség akkor ér valamit, ha képes vagy áttekinteni, mi és mikor érint téged, hogy tudod a biztonsági kockázatokat minimalizálni.

Elvárom mindenkitől aki ilyen helyzetben döntést készít elő, vagy aki az adott fórumok biztonságáért felel, hogy legyen tisztában azzal mit is használ, mi van a kódban, stb.

Megjegyzem: vBulletin kapcsán két 3rd party plugint is leszedtem, mert viszonylag gyorsan találtam bennük SQL injection vulnerabilityt.

Viszont ezt a fórumot itt érdemes frissíteni: Invision Power Board 2.1.5 SQL injection vulnerabilityre példa BugTraqon: http://www.victem.com/forum/index.php?showtopic=[anytopic]&pid=1&st=-1[sql]

(Mondjuk enyémen sincsenek fenn a friss patchek.... pedig az is kellene, csak munka mellett nincs rá idő)

Én azt mondom, hogy minor verziószámokból (egyáltalán verziószámokból) biztonsági elemzést csinálni eredendően hibás hozzáállás. A Secunia-nak van egy major kód alapján készített statisztikája (nem véletlen), nem gizike meg gőzeke nénitől szoptam, ahogy azt Zoltánka elképzelte. Ezenkívül jópár US-Cert,NIST és egyéb nagyobb, biztonsággal foglalkozó cég is jegyzi a biztosági sebezhetőségeket a termékekben, meg lehet nézni...mert ha biztonsági sebezhetőségekről beszélgetünk, akkor ne minor verziószámokról szóljon a vita, hogy szerinted mennyire változott és hogy az nem is minor, hanem major update...ezt szerintem el tudják dönteni a Jelsoft Enterprises Ltd.-nél a felelős emberek.

Mellesleg én még nem nevezném SQL injection vulnerability-nek amit mondtál...várjuk csak ki a végét!

Captain Crash: Secunia adatot gyűjt, statisztikát készít, nem vizsgállja a két kód mennyiben azonos.

A 3.0 és a 3.5 nem azonos.
Ellenben a hasonló feature list, a hasonló megjelenés, stb. kapcsán nem lenne célszerű 4.0nak hívni.

Tudod, aki eldönti, hogy mi a 3.0, a 3.5 és a 4.0 az nem a fejlesztéssel foglalkozó, kódot ismerő szakember a legtöbb esetben, hanem minimum egy csapat, amiben komoly szerepe van az olyan marketing managereknek akik életciklus görbékkel, BCG ábrákkal, SWOT elemzésekkel, stb. jönnek, és mivel rajtuk múlik, mit hogyan fogsz eladni többnyire az ő véleményük nagyobb súllyal szerepel a döntésben mint bármilyen fejlesztőé.

A rendszer teljes újraírása informatikai szempontból nem minor update azért. A marketingesnek meg magyarázd meg, amikor ő azt mondja a BCG ábrán ez még sztár, legyen fejőstehén és majd akkor kell új nagyverzió, őt nem érdekli, hogy mi változott a kódba, neki a grafikonja megmondja. meg különben is... nem mindegy mit akarsz kommunikálni, pl. folytonosságot vagy újdonságot.

3.0-ról 3.5re váltani nagyon nem ugyanaz mint 3.0ról 3.1re vagy 3.2re...

Megjegyzem, 3.5 korai bétáinak a hibái is belekerültek ám ilyen statisztikákba, stb. (több nyilvános béta verzió, utána RCk, utána Gold ahogy ezt nagy verzióváltásnál szokták)

Amúgy 3.5-öt (gold óta) 3 vulnerability érinti a secunian felsoroltakból:

Mindegyik azokban az ellenőrző függvényekben van amik működését nem változtatták meg, maximum az új verziókhoz igazították (már 2.x is érintett bennük) egyik ráadásul egy PHP bug miatt jelent meg

Egyik esetben a feltöltött valós képfileba kerülhet trükkösen HTML / script. A másik az email ellenőrzés nem ellenőrizte nem kerül-e az emailbe HTML elem... A harmadik: A calendarnál a title nem volt jól ellenőrizve.

Sajnos mind3 olyan, ami hiába kódolnak mindent újra, ha a régiből indulnak ki benne marad a bug ha a régiből indulnak ki helyezet