[teknologia] Re: Masih tentang content management system
On 10/29/05, Jaimy Azle [EMAIL PROTECTED] wrote: masalahnya sqlite tidak memiliki cursor, jadi modus fetching data atas sebuah query ditampung seluruhnya pada buffer client dulu, ini tentunya mengundang bahaya lain juga, terutama bila jumlah data tersimpan sudah cukup besar, selain membuat operasi sistem jadi menjadi lebih lambat, ini juga menimbulkan kemungkinan buffer-overflow, terutama bila usernya salah dalam memanfaatkan query. Sejauh ini, saran untuk SQLite di MT untuk instalasi personal dan memang baru mengganti Berkeley DB. Sedangkan untuk instalasi di tempat yang lebih ramai pengunjung, seharusnya kesibukan hanya terjadi waktu rebuild dan penanganan komentar. Urusan lainnya kan ditangani halaman statik. -- amal
[teknologia] Re: Masih tentang content management system
On 10/28/05, adi [EMAIL PROTECTED] wrote: waduh .. bahasanya kurang gaul, saya ndak ngerti. apa itu lapak :-) Pak Adi, jalan-jalan ke Pasar Tanah Abang dong, supaya tahu lapak. ;) gitu .. diusulin saja supaya developer movable-type belajar lagi soal unix security hi..hi.. (j/k). Jangan kuatir bos, SQLite itu hanya salah satu alternatif, jadi kalau dilihat dari sisi akses itu ya tidak jauh beda dengan Berkeley DB. :) -- amal
[teknologia] Re: Masih tentang content management system
On 10/28/05, Ikhlasul Amal [EMAIL PROTECTED] wrote: Atau bagaimana kalau begini: * buat halaman Web dinamik di lokal; * buat mirror statik dari halaman dinamik di lokal tersebut, pakai wget; berarti proses ini harus dilakukan ke seluruh tree ya? bagaimana dengan URL yang dihasilkan dari meng-wget halaman dinamik ke statik? sopan nggak ya URL-nya? ;-) he he he. [maksudnya, sederhana atau kompleks?] * hasil wget disinkronkan ke server remote, cukup bagian yang diubah/ditambahi yang diunggah. ... Kalau menggunakan HTML statik, berarti aspek interaktif seperti komentar/respon pengunjung ditiadakan, ya? Komentar/respon pengunjung diarahkan ke blog gratisan saja (seperti blogspot) biar mereka yang mengurusi sistemnya. he he he. -- budi
[teknologia] Re: Masih tentang content management system
On Thursday 27 October 2005 04:07, Budi Rahardjo wrote: Bagaimana cara terbaik melakukan sinkronisasi database dengan situs web yang saya gunakan sebagai production? (Katanya pakai fitur replikasi?) Bagaimana kalau di tempat production nama database dan userid berbeda? (Dan saya tidak punya akses root atau DBA di production tersebut.) Kalau untuk MySQL, Jadi di tempat pak Budi adalah master dan production adalah slave, untuk di Master, harus mempunyai hak akses root, karena untuk memberi ijin kepada si user replikasi untuk melakukan replikasi. Dan di Slave diperlukan juga hak ases root untuk jalankan start slave, dan harus dapat akses untuk mengedit my.cnf. Userid replikasi bisa beda, tapi untuk nama database sepertinya haruslah sama. Untuk PostgreSQL ada beberapa yang bagus, untuk replikasi per database bisa pakai slony-i, atau untuk keseluruhan database bisa pakai pgcluster. dua-duanya setau saya harus mempunyai akses untuk administrasi untuk createuser dan edit konfigurasi file postgresql. -- Indra PT. Verinux Linux System http://www.verinux.com - Technology in a smart way http://www.rtrw.net - Internet untuk Semua
[teknologia] Re: Masih tentang content management system
