این دیگه چه حفره ایه که تیم توسعه دهنده کیک بهش توجه نکرده !

Prior to this version, the AuthComponent will let non logged-in users into protected action if using a different case for the action name in the url than declared on the controller

متن بالا توی لینک زیر موجود و معتبر هست.
http://bakery.cakephp.org/articles/loren...4_released

آخه وقتی کسانی که لاگین نکردن می تونن وارد یه سایتی که با کیک نوشته شده بشن، چطور می شه به این قریم ورک اعتماد کرد؟

اصلا چرا یه مسئله به این سادگی رو رعایت نمی کنن؟ لطفا در مورد این اتفاق توضیح بدید و اصلا چرا چنین باگی باید وجود داشته باشه !

اینطوری که فریم ورک ساده ای که خودم ساختم و ازش استفاده می کنم از هر فریم ورکی بهتر و ایمن تره !

آقای مقدم کاش یک مقدار اول فکر میکردید رو حرفاتون بعد این چنین نظر می دادید. و چرا چرا راه می انداختید.


شما هر وقت تونستید به چرا های من جواب بدید. امثال من و سایر توسعه دهندگان اصلی هم می تونند.
چرا ویندوز این همه سوراخ و باگ عجیب داره؟
چرا کرنل لینوکس پشت سر هم دارند ازش شل می گیرند؟
چرا وردپرس زمانی که نسخه 3 رو داد بیرون هر روز یک نسخه جدید می داد الان 3.2.1 هست
چرا جوملا این همه هک میشه.

به این ها شما می تونید جواب بدید؟ 100% جواب شما نه هست. آیا به این دلایل نباید اصلا از ویندوز یا لینوکس استفاده کرد؟
یا در مورد جوملا و وردپرس هم همینطور هست.

نقل قول:آخه وقتی کسانی که لاگین نکردن می تونن وارد یه سایتی که با کیک نوشته شده بشن، چطور می شه به این قریم ورک اعتماد کرد؟

اگر کمی شما به صحبت های من توجه کرده بودی و واقعا پیش خودتون با این نتیجه می رسیدید که فریم ورک یک ابزار هست. خیلی راحت این موضوع برای شما حل و فصل میشد.
شاید بپرسید چطور حل و فصل می شد؟؟ به این صورت که نباید هیچ وقت به ابزار ها تون اطمینان داشته باشید. فریم ورک ها اومدن کار شما رو ساده کنند نه اینکه تموم وظایف شما رو به طور احسن و تظمین شده انجام بدن.
کجا دید که یک فریم ورک به شما تظمین داده؟ اصلا چرا هی آپدیت میشند؟

نقل قول:اصلا چرا یه مسئله به این سادگی رو رعایت نمی کنن؟ لطفا در مورد این اتفاق توضیح بدید و اصلا چرا چنین باگی باید وجود داشته باشه !

لازم هست یادآوری کنم که من هیچ کارم که بخواهم توضیح بدم. با اینکه تیم اصلی هم تظمینی نداده اند که بخواهند توضیحی بدهند.
اما به حق باگ مسخره ای هست. البته من موارد مختلفی رو در 2 دیدم و ریپورت دادم یا فیکس کردم. مثلا بحث تمپلیت در 2 بتا که زمانی که از تمپلیت استفاده می کردیم. کاملا قاطی می زد.

اما این مشکل توجیه پذیره البته فقط برای نسخه 2. که این باگ هم فقط در همین نسخه بوده.
در نسخه 2 کیک تغییرات بنیادی رو به خاطر کنار گزاشتن پی اچ پی 4 در هسته داشت. و داره. به همین دلیل یک سری امکانات رو بهش اضافه کردن مثل همین Auth که که حالات مختلفی رو پشتیبانی می کنه . یکی دیگه از امکانات پشتیبانی از حروف بزرگ و کوچیک(different case) در آدرس دهی ها بود. که فکر می کنم در ویرایش 2.0.1 به نتیجه رسیدن که این مدلی رو هم ساپورت کنند.
اگر دقت کنید 2.0.1 تا 2.0.3 خیلی سریع ریلیز شدن. پس زیاد نباید انتظار داشت که چرا این باگ وبجود باید داشته باشه.
همیشه زمان توسعه یک نسخه از این قیبل باگ ها زیاد دیده میشه. نمونه وردپرس رو برید نگاه کنید. که چه باگ هایی که نداشته.

