Hi Mark, dank nog voor de replies. Ik weet dat je veel aan Revo sleutelt en een groot voorstander bent van Revo ipv Evo
Maar ik zit vanaf dag 1 in de hoek waar 'we' Revo gewoon niet goed vinden qua snelheid en interface(-usability) van de manager. Qua snelheid is dit natuurlijk deels een kwestie van de gebruikte browser. IE10 is geen IE9 en Safari is geen Chrome. Maar interface-design is andere koek. Als Revo nou de look&feel en structuur van Evo strakker had aangehouden, dan waren er m.i. veel minder refugees die nu in zoiets als ProcessWire orienteerden. Toch? Of nog beter gezegd, kon je maar gewoon kiezen hoe je de manager draait. Dat kan, alleen die oplossingen zie ik nog niet. En ik heb zelf te weinig kaas geknabbeld van ExtJS of jQuery om dit te kunnen behappen.
Ik ben ook blij dat Evo nog wel even zal blijven, voornamelijk vanwege bovenstaande uitleg, hoewel er op het Evo pad nog flinke hobbels te nemen zijn (waarmee het langzaam naar Revo toe kruipt. Misschien is dat wel 'de weg' die uiteindelijk iedere MODx gebruiker weer happy maakt?)
Je hebt voorlopig idd kennis nodig om bepaalde zaken (zoals _REQUEST's) goed te begeleiden in Evo. Injections en XSS e.d. blijft een probleem. Dus inderdaad, Fourroses, geen enkele systeem is waterdicht. En een aantal zaken regel je in je server-appliance en niet zozeer in een Framework/CMS. Zo zit ik bij voorkeur niet op een shared-server tenzij ik de dedicated beheerder ervan ben en de controle heb over wie er allemaal php-scriptjes mag uploaden etc etc. Fourroses, jij kunt up to date zijn wat je wilt, maar een ddos houd je m.i. niet zomaar tegen.
Recent blijken alle Revo versies < 2.2.7 lek, alsmede alle Evo < 1.0.8. Dit speelt ook bij Wordpress, Drupal, Joomla etc. En in Php zelf. De MODx Cloud laat je versies kiezen, maar slechts eentje is m.i. de juiste ;-) C'est la vie. Zo heb ik tegenwoordig de ForgetPassword optie standaard uit staan, ook in 1.0.10. Want ik verwacht eerdaags opnieuw een security melding van MODx dat dit opnieuw compromised blijkt. Ik ga hier nog eens een eigen oplossing voor schrijven, die dit buiten MODx oplost richting vergeetachtige klanten. Dat zal iets omslachtiger worden voor die klanten. Maar ja, je kunt ook niet op de website van je bank even je pincode opnieuw laten genereren en dan in een popup of via de mail krijgen.
Daarbij was het (voor die grote klanten die ik eerder noemde) dus ook een kwestie dat passwords aan allerlei voorwaarden moeten voldoen, alsmede de houdbaarheid ervan en de manier waarop je dit aan gebruikers communiceert. Dat komt omdat zij werken met klantgegevens en dan gelden er gewoon wetten in Nederland en/of komt er een auditor testen, danwel moet je een certificaat kunnen overleggen. Wat men wil geen claims. Waar een auditor het verouderde md5 zou aantreffen, of ziet dat je vrij makkelijk het password uit een sessie kan halen, sja dat geeft al snel lastige vragen m.b.t tot uitspraken die ik dan over security durf te doen. Kwam erop neer dat ik flink wat onderdelen zou moeten uitbreiden/vervangen, voor zover dat uberhaupt mogelijk was, rekening houdend met upgrades (waar ik aan de core zou sleutelen). Maar goed, de ene website is de andere niet natuurlijk. Dito voor klanten. Het blijft maatwerk. Cheers.