On Thursday 27 October 2005 11:07, Budi Rahardjo wrote: Saya masih mencari CMS yang cocok untuk saya :) #1: Yang paling banyak saya temui adalah menggunakan database (MySQL atau Postgres) dan PHP sebagai back-end. Terus terang saya agak khawatir dengan PHP + db ini karena sering sekali terjadi masalah security. Dulu beberapa kali saya kena masalah ketika menggunakan phpnuke. Nah, saya tetap khawatir kalau ada masalah dengan db maka hancurlah semua yang sudah dibangun. :( Atau, mau tidak mau, terpaksa saya harus juga mengamati dan menekuni pengelolan MySQL itu. Bagaimana pendapat rekan-rekan sekalian? Apakah memang state of the art dari CMS harus menggunakan database? Dan apakah database sekarang sudah jauh lebih aman daripada beberapa tahun yang lalu? [Catatan: saya juga sudah bermain-main dengan MT menggunakan Berkeley DB.] Masalahnya bukan di databasenya. Databasenya sendiri relatif secure asalkan pemilik servernya rajin2 update. Yang umum jadi masalah adalah cara mengakses databasenya sehingga mudah dikerjai pakai SQL injection. IMHO, sumber masalahnya adalah API database PHP yang terlalu memudahkan kesalahan pemrograman dan juga dokumentasi2 (buku, googling) juga banyak yang mengandung kesalahan. Pendeknya, masalah ada di CMS-nya (atau di PHP-nya), bukan di databasenya. CMS dibuat menggunakan database dengan alasan yang sama CMS-nya dibuat pakai PHP dan bukan pakai assembler :) #2: Kalau misalnya saya ingin mengelola CMS di desktop saya (running Linux) dengan menggunakan MySQL secara offline, kemudian update ke remote. (Ala rsync, gitu.) Bagaimana cara terbaik melakukan sinkronisasi database dengan situs web yang saya gunakan sebagai production? (Katanya pakai fitur replikasi?) Bagaimana kalau di tempat production nama database dan userid berbeda? (Dan saya tidak punya akses root atau DBA di production tersebut.) bisa aja: - dump database lokal - rsync hasil dump ke remote server - load hasil dump di remote server yang jadi masalah kalau update dilakukan pada dua sisi, nah ini harus mikir lagi gimana caranya :) #3: Saya masih ngotot ingin menggunakan static files saja karena takut mengganggu kinerja dari server. Apakah ketakutan saya ini beralasan? tergantung, loadnya seperti apa? :) -- http://priyadi.net
[teknologia] Re: Masih tentang content management system
Budi Rahardjo wrote: Saya masih mencari CMS yang cocok untuk saya :) #2: Kalau misalnya saya ingin mengelola CMS di desktop saya (running Linux) dengan menggunakan MySQL secara offline, kemudian update ke remote. (Ala rsync, gitu.) Bagaimana cara terbaik melakukan sinkronisasi database dengan situs web yang saya gunakan sebagai production? (Katanya pakai fitur replikasi?) Bagaimana kalau di tempat production nama database dan userid berbeda? (Dan saya tidak punya akses root atau DBA di production tersebut.) #3: Saya masih ngotot ingin menggunakan static files saja karena takut mengganggu kinerja dari server. Apakah ketakutan saya ini beralasan? Ini sih sekedar ide saja. Pakai CMS yang anda anggap paling mudah untuk di set up. CMS itu terserah mau pakai teknologi apa. Install CMS ini di mesin lokal anda. Isi contentnya. Lalu gunakan HTTrack untuk sedot CMS tersebut dan merubahnya menjadi halaman web statik. Tehnik ini mensyaratkan CMS yang URL nya mudah di konversi jadi halaman web statik. Nah situs web statik ini lalu di upload ke CVS server di situs publik yang anda inginkan. Lalu anda checkout dari CVS tersebut ke direktori situs web publik anda. Jadi di lokal anda mengisi ke CMS lokal anda tapi waktu upload anda konversi dulu ke halaman statik pakai HTTrack lalu upload pakai CVS. Dengan bantuan CVS maka hanya akan diupload halaman web yang berubah saja. Lalu di situs public anda tinggal melakukan update dari CVS. Kalau misalnya anda mahir Perl atau teman anda mahir Perl maka mungkin kerjaan konversi dan update situs ini bisa di jadikan 1 atau 2 script Perl dan anda tinggal panggil scriptnya. Nah mungkin cara ini memenuhi keinginan anda. Bagaimana?