اما یک سوال از همه : چرا عادت دارید فقط مصرف کننده باشید. شما با این افراد که در آدرس زیر هستند چه فرقی دارید؟

نقل قول:http://cakephp.lighthouseapp.com/project...p/overview

مگر شما برنامه نویس نیستید؟ چرا همیشه بدنبال هلو برو تو گلو هستید؟ چرا اصول صحیح که یک برنامه نویس باید رعایت کنه رو رعایت نمی کنید.

ای کسانی که امنیت و سایر موارد دیگر براتون مهم هست.لطفا از گیت استفاده کنید و هر روز مخازن خودتون رو به روز نگه دارید. تا پتچ های(patch) اعمال شده رو در اختییار داشته باشید. و به این بسنده نکنید که هر وقت کیک نسخه جدید گذاشت من برم دانلود کنم. و از همه مهمتر مشارکت داشته باشید. تا خیلی سریع پیشرفت کنید.

هر کسی می خواد بخنده بره هم Issue Tracking کیک رو نگاه کنید و ببینید من چه طوری تیکت زدم. من با تصویر و نمونه کد و کمی هم به کنم مترجم گوگل تیکت میزنم و خیلی راحت با من صحبت می کنند و اهمیت زیادی به موارد گزارش شده میدهند.

نمی خوام خودم رو بزرگ کنم یا خود نمایی کنم. اما این افتخار رو دارم که با مارک و تیم کیک در مسنجر irc , اتاق private کیک مستقیما صحبت می کنم. فکر می کنم می خواد فارسی یاد بگیره از دست من. اما خداییش آنچنان وقتی برای صحبت های من که با زبان بی زبانی دارم بیان می کنم میزاره . که گاهی خودم خجالت می کشم.

این تاپیک بهونه ای شد که به سایر دوستان بگم که از مشارکت کردن در این گونه مباحث با خارجکی ها اصلا نترسید. خیلی راحت جوابتون رو میدن. البته دیگه سوالات چیپ نپرسید.

نقل قول:اینطوری که فریم ورک ساده ای که خودم ساختم و ازش استفاده می کنم از هر فریم ورکی بهتر و ایمن تره !

جناب آقای مقدم، تلاش شما برای ایجاد آرتیمس قابل ستایش هست. تو ایران پی اچ پی هم خواستم تاپیک بزنم. فراموش شد.
تجربه ای خوبی هست براتون. اما چند نکته :
1- 85% از ساختار فریم ورک شما بر گرفته از کیک بود.
2- مورد orm رو که وحید گفت رو جدی بگیرید.
3- قصد جسارت ندارم. اما سریع و رک صحبت می کنم. شما در فریم ورکتون هیچ حرکت خاصی نکرده اید. که اینطور دارید میگید از هر فریم ورک بهتر و ایمن تر.

فکر می کنم وبلاگ خودتون رو هم با همین آرتمیش بالا آورده باشید. من تستش کردم چندین تا Sqlinjection ملس داره. فقط حیف که رو هاستتون mod_secrity نصب هست. و نتونستم ادامه بدم تا دسترسی کامل بگیرم.

حالا سوال چرا اسکیوال اینجکتش دارید؟؟ چرا این موارد رو چک نکردید؟


من 4 تا درس بزرگی که از دیگر برنامه نویسان کار درست گرفته بودم رو اینجا گفتم. امیدوارم بجای ناراحتی از من شما هم این اصول رو رعایت کنید.

نقل قول:جناب آقای مقدم، تلاش شما برای ایجاد آرتیمس قابل ستایش هست. تو ایران پی اچ پی هم خواستم تاپیک بزنم. فراموش شد.

ظاهرا شما من رو با آقای مقدم اشتباه گرفتید ! من تازه می خوام فریم ورکهای اصلی رو یاد بگیرم و بتونم یه فریم ورک اختصاصی برای خودم بسازم. فریم ورکی که ازش صحبت کردم در اصل یه معماری سه لایه و یه روتر ساده بیشتر نیست ولی از اونجا که خودم نوشتمش از خط به خطش اطلاع دارم و می دونم مجا مشکلات ایجاد می شن.

نقل قول:اما به حق باگ مسخره ای هست.

راستش مسخره تر از این نمی شه و از وقتی این موضوع رو دیدم دیگه به سمت زند تمایل پیدا کردم. تا با این کار از باگهای بعدی در امان باشم ! حالا امیدوارم زند پر از باگهای مسخره نباشه !

