Чем платная CMS лучше бесплатной?

не согласен насчет того, что бесплатные ломают больше из-за доступности и открытого кода. ломают, как правило то, что сильно распространено. вот vbulletin в последнее время тоже ломать начали, сейчас он достаточно сильно распространен.

по вопросу топикстартера - кроме техподдержки плюсов платной системы не вижу

в бесплатных иерархии типа раздел1->раздел2->разделN толком нет и все через одно место - есть хаки - но они не работают со следующими версиями ... и это так и есть :) таже мамба жумла :)

Не нужно путать бесплатные системы, разрабатываемые коммерческими компаниями и системы, пищущиеся энтузиастами. Open source тоже тут не при делах, поскольку и коммерческие системы (наша например) могут поставляться в открытых кодах.

Видимо нужно делить системы на производимые компаниями (в которые вкладываются деньги) и на те, которые делаются на энтузиазме определенной группы разработчиков. Хотя для простоты пусть будут "платные и бесплатные".

Защищенность системы никак от платности или бесплатности не зависит. Она зависит от

а) распространенности системы (чем больше пользователей, тем быстрее находятся баги);

б) квалификации разработчиков и их желания что-то исправлять;

в) возможности команды разработки тестировать продукт - для этого нужно время, тестировщики и соответствующее окружение (набор операционок, браузеров, других настроек для симуляции ситуаций пользователей и воспроизведения ошибок).

Пункт в) можно встретить в основном в профессиональных системах коммерческого толка. Остальное - по разному бывает.

Насчет открытости кода и взлома. Мифы и россказни про "открытый код, который можно поковырять самому" нужно отмести за несостоятельность с ходу. Профессионалов в области безопасности интернет-приложений по пальцам сосчитать, а тех, кто в состоянии грамотно разобрать и собрать чужую программатуру еще меньше. Да еще и сделать её лучше... Это очень долгий и дорогой процесс. Поэтому, открытость и закрытость кода де-факто почти никак не влияют на защищенность системы. Если у системы управления (читай - любого программного продукта) отлажена система поддержки и обновлений, плюс если пользователи этим пользуются (спасибо Microsoft за её идеологию patchей и service packов) - возможные риски эксплуатации CMS будут сведены к минимуму.

Вообще, нужно понимать, что если грамотно построить информационную политику по управлению сайтом, отладить и правильно использовать процедуры резервного копирования, разделения доступа, замены паролей и т.п., то риски проникновения на сайт, которые есть в любой системе - коммерческая она или нет - значительно снижаются.

Абсолютно надежных систем нет. По РТР уже показывали сюжет про сайт на битриксе, который был взломан какими-то студентами, и никакая сертификация тут ничего не гарантирует.

Чем же реально отличается "платник" от "бесплатника"?

1. Производитель платной системы заинтересован в притоке новых клиентов и продолжении сотрудничества со старыми. Поэтому вероятность, что Вашей проблемой будут заниматься конкретные люди в службе поддержки намного выше, чем вероятность, что в форуме бесплатной системы вы найдете ответ на свой неординарный вопрос.

2. Компании-разработчики платных систем делают их с определенной целью и по определенному плану развития (roadmap). Я оговорюсь - как правило делают. Поэтому в них меньше разных ненужных функций, которые иногда появляются в системе из-за желания разработчика опробовать новую идею или технологию.

3. Коммерческие системы, как правило, разработаны командой, куда помимо программиста входят архитектор, тестировщик, юзабилити проектировщик (его роль могут исполнять проджект менеджер, документатор или системный архитектор) и документатор. В общем случае это приводит к тому, что системой коммерческого плана

а) удобнее пользоваться;

б) она более надежна в работе;

в) она более оптимизирована по коду, поскольку в меньшей степени зависит от конкретного разработчика, которые меняются за время разработки системы и не один раз;

г) лучше документирована.

Много слов получилось. Если совсем кратко, то я считаю, что коммерческая система больше "сфокусирована на нуждах пользователя", чем бесплатная. Потому, что это программный продукт, который производится для получения денег, а не для получения удовольствия разработчика, удовлетворения его эго и тщеславия.

Вообще, хочу еще отметить, что в настоящее время коммерческие системы только только доползают до той границы, где они начинают обладать бесспорными преимуществами перед бесплатными моделями. Причин тут несколько, но основная - узость рынка и малое количество денег, вращающихся в его пределах. Но судя по всему, в ближайшее время бесплатники начнут значительно отставать, поскольку новые требования к простоте и удобству использования уже не решить на уровне двухнедельного знания PHP, ASP, Perl или Java. Нужно иметь большой опыт разработок сложных распределенных систем и уйму времени (или большую команду). В чем коммерческие компании, конечно, будут выигрывать.

И старт мультисайтовый, и другие есть сайты, с которыми нужно работать тем же людям - тоже на битриксе.

30% от стоимости версии единоразово

Суть заключаеться в том что есть Вася который установил например бесплатную CMS нашёлся супер мега хакер который нашёл баг в продукте и выложил эксплоит в инет.

Сколько народу захочет взломать сайт Васи ?

Действительно, правильно разделить системы не только по принципу "Платная/бесплатная", но и по принципу "Коммерческая/некоммерческая". Хотя, конечно, весьма очевидно, что разница между платной и коммерческой-бесплатной тоже имеется

Вот лично я выбирал между eZ Publish, Typo3 и Битрикс с одной стороны, и Joomla и ей подобными с другой. Выбрал eZ, которая относится именно к коммерческим системам (комания зарабатывает на этом деньги), хоть основной модуль и доступен для бесплатного скачивания.

Почему? Причины после долгих изучений оказались необычайно просты.

1)Потому, что на joomla нельзя сделать то, что мне нужно. А на eZ - можно. Например, нельзя сделать, чтобы ряд лиц были допущены к добавлению новостей, каждый - только в свой раздел (например - Nissan, Toyota…), затем новости выводились бы в единую ленту, чтобы появлялась эта лента именно там, где мне нужно, как мне нужно (например, чтобы тут публиковалось время в часах-минутах, название и анонс, а там - полная дата, автор и полный текст) и (самое главное!) чтобы каждый мог оперировать только своим контентом, и не мог редактировать чужой. Ну вот не сделать этого на joomla, и всё тут. Далее - в joomla нет торгового каталога, расширения мне не понравились, мультивалютности я не нашел, а разделить права доступа опять же просто нереально. Да и вообще, использование плагинов для серьезного проекта чревато - выйдет обновление для системы, и он чудесным образом перестанет поддерживаться на неопределенный срок. Примеры имеются.

Это частный случай, но общий вывод - Joomla являет собой некое готовое решение, которое, конечно, просто установить, но возможности её достаточно ограничены. Если их Вам хватает - хорошо, но если не хватает - реализовать их не так уж просто, а использовать плагины иногда небезопасно. Если говорить о том же Битриксе, то возможности его из коробки с Jooml'ой даже сравнивать нечего. И речь идет уже о том, чтобы подогнать систему под нужды проекта, а не проект под скудные возможности системы.

2)Коммерческие системы обычно очень сильно поддаются конфигурированию под нужды клиента в смысле "что можно сделать из того, чего нет" (на Битриксе - программирование с использованием функций API).

3)За все коммерческие системы не скажу, но eZ весьма и весьма превосходит joomla по возможности внутренних настроек работы системы (десятки конфигурационных файлов, в каждом из которых огромная куча параметров, таким образом конфигурируется и настраивается всё, что можно, и что нельзя). Очень грамотно реализовано внутреннее кеширование динамики в статику, что позволяет кардинально уменьшить нагрузку на сервер.

4)Далее. Далеко не на каждой бесплатной системе можно задать ключевые слова, название и т.д. для каждой страницы отдельно, а также для определенной группы страниц. А уж на этом-то форуме это трудно переоценить.

5)По общепринятому мнению, код, верстка на Joomla оставляет желать много лучшего, что приводит к большой нагрузке на сервер.

6)Мне не нравится, как в Joomla реализовано ЧПУ. Я хочу, чтобы раздел Ниссан имел бы адрес www.site.ru/nissan, и чтобы транслитерирование с кириллицы в латиницу и всё прочее происходило автоматом. В Joomla это реализовано не так.

Резюме. Данный выбор напоминает виртуальную линеечку с ползунком настройки, которую двигают слева направо мышкой, когда изменение одного параметра обязательно вызывает изменение другого. Как в Фотошопе, когда можно уменьшить вес картинки, но ухудшится качество. Тут с одной стороны - простота использования, куча готовых расширений, бесплатность, доступность, а с другой - профессионализм разработчиков, качество, возможности, индивидуализация под конкретный проект. И чем больше одного, тем меньше другого. Мнение моё, и не обязательно правильное.

Евгений, в eZ всё на английском языке? Есть сайты/форумы российских пользователей, разработчиков?

Виталий, по поводу форумов: из того, что мне известно, есть только раздел на cms-forum'е, где иногда случаются пара русскоязычных сотрудников eZ Systems. Случаются они нерегулярно, на вопросы отвечают в целом охотно, если знают ответ, что не всегда.

Документация исключительно на английском, но сама система имеет русскую локализацию (админка, служебные сообщения и т.д.). Из русскоязычных разработчиков сайтов на eZ я знаю лишь одну студию. В результате - конечных пользователей очень мало (навскидку - около 20 сайтов в РФ).

Тех, кто типа меня делает на ней свой проект, тоже очень мало, так как в ряде случаев усилия, необходимые на освоение даже относительно простых вещей, того не стоят (проще говоря, у кого нет денег - берут Джумлу, у кого есть - нанимают профи/покупают Битрикс).

Если есть вопросы - я готов ответить (можно в личке) в рамках своих познаний, которые, правда, пока весьма ограничены.

Как-то все в технический фактор уперлось. Есть еще и человеческий фактор: бесплатные ЦМС часто выбирают именно чайники, и логин/пароль задают вида admin/123456

И чего тут ломать, спрашивается? Надеюсь, подбор пароля мы не считаем за взлом?

Подбор пароля это самый настоящий взлом. Собственно, если учесть "достижения" Кевина Митника и его последователей, то использование человеческого фактора (social engineering) это наиболее частый, простой и эффективный способ взлома информационных систем. Касательно отнесения проблем admin/12345 к категории бесплатных систем или к категории неопытных пользователей - это безосновательно. Зуб даю, что подавляющее большинство веб-студий при производстве сайта и демонстрации его заказчику используют простоподбираемые комбинации. И далеко не всегда эти входы устраняются после публикации сайта на боевом доменном имени.

С подбором пароля, как ни странно, чисто технически тоже можно бороться вполне успешно. Не открою Америки, если напомню, как элегантно решалась задача противодействия подборщику паролей в консолях Unix систем. После каждой попытки ввода пароля система в прогрессии увеличивала время, через которое появлялось приглашение к следующей попытке. Таким образом, на 5-6 ходу время ожидания увеличивалось до совершенно неприличных 30-40 секунд, что делало невозможным перебор паролей в автоматическом режиме и очень затрудняло тупую словарную (brute-force) атаку. Кстати, если я ничего не путаю, в винде тоже есть нечто подобное при доменной авторизации.

В серьезных коммерческих веб-системах политика безопасности строится и технически обеспечивается для каждого из этапов работы с админзоной: выбор пароля, ввод, пересылка на сервер, хранение сессии, возможность повторного входа без ввода пароля и так далее. В каких-то системах это делается более тщательно, в каких-то менее. Нужно отметить, что коммерческие системы в этом плане опять же принципиально ненамного лучше бесплатных аналогов. Причина проста: пока жареный петух не клюнет - мужик не почешется. Поэтому очень часто проблемами взломов занимаются только после первого происшествия. Хотя вот мы, к примеру, сами себя ломали с месяц, специально чтобы петуха не дожидаться. Когда устали от типовых задач и хотелось технологической новизны, так сказать. Много интересного накопали, самообразовались и все такое.

А вообще, как мне кажется, вопрос безопасности не есть ключевой при рассмотрении различий платных и бесплатных систем. И сомневаюсь, что для большинства посетителей этого форума очень насущный. Это "романтика" просто некая... Поэтому так много внимания этому уделяется.

Лучше обсуждать уникальные функции, которыми бесплатные системы по каким-то причинам обладать будут не скоро, если вообще будут. В частности, это вопрос поиска по сайту.

Механизм поиска по сайту есть почти в любой CMS. Но достаточно пройтись по лидирующим кастомным и in-box разработкам чтобы понять - поиск по сайту в исполнении самодеятельных разработчиков до Яндекса не будет дотягивать еще очень долго. В одних случаях поиск по сайту практически ничего не находит, хотя на сайте точно есть искомая информация. В других находятся все до единой страницы, т.к. терм был найден в футере сайта. "Морфологический поиск" большинство стало прикручивать только в прошлом году. Задача ранжирования результатов практически никем особо не решается, кроме как тупого использования встроенных средств поиска по таблицам MySQL.

Исходя из этого можно предположить, что коммерческие CMS, которые смогут вложить в исследования алгоритмов поиска и ранжирования хоть какие-то приличные деньги, смогут реализовать что-то приличное через год или два. У нас ушло около 3 человеко-лет, чтобы только в тему погрузиться и написать прототип системы векторного поиска с некоторыми специфическими штучками. А бесплатники никогда не будут так упорно добивать "какой-то там" поиск, у них просто заинтересованности в таких затратах нет. Работает вроде, и ладно.

Есть и другие штуки, которые можно неплохо сделать только с большими затратами, но я уже писал об этом, повторяться не хочу.