[teknologia] Re: Masih tentang content management system
On 10/27/05, Budi Rahardjo [EMAIL PROTECTED] wrote: [Catatan: saya juga sudah bermain-main dengan MT menggunakan Berkeley DB.] Sedikit ada yang terlewat: kalau mau mencoba RDBMS yang berbasis berkas tunggal, bisa dicoba SQLite. Banyak pemakai MT tingkat lanjut yang menyarankan pemakaian SQLite sebagai alternatif menengah di antara Berkeley DB dan MySql. Ringan, lebih aman (karena tidak perlu koneksi lewat soket), dan cukup ditangani oleh sebuah berkas. -- amal
[teknologia] Re: Masih tentang content management system
On Thu, Oct 27, 2005 at 02:38:20PM +0700, Priyadi Iman Nurcahyo wrote: Masalahnya bukan di databasenya. Databasenya sendiri relatif secure asalkan pemilik servernya rajin2 update. kalau pakai statik html kan mestinya tidak perlu rajin-rajin update :-)) jadi tidak ada ya cms, yang free, yang bisa generate static html. bbrp kali ketemu di google tapi komersial. saya lagi berpikir soal pemberbedayaan konten lokal ... Salam, P.Y. Adi Prasaja
[teknologia] Re: Masih tentang content management system
On Thu, Oct 27, 2005 at 07:33:58PM +0700, Ikhlasul Amal wrote: Ringan, lebih aman (karena tidak perlu koneksi lewat soket), dan cukup ditangani oleh sebuah berkas. ups .. tidak. RDBMS lebih 'aman' :-) misalnya orang menggunakan apache+php+sqlite, itu sama saja dengan menjadikan apache sebagai database server (sqlite embedded). tidak ada process separation, tidak ada autentifikasi, bagaimana bisa lebih aman :-) kalau dibilang lebih 'aman' maksudnya kualitas source codes, ya tentu saja, secara teoritis, source codes yang lebih pendek lebih secure he..he.. Salam, P.Y. Adi Prasaja
[teknologia] Re: Masih tentang content management system
On Friday 28 October 2005 02:26, adi wrote: On Thu, Oct 27, 2005 at 07:33:58PM +0700, Ikhlasul Amal wrote: Ringan, lebih aman (karena tidak perlu koneksi lewat soket), dan cukup ditangani oleh sebuah berkas. ups .. tidak. RDBMS lebih 'aman' :-) misalnya orang menggunakan apache+php+sqlite, itu sama saja dengan menjadikan apache sebagai database server (sqlite embedded). tidak ada process separation, tidak ada autentifikasi, bagaimana bisa lebih aman tergantung pemakaian juga, untuk sistem multi user dan antara user tidak saling percaya satu sama lainnya, sqlite lebih aman. kalau pakai mysql, semua user di satu server bisa connect ke socketnya. kemudian, satu proses mysql menangani berbagai database yang dimiliki user yang tidak saling percaya dengan menggunakan satu userid. artinya kalau ada apa2 dengan mysql, satu user mungkin bisa saja mengakses database milik orang lain. sedangkan kalau sqlite, database untuk masing-masing user dimiliki oleh masing-masing user. database milik user A diakses oleh program milik user A. IMO, user separation jauh lebih penting daripada process separation dalam sistem multiuser. -- http://priyadi.net
[teknologia] Re: Masih tentang content management system
On Fri, Oct 28, 2005 at 04:00:04AM +0700, Priyadi Iman Nurcahyo wrote: IMO, user separation jauh lebih penting daripada process separation dalam sistem multiuser. Ini dr segi pandang admin hosting ya, hehehe :-) IMHO sih sama pentingnya. Kalo satu lebih penting dr yg laennya itu sama saja memindahkan beban/hole ke sisi yg lain aja, tapi beban/hole masih ada. Aman dr user lain tapi kalo web applicationnya ngawur sampe bisa dijebol ya sama aja boong. Tapi I can see your point, at least damagenya bisa dicontrol dan diminimize ke satu user aja. Ronny pgpZS8ky7ubnS.pgp Description: PGP signature
[teknologia] Re: Masih tentang content management system
On 10/28/05, adi [EMAIL PROTECTED] wrote: ups .. tidak. RDBMS lebih 'aman' :-) misalnya orang menggunakan apache+php+sqlite, itu sama saja dengan menjadikan apache sebagai database server (sqlite embedded). tidak ada process separation, tidak ada autentifikasi, bagaimana bisa lebih aman :-) Sebagian sudah dijawab oleh Pri, saya tambahi dari sisi argumen yang saya peroleh di ProNet, mailing list Movable Type. Karena umumnya aplikasi CMS kelas lapak ini bekerja dengan satu akun ke basisdata (setting biasanya disimpan di berkas *.conf), jadi menurut sudut pandang tersebut, autentikasi sebenarnya tidak terlalu diperlukan apabila hak akses ke sebuah berkas sudah diatur oleh sistem operasi. Dengan demikian karena berkas basisdata tersebut hanya dapat diakses oleh akun A, dengan sendirinya tidak akan diakses oleh pemakai yang lain karena sudah dilindungi oleh sistem operasi. Selain itu, CMS kelas lapak ini umumnya menggunakan satu basisdata untuk semua, sehingga urusan multi-user atau multi-blog sudah ditangani oleh aplikasi. Kalaupun akan dibuat beberapa instan dari si CMS, berarti disediakan beberapa berkas SQLite dengan akses masing-masing (bukan lewat pintu gerbang gede, sebuah port RDBMS). Karena tidak perlu membuka port koneksi (yang memang sebenarnya tidak terlalu diperlukan untuk aplikasi kecil), jadi dianggap lebih aman. Oh ya, saya menjelaskan SQLite dalam konteks penjelasan Pak Budi terhadap Berkeley DB dan konteks yang lebih cocok adalah CMS untuk instalasi lokal. Kalau lebih luas, Apache+PHP+SQLite dan melayani banyak keperluan seperti ditulis Pak Adi di atas, ya beresiko. Pencoleng yang masuk tinggal ambil satu berkas SQLite, sudah deh... wassalam. ;) saja, secara teoritis, source codes yang lebih pendek lebih secure print hello world; -- kode paling aman ya? ;) -- amal