نقل قول:اما یک سوال از همه : چرا عادت دارید فقط مصرف کننده باشید. شما با این افراد که در آدرس زیر هستند چه فرقی دارید؟

من کلا برای اینکه نگران مسائل امنیتی نباشم تصمیم گرفتم که از فریم ورکها استفاده کنم. چون فکر می کردم اونها دیگه همه مسائل امنیتی رو رعایت می کنن و جای نگرانی نیست! منکه دیگه نمی تونم هسته یه فریم ورک رو هم زیر و رو کنم تا مبادا توش باگی وجود داشته باشه ! اگه بتونم این کار رو کنم، چه دلیلی داره که بخوام از یه فریم ورک استفاده کنم ؟

این اصلا کار من نیست و من فقط می خوام از یه فریم ورک استفاده کنم که کارم طبق استاندارد روز باشه.

نقل قول:چرا ویندوز این همه سوراخ و باگ عجیب داره؟
چرا کرنل لینوکس پشت سر هم دارند ازش شل می گیرند؟
چرا وردپرس زمانی که نسخه 3 رو داد بیرون هر روز یک نسخه جدید می داد الان 3.2.1 هست
چرا جوملا این همه هک میشه.

من هربار گفتم فریم ورک، شما گفتید فریم ورک یه ابزاره و اصلا نباید یه فریم ورک رو با یه CMS مقایسه کرد، حالا شما خودتون دارید یه فریم ورک رو با CMS و دوتا سیستم عامل مقایسه می کنید.
خودتون که بهتر می دونید، وردپرس نزدیک به 17 هزار افزونه داره، آیا فریم ورکها حتی فریم ورک زند که قوی ترین فریم ورک پی اچ پی هست هم همین طوره؟
سیستم عامل لینوکس و ویندوز هم که برای تعداد بسار زیادی سخت افزار و نرم افزار ساخته شدن، ایا فریم ورک ها در حدی هستن که بشه با یه سیستم عامل مقایسشون کرد؟

در کل من بخاطر ایجاد امنیت تصمیم گرفتم که از فریم ورکها استفاده کنم، حالا با این باگ اعتمادم رو به کیک از دست دادم.

نقل قول:من کلا برای اینکه نگران مسائل امنیتی نباشم تصمیم گرفتم که از فریم ورکها استفاده کنم. چون فکر می کردم اونها دیگه همه مسائل امنیتی رو رعایت می کنن و جای نگرانی نیست! منکه دیگه نمی تونم هسته یه فریم ورک رو هم زیر و رو کنم تا مبادا توش باگی وجود داشته باشه ! اگه بتونم این کار رو کنم، چه دلیلی داره که بخوام از یه فریم ورک استفاده کنم ؟

این اصلا کار من نیست و من فقط می خوام از یه فریم ورک استفاده کنم که کارم طبق استاندارد روز باشه.

خودتون هم قبول دارید که فریم ورک رو برای این استفاده می کنید که کارتون طبق استاندارد روز باشه. پس این بالا ترین دلیل شما از استفاده فریم ورک هست.
در اولویت بعدی سرعت و بهینه بودن هست
امنیت در اولویت بعدی هست. امنیت یک ایتم آپشنال هست. و به برنامه نویس مرتبط هست نه به فریم ورک .من وافعا نمی تونم این حرف شما رو قبول کنم که چون منطقی نیست.

نقل قول:من کلا برای اینکه نگران مسائل امنیتی نباشم تصمیم گرفتم که از فریم ورکها استفاده کنم

هیچ فریم ورکی ضامن امنیت اسکریپت شما نیست. فقط راه کارهای رو برای بالا بردن ضریب امنیت در اختیار شما قرار داده اند.اگر برنامه نویس از آنها استفاده نکنه. تکلیف مشخص هست.

نقل قول: منکه دیگه نمی تونم هسته یه فریم ورک رو هم زیر و رو کنم تا مبادا توش باگی وجود داشته باشه ! اگه بتونم این کار رو کنم، چه دلیلی داره که بخوام از یه فریم ورک استفاده کنم ؟

یکی از بزرگترین مزایای استفاده از فریم ورک این هست که تعداد زیادی برنامه نویس به صورت مشترک با فریم ورک ها در حالت مختلف کار می کنند. و اگر مشکلی پیش بیاد یا تشخیص دهند سریع گزارش یا اون باگ رو فیکس می کنند و در اختیار آنها قرار می دهند.
حال این سوال به وجود میاد که : ایا شما به تنهایی با تمامی موارد امنیتی آشنایی دارید؟ و قادید راهکار مناسب برایشون در نظر بگیرید.؟ ایا می توانید حالات های مختلف تست ها رو انجام بدید؟

