Klassische Bananensoftware - die reift beim Kunden
Warum soll denn diese Software aktualisiert werden?
Aus Sicherheitsgründen und wegen zusätzlicher Features…
Software ist halt eigentlich NIE fertig
Ok. Wenn die Software schon vorhanden ist kann sie ja installiert werden.
Meine persönliche Meinung zu Emojis…eine Erweiterung dafür ist unnötig.
Ich weiss nicht was in Sachen Sicherheit notwendig ist.
Und was für Features sollen integriert werden?
Hauptsache CA wird jetzt nicht noch jeden Tag genervt das die Community-software hier und da mit sinnlosen Sachen, wie, Schriftarten etc. Aufgepumpt werden soll.
Nein, keine Sorge! Das ist alles inkludiert in dem Update. Das Ganze gibt es auch nichtg allzu oft (1-2 Mal im jahr denke ich!). Es gehr hier nicht vorrangig um den aufgezählten “Spielkram” von Dir, Thorben.
Einfach fix ein Backup machen, Software updaten und schon läuft das ganze wieder. Der Aufwand sollte geschätzt unter 2 Stunden sein (muss halt nur wer machen )!
Wir haben das Updaten auf dem Schirm – aus Erfahrung mit Discourse entsteht durch das Update immer eine Menge Arbeit, bis alles wieder so läuft wie man es will. Und alle eigenen Anpassungen wieder so aussehen, wie man das will.
Sobald wir updaten, wechseln wir auf den Stable Path.
Hat das Auswirkungen auf meinen Homee?
Gruss Thorben
Ne, das ist die Software, auf der die Community hier basiert.
Das durch das Updaten eine Menge Arbeit entseht war mir nicht bewusst. Ist der Umfang der eigenen Anpassuungen so hoch, Timo?
Aber gut zu wissen, dass ihr das update auf dem Schirm habt
War es auch schon vor meinem Beitrag auf dem Schirn?
Gestern war das Forum über 3 Stunden down. Dachte schon es gibt ein Update. Aber dem war wohl leider nicht so
Das Thema ist nun einen Monat alt. Die Sicherheitsprobleme / Lücken existieren weiterhin! Wann plant ihr denn das Update, @Timo?
In der Kalenderwoche 21 startet die Beta für Version 2.19 und damit seid ihr wahrscheinlich in einer heißen Phase (genau wie nach dem stable-Release), oder?
Mein Vorschlag wäre also, das Thema in der nächsten Woche (KW20); also ab 14.05. 2018 anzugehen…
Welche Sicherheitslücken gibt es denn?
SECURITY CHANGES
- Don’t pass email backup token to sidekiq as a parameter.
- Any group can be invited into a PM.
- Prevent staged accounts from changing email
- Signup without verified email using Google auth
- Verify that inviter can invite new user to a topics
- Fix XSS on unsubscribed page.
- Update Nokogiri.
- Prevent users from updating to blacklisted email domains
- Only publish PM reply messagebus notifications to allowed users
- Do not include links from whispers in topic summary map
- Do not show latest/top topics on 404 for login_required sites
- Remove disposable invite feature
- Theme key should be an anon cache breaker
- Vunerability in mail gem
Letzte Woche (planmäßig am 31.05.2018), wurde die finale Version 2.0 von Discourse veröffentlicht.
Siehe hier: https://blog.discourse.org/2018/05/discourse-2-0-released/
Nun steht dem Update nichts mehr im Wege…
Der Vollständigkeit halber hier die komplette Changelog der Version 2.0:
In der Version 2.0 gibt es auch wieder einige “SECURITY CHANGES”:
- Remove alert dialog from local dates
- Prevent XSS when showing diffs
- Do not show private topic title on /unsubscribed page
- Escape HTML entities from topic title
- Do not disclose topic titles on /unsubscribed page to unauthorized users
- Santize tags when creating new topic via URL
- Don’t expose development route in production.
- Oneboxer should escape the URL before processing
- Sanitize topic title when staff is viewing a user’s past flagged posts and deleted topics
- Ensure users have permission when moving categories
- Don’t onebox whispers
- Correct local onebox category checks
- Prevent robots from indexing more routes
- Email domain whitelist could be bypassed
Vielen Dank für das Verlinken auf die News, @Patrik
Damit sollte das Thema hier nächste Woche einen Haken bekommen…
VIelen Dank fürs Updaten!