[teknologia] Re: Masih tentang content management system
On 10/28/05, Priyadi Iman Nurcahyo [EMAIL PROTECTED] wrote: On Friday 28 October 2005 01:54, adi wrote: kalau pakai statik html kan mestinya tidak perlu rajin-rajin update :-)) jadi tidak ada ya cms, yang free, yang bisa generate static html. bbrp kali ketemu di google tapi komersial. movabletype? free for non commercial use :) tapi lagi-lagi ini CMS spesifik blog. Atau bagaimana kalau begini: * buat halaman Web dinamik di lokal; * buat mirror statik dari halaman dinamik di lokal tersebut, pakai wget; * hasil wget disinkronkan ke server remote, cukup bagian yang diubah/ditambahi yang diunggah. Kalau menggunakan HTML statik, berarti aspek interaktif seperti komentar/respon pengunjung ditiadakan, ya? -- amal
[teknologia] Re: Masih tentang content management system
On 10/27/2005 at 11:07 AM Budi Rahardjo wrote: Saya masih mencari CMS yang cocok untuk saya :) #1: Apakah memang state of the art dari CMS harus menggunakan database? Dan apakah database sekarang sudah jauh lebih aman daripada beberapa tahun yang lalu? Database sih saya rasa bisa diamankan dengan relatif mudah (akses hanya bisa via localhost/unix socket, tiap situs punya database user sendiri, dst). Yang susah itu adalah mengamankan script-nya sendiri. Biasanya pakai PHP, nah PHP ini memang mempermudah kita meng-hack script yang kita butuhkan dalam waktu singkat - namun, di lain pihak juga mudah bagi script kita utk ada security hole-nya. Untuk beberapa situs yang terpaksa pakai CMS, biasanya setup security-nya saya buat beberapa lapis. Contoh; saya install package dari Debian (bukan install dari source) - sehingga security patchesnya selalu up to date dengan usaha minimal dari saya. Lalu, saya proteksi dengan mod_throttle, untuk mencegah / meminimalkan efek DoS/DDoS. Kemudian juga ada su_php, yang menyebabkan script PHP dieksekusi dengan privileges dari owner script ybs (instead of Apache's privilege) Dan lain-lainnya. Tapi, untuk mensetting ini semua memang memakan waktu... Tapi, alhamdulillah jadinya sudah beberapa kali script kiddies jadi gagal membobol server via CMS ybs. #2: Kalau misalnya saya ingin mengelola CMS di desktop saya (running Linux) dengan menggunakan MySQL secara offline, kemudian update ke remote. (Ala rsync, gitu.) Kalau begini, masih tetap ada potensi masalah, karena CMS-nya masih tetap dinamis. Sehingga masih bisa dijebol, dan kemudian dari situ who knows kemana saja attacker ybs bisa mendapatkan akses. Solusi alternatif yang lebih aman mungkin begini: 1. Setup CMS di server local / LAN 2. Secara rutin, dari server live/internet, jalankan wget --mirror ke situs CMS di server lokal tsb 3. Hasil mirroring tadi (yang berupa static HTML files) dibuka aksesnya kepada umum. Sementara akses KE server local DARI Internet diblokir total. #3: Saya masih ngotot ingin menggunakan static files saja karena takut mengganggu kinerja dari server. Apakah ketakutan saya ini beralasan? IMHO, sangat beralasan (menilik spek server ybs), dan juga jika kita paranoid utk soal security. Salam, Harry
[teknologia] Re: Masih tentang content management system
Ikhlasul Amal wrote: On 10/28/05, Priyadi Iman Nurcahyo [EMAIL PROTECTED] wrote: On Friday 28 October 2005 01:54, adi wrote: kalau pakai statik html kan mestinya tidak perlu rajin-rajin update :-)) jadi tidak ada ya cms, yang free, yang bisa generate static html. bbrp kali ketemu di google tapi komersial. movabletype? free for non commercial use :) tapi lagi-lagi ini CMS spesifik blog. Atau bagaimana kalau begini: * buat halaman Web dinamik di lokal; * buat mirror statik dari halaman dinamik di lokal tersebut, pakai wget; * hasil wget disinkronkan ke server remote, cukup bagian yang diubah/ditambahi yang diunggah. atau, halaman dinamik hanya bisa diakses oleh admin (.htaccess). pengunjung hanya bisa mengakses halaman statis yang digenerate oleh sekrip. Kalau menggunakan HTML statik, berarti aspek interaktif seperti komentar/respon pengunjung ditiadakan, ya? komentar/respon bisa menggunakan layanan gratis saja :-D.