نقل قول:من هربار گفتم فریم ورک، شما گفتید فریم ورک یه ابزاره و اصلا نباید یه فریم ورک رو با یه CMS مقایسه کرد، حالا شما خودتون دارید یه فریم ورک رو با CMS و دوتا سیستم عامل مقایسه می کنید.
خودتون که بهتر می دونید، وردپرس نزدیک به 17 هزار افزونه داره، آیا فریم ورکها حتی فریم ورک زند که قوی ترین فریم ورک پی اچ پی هست هم همین طوره؟
سیستم عامل لینوکس و ویندوز هم که برای تعداد بسار زیادی سخت افزار و نرم افزار ساخته شدن، ایا فریم ورک ها در حدی هستن که بشه با یه سیستم عامل مقایسشون کرد؟

من هرچه دقت کردم به صحبت هام مقایسه ای انجام ندادم،(فقط کف جمله بندیم موندم ) و برای روشن شدن موضوع چند سوال طرح کردم.
بله بنده فریم ورک ها رو ابزار برنامه نویسی توصیف کردم. اما همین ابزار خودش یک محصول نرم افزاری بحساب میاد.

سی ام اس و سایر موارد ذکر شده هم هر یک به نوعی محصول های نرم افزاری هستند. در ضمن این رو هم در نظر داشته باشید. که بیشتر سی ام اس ها یا سیستم عامل ها دارای یک فریم ورک یا هسته هستند.

در مورد زند هم این رو در نظر داشته باشید که زند یک بیس کلی دارد و چندین کلاس مختلف استاندارد که توسط خود زند ارائه می شوند.اما کلاس ها، کامپوننت های و ... زیادی هم وجود دارند که توسط دیگران ایجاد شده.

نقل قول:در کل من بخاطر ایجاد امنیت تصمیم گرفتم که از فریم ورکها استفاده کنم، حالا با این باگ اعتمادم رو به کیک از دست دادم.

در انتها باز مجدد خدمت شما متذکر میشم که اگر فقط به بخاطر ایجاد امنیت تصمیم به استفاده از فریم ورک دارید. شدیدا در اشتباه هستید. و بهتره مقداری در مورد دلایل فریم ورک ها بیشتر تحقیق کنید.
امید وارم زند هم اعتماد شما رو لکه دار نکنه . از این می ترسم که فردا شما هم به گروهی به پیوندید که به دلیل اشتباهات خودشون شعار مرگ بر فریم ورک سر می دهند.
براتون آرزوی موفقیت و سرفرازی دارم

نقل قول:امید وارم زند هم اعتماد شما رو لکه دار نکنه . از این می ترسم که فردا شما هم به گروهی به پیوندید که به دلیل اشتباهات خودشون شعار مرگ بر فریم ورک سر می دهند.

جدی همچین گروهی هم وجود داره؟

نقل قول:حال این سوال به وجود میاد که : ایا شما به تنهایی با تمامی موارد امنیتی آشنایی دارید؟ و قادید راهکار مناسب برایشون در نظر بگیرید.؟ ایا می توانید حالات های مختلف تست ها رو انجام بدید؟

نمی دونم موارد امنیتی چقدر زیاد هستن و شامل چه مواردی می شن اما حملات معروف رو می شناسم و تقریبا برای همه اونها روش های مقابله رو می شناسم.

نقل قول:حال این سوال به وجود میاد که : ایا شما به تنهایی با تمامی موارد امنیتی آشنایی دارید؟ و قادید راهکار مناسب برایشون در نظر بگیرید.؟ ایا می توانید حالات های مختلف تست ها رو انجام بدید؟

من توی نوشتن سایتهام اولین چیزی که برام مهم بود این بود که کاربرهایی که لاگین نکردن نتونن به جاههای غیر مجاز وب سایت دسترسی پیدا کنن و روی این موضوع خیلی تاکید داشتم. اما وقتی این باگ رو توی کیک دیدم حدس زدم که حتما باگهای دیگه ای هم باید باشه !!!

نقل قول:من هرچه دقت کردم به صحبت هام مقایسه ای انجام ندادم،(فقط کف جمله بندیم موندم Big Grin)

جمله بندیم خوبه یا بد؟

مطمئنید که مقایسه نکردید؟
من سوال کردم که چرا این باگ توی کیک وجود داره و شما هم گفتید مگه توی وردپرس، جوملا، ویندوز و لینوکس باگ نیست؟ شما با این حرف امنیت کیک رو با امنیت وردپرس، جوملا، ویندوز و لینوکس مقایسه کردید دیگه!

