Nieuwste versies:
http://secunia.com/advisories/product/17543/ – IIS
http://secunia.com/advisories/product/9633/ – Apache

http://news.netcraft.com/archives/2009/01/16/january_2009_web_server_survey.html

Blijkt dat apache iets minder aandeel heeft en dat IIS in de jaren beter is beveiligd. Mn info was 2 jaar oud… Had voorbeeld nog in hoofd.

Maar goed. Design parameters. Een framework moet doen wat je wilt doen. CodeIgniter en Ruby on Rails zetten je heel strak in hun manier van dingen doen. codeIgniter heeft een nog slechte manier van activeRecord classes die gaandeweg dingen moeilijk kunnen maken. (weet ik uit ervaring, maar 1.7 schijnt klein beetje op te lossen) RoR is zo vol met regels dat je niet om de standaard achtige web2.0 ontwerpen heen komt. Niet geschikt voor wat wij wilden met meer API werk en met flash praten.

Maar het is vooral kijken naar waar het voor is gebouwd. Neem je wordpress dan staat bloggen centraal. De makers van codeigniter bouwen een CMS systeem dus er zijn veel classes voor formulieren, validation, pagination etc. Neem je Google App Engine, heb je scalability problemen opgelost. Zit er bijvoorbeeld wel een localization framework in voor als je naar meer talen wil vertalen? etc. Stel je neemt wordpress als foundation, kom je dan ooit wel om de blogbasis heen. En is de admin wel goed skinable? is Cake wel snel? Codeigniter lijkt veel sneller te zijn dan zowel Cake en ZEND etc.

http://www.avnetlabs.com/php/php-framework-comparison-benchmarks
http://pr0digy.com/codeigniter/benchmark-static-cake-codeigniter-kohana/

Heel veel opties en keuzes dus. Nee ik weet niet wat Woedend zoekt. Hangt van hun projecten, bestaande kennis proggers en problemen vorige platform af. Veel succes met de zoektocht!

Nu niet teveel Apache ophemelen hoor. Apache heeft ook lekken (gehad) en zal dat ook altijd wel houden. Bovendien draaien niet bijna alle websites erop, dat is slechts van jouw (en ook mijn) kijk op de servermarkt zo, omdat wij daar dicht op zitten. In het echt zal het zo’n 50/50 zijn of anders lichtelijk in het voordeel van Apache. Maar, je hebt gelijk, het breed en welbekend gebruik van een dergelijk OS pakket geeft wel aan dat er wereldwijd vertrouwen in is en dat is dus een pluspunt voor open source software en haar vermogen om zich te meten met de gesloten pakketten op gebied van veiligheid.

“Want een verkeerd gekozen framework kan je progwerk ook beperken als je buiten de design parameters gaat van dat framework.”
Kun je dat eens nader toelichten? Er zijn natuurlijk verschillende frameworks en elke is goed in zijn eigen taak en de een heeft een automatische admin functie weer een ander heeft XML-RPC ingebouwd en de ander niet, maar wat versta je onder ‘design parameters’?

Daarnaast is het niet zozeer de vraag of ik graag een framework zou willen gebruiken (want dat staat als een paal boven water), maar meer een zoektocht naar informatie, ervaringen en analyses om goed te kunnen beoordelen of frameworks een goede keuze zou zijn voor Woedend.

Naast dat het handig is om een bestaand framework te gebruiken is het ook heel leerzaam. Ikzelf heb ook vaak gedacht ‘dat ik het zelf wel beter kon’ maar heb inmiddels ook geleerd dat er altijd een punt komt waarop je toch inziet dat het je niet lukt.

Een goed afgewogen keuze maken ben ik erg met Jurriaan eens. De eenvoudigste frameworks zijn niet altijd op lange termijn handig en/of flexibel genoeg.

Onveilig? Hangt van de codebase van het framework af. Neem apache, het meest gebruikte webserver op het internet. Bijna nooit gekraakt. Bijna alle sites draaien erop en veiligheidsproblemen worden snel opgelost. Zet daar tegenover ISS van Microsoft. Heel ander verhaal. (kk, ze worden ook beter gaandeweg)

Kijk ook wat het doet met Apple. Hun hele server pakket is gebouwd op opensource software en frameworks en wordt beschouwd als veilig. Ze hebben Active Directory, printing servers, calendars, ZFS file storage, wikis en mail servers. Met de nieuwe Snow Leopard gooien ze de hele oude mailserver eruit en komt er een nieuwe mailserver die vele malen meer aan IMAP standaard voldoet en vele malen sneller is. http://www.appleinsider.com/articles/09/02/13/snow_leopard_server_to_ramp_up_scalability_and_performance.html Propetary code vervang je niet zo snel omdat je daar proggers voor hebt ingehuurd.

Terug naar de frameworks. Ik heb zelf veel tijd in codeIgniter gestopt. Bugs gereport en dingen gefixed. CodeIgniter is simpel in opzet. Je kunt zo de flow diagram uittekenen van het framework en snappen. En kent heel veel beveiligings systemen die je in een eigen te bouwen ondergrond