WordPress 2.6 - που προκαλεί τα κύματα στον Άρη: Η διαμάχη XMLRPC
Το WordPress 2.6 ήταν πρόβλημα. Υπάρχεται σύγχυση για εάν θα ήταν έξω τον Ιούλιο ή τον Αύγουστο. Υπήρξε μια ημερομηνία στον οδικό χάρτη, και μια σε Trac. Την Κυριακή νύχτα, Charles Stricklin και κατέγραψα το επεισόδιο 43 του WordPress Podcast και κόλλησα με την ημερομηνία Αυγούστου που ήταν στο εργαλείο Trac που χρησιμοποιήθηκε για την ανάπτυξη.
Κατόπιν η επόμενη ημέρα Ryan Boren έστειλε αυτήν την απάντηση στον κατάλογο διευθύνσεων ελεγκτών WP η επόμενη ημέρα:
Σε Mon, 23 Ιουνίου 2008 στον ΠΡΩΘΥΠΟΥΡΓΟ 1:01, η εκκλησία Μ έγραψε:
> Τα μάτια μου με εξαπατούν ή είναι Ι βλέποντας μια οφειλόμενη ημερομηνία της 7ης Ιουλίου για την απελευθέρωση
> από 2.6 με μια πτώση πίσω για τις 14 Ιουλίου; Οποιοσδήποτε λόγος για την απελευθέρωση ένας μήνας
> νωρίς; Έχω μόλις την οργάνωση οι περιοχές δοκιμής μου που λογαριάζουν ότι είχα έναν μήνα για να πάω YE).[Ryan Boren απάντησε:]
Υπήρξε κάποια σύγχυση επειδή το roadmap είχε τον Ιούλιο και trac είχε
Αύγουστος. Δεδομένου ότι όλα τα χαρακτηριστικά γνωρίσματα πήγαν σε 2.6 πρόωρα και αυτό
του τρέχοντας αυτό το σύνολο - χρόνος στο wordpress.com και τα μέρη του μας
τα προσωπικά blogs, κοντύτερος ένας βήτα φαίνονται πραγματοποιήσιμα. Σκέφτομαι ότι μπορούμε να προωθήσουμε
ο βήτα κύκλος τώρα, λίβρα σε το μέχρι το 7ο και αποφασίζει εάν είναι
έτοιμος. Εάν όχι, τον σφυροκοπήστε μια άλλη εβδομάδα και αποφασίστε ότι από τον είναι έτοιμος. Ι
η συγχώνευση 2.6 στο wordpress.com σχεδόν καθημερινά και παίρνει τους τόνους ανατροφοδοτεί
στιγμιαίος. Είμαι αρκετά βέβαιος να είσαι σε θέση να τελειώσω από 2.6 στο α
λίγες εβδομάδες. Δεν θα προσθέτουμε άλλα χαρακτηριστικά γνωρίσματα σε 2.6 έτσι υπάρχει αριθ.
ανάγκη να καθυστερήσει για έναν πρόσθετο μήνα. Επίσης, ενός 2.6 Ιουλίου απελευθέρωση μας επιτρέπει
για να εξετάσει έναν πρόωρο - 2.7 Σεπτεμβρίου απελευθέρωση που εστιάζει να τραβήξει μέσα
μερικές από την εργασία GSoC. Εκείνη η εργασία θα ήταν πάρα πολύ για να προσπαθήσει να ωθήσει
σε έναν πρόωρο - 2.6 Αυγούστου απελευθέρωση.
Το Ah, καλά εσείς κερδίζει μερικών που χάνετε μερικούς. Τουλάχιστον δεν ήμουν το μόνο πρόσωπο που σκέφτηκε ότι θα ήταν Αύγουστος.
Από τότε μια πιό αμφισβητούμενη συζήτηση έχει προκύψει. Το Westi έκανε την ανακοίνωση ότι WordPress 2.6 θα έκλεινε το χαρακτηριστικό γνώρισμα XMLRPC. XMLRPC είναι η τεχνολογία που επιτρέπει στα προγράμματα όπως το ζωντανό συγγραφέα παραθύρων, MarsEdit, το ecto και άλλη εξωτερική χρήση συντακτών blog για να επικοινωνήσει με το WordPress σας blog. Εδώ είναι τι Westi έπρεπε να πει για το στην ανακοίνωσή του:
Το WordPress 2.6 θα είναι ασφαλέστερο το έξω--κιβώτιο συμπεριλαμβανομένης της καλύτερης υποστήριξης για το τρέξιμο του admin πέρα από τη SSL και τις αλλαγές για να θέσει εκτός λειτουργίας τα μακρινών πρωτόκολλα έκδοσης εξ ορισμού.
Έχουμε επιλέξει να θέσουμε εκτός λειτουργίας το πρωτόκολλο έκδοσης ατόμων και την ποικιλία των πρωτοκόλλων xml-RPC εξ ορισμού δεδομένου ότι εκθέτουν μια δυνατότητα να είναι μια διαρροή μυστικών. Έτσι από WordPress 2.6 και μετά θα πρέπει να πάτε στη σελίδα Settings->Write και να τους επιτρέψετε χωριστά εάν θέλετε να τους χρησιμοποιήσετε.
Ο προγραμματιστής λογισμικού της MAC και MarsEdit ο δημιουργός Ντάνιελ Jalkut θεωρούν αυτό μια πλήρως λανθασμένη επιλογή. Έχει πει έτσι στον κατάλογο WP-χάκερ και στον ιστοχώρο του:
Η απόφαση του WordPress να αποκλειστεί η εξ' αποστάσεως πρόσβαση είναι εξ ορισμού ανάλογη με μια προσφορά τραπεζών απεριόριστη κίνηση-μέσω της πρόσβασης στις μηχανές μετρητών της, απαιτώντας τους πεζούς για να χτυπήσει ένα κουδούνι και να περιμένει μια φρουρά ασφάλειας να ανοίξει την πόρτα στις μηχανές.
Επίσης άξιος: εάν μια υπηρεσία είναι εκτός λειτουργίας εξ ορισμού για τις εξετάσεις ασφαλείας, ποιο μήνυμα αυτή στέλνει στους ανθρώπους που επιλέγουν, ή που ενθαρρύνονται για να ανοίξουν την υπηρεσία πίσω; Θέτει - επάνω μια αντίληψη για την αβεβαιότητα που δεν μπορεί να επιτραπεί ακόμη και. Εάν οι μακρινές διεπαφές έκδοσης είναι επισφαλείς, πρέπει να καθοριστούν, όχι μόνο άτομα με ειδικές ανάγκες!
Σκέφτομαι που είμαι κάπως παραπλανητικός. Κάνει τους ανθρώπους να σκεφτούν ότι ο διακόπτης πρέπει να τεθεί επανειλημμένως. Είναι πολύ περισσότερο όπως, όταν ανοίγετε έναν λογαριασμό ταμιευτηρίου, ελέγχοντας ότι καθένας το κιβώτιο που λέει εσείς θέλει μια χρεωστική κάρτα του ATM ή/και το κιβώτιο που λέει εσείς θέλει να έχει πρόσβαση στον απολογισμό μέσω της σε απευθείας σύνδεση περιοχής. Η εξάλειψη καθεμίας εκείνων των επιλογών θα καθιστούσε τα χρήματά σας ασφαλέστερα.
Συμφωνώ ότι υπάρχει ένα ζήτημα με τους ανθρώπους που αναβαθμίζουν και που βρίσκουν εκείνο το MarsEdit, Livewriter ή οποιοσδήποτε δεν λειτουργεί. Αυτός λύνεται εύκολα με να κρατήσει τη διεπαφή XML μακριά εξ ορισμού στα νέα blogs, αλλά την μη αλλαγή της συμπεριφοράς για τις βελτιώσεις.
Αλλά γιατί όχι μόνο «καθορίστε» τα θέματα ασφαλείας; Καλά η αλήθεια του θέματος είναι ότι μπορείτε όχι άλλη «αποτύπωση» όλη η διαρροή μυστικών στο xmlrpc από μπορείτε «να την καθορίσετε» σε οποιοδήποτε πρόγραμμα λογισμικού. Είναι ένας κινούμενος στόχος. Οι νέες μέθοδοι θεωρούνται και οι βελτιώσεις λογισμικού εισάγουν τις νέες λεωφόρους σκεπτόμενες ποτέ, ακόμα κι αν υπάρχει ένα στρώμα μεταξύ της τελικής διεπαφής και της βάσης δεδομένων. Έτσι ακόμα κι αν WordPress ήταν απολύτως καθαρό σε 2.6, πώς μπορείτε να αποδείξετε ότι είναι ασφαλές σε 2.8 ή 3.0.
Είναι xmlRPC εξασφαλίζει σε WordPress 3.0; Δεν ξέρω ότι δεν υπάρχει ακόμα. Αλλά ξέρω εάν είναι εκτός λειτουργίας για τα νέα blogs, ότι το νέο WordPress 3.0 blogs δεν θα αντιμετωπίσει μια διαρροή μυστικών XMLRPC.