نقل قول:جدی همچین گروهی هم وجود داره؟

بله قربان. همین افرادی که به بهانه هایی چون دست برنامه نویس رو میبنده، توسعه اش امکان نداره و الا آخر استفاده از فریم ورک رو بد می دونند.


داشتن دانش یک موضوع هست، به کار گیری اون موضوع دیگریست. سوال من کلی بود و فقط به شما آشاره نمی کرد.
من هم خیلی ها شون رو بلدم و حتی عملی حمله ها رو انجام میدم. ولی وفتی فکر می کنم که اگر قرار بود تمامی این ها رو من چک کنم . در یک پروژه، فکر کنم نیاز به 2ماه تمام کار برروی فقط همین موضوع می کردم. تازه اگر درست و بهینه انجام بدمش. پس منی که دارم کار تجاری انجام می دم واسم به صرفه نیست.


خوب این کار که باید در همه اسکریپت ها رعایت بشه. شکی نیست.
نمی دونم چرا یک باگ این حس رو براتون ایجاد کرده. اولا مگر میشه سیستمی ،محصولی ... بی عیب و نقص باشه. بله اگر این باگ از ورژن 1.3 وجود داشت. من هم مثل شما این حس رو پیدا می کردم. اما در دونسخه آخر این مشکل وجود داشته که ظرف 1 هفته از هم منتشر شده. دوست من دیدتون رو باز کنیدو واقعیت ها رو بپذیرید.

یک مقایسه انجام بدیم. ایا در جریان مشکل آنتن دهی آیفون 3gs قرار گرفته اید؟ ببینید این شرکت با اون همه عزمت و دقت و ظریف کاری هاش همچین باگی در محصولش داشت.
پس نمی تونید با این دیدگاه که یک فریم ورک نباید باگ داشته باشه. به فریم ورک نگاه کنید.



از طرفی شما یک برنامه نویس هستید. باید خودتون قادر باشید که نیاز هاتون رو بر طرف کنید. فرض کنید کیک اصلا همچین کامپوننتی نداره. این یک ضعف از طرفی دیگه 100 تا مزایا داره. آیا ارزش نداره این کامپوننت رو خودتون ایجاد کنید؟

دوما: هدف شما یک شبکه اجتماعی هست. لازمه شما این هست که کامپوننت ها رو توسعه بدید تا نیاز ها تون بر طرف بشه. پس باز می بینید. این باگ آنچنان در کار شما(شبکه اجتماعی) تداخلی ایجاد نمی کنه.

سوما : این باگ فقط زمانی رخ میده که شما به تنهایی از کامپوننت AUth استفاده کرده باشید. در صورتی که اگر از ACL استفاده کرده باشید. اصلا این موضوع به چشم نمیاد. و این جواب شما هست که چرا همچین باگی نمایان شده. بیشتر کسانی که از کیک استفاده می کنند از acl استفاده می کنند.

چهارما : شما اصول کارتون بر اساس منطق هست.نه احساس. برای تصمیم گیری بهتره سرچ کنید ببینید آیا باز از این مدل باگ ها بوده؟ اگر بوده می تونید اینگونه حس کنید.

حالا قسمتتون میشه با زند 2 که کار کردید تا یک مدت از این باگ ها می بینید. در صورتی که همین الان هم اگر به مخرن گیتش برید گزارش هاش قابل دیدن هست.

نقل قول:جمله بندیم خوبه یا بد؟ Huh

جمله بندی خودم رو گفتم

نقل قول:مطمئنید که مقایسه نکردید؟
من سوال کردم که چرا این باگ توی کیک وجود داره و شما هم گفتید مگه توی وردپرس، جوملا، ویندوز و لینوکس باگ نیست؟ شما با این حرف امنیت کیک رو با امنیت وردپرس، جوملا، ویندوز و لینوکس مقایسه کردید دیگه!

سوال رو با سوال پاسخ دادن رو من اسمش مقایسه نمی زارم. باور ندارید . از آقای احمدی نژاد استاد این یک بپرسید

دوست من phpweb عزیز
من در framework های مختلفی تجربیاتی دارم. اهل بزرگ نمایی نیستم اما واقعا cake رو قبول دارم. ایراد هایی هم داره اما خیلی بهتر از zend یا symfony و... هست. پیشنهاد می دم کمی هم بررسی کنید ببینید جاوا بروی jsf هم خطاهایی داشته درمورد .net حرفی نمی زنم سر یکی از خطاهای مسخرش یک شرکت معظم روش گیرند!!!
من در حال حاضر در php فقط cake رو پیشنهاد میدم با همه خطا ها هنوز کم خطا هست.
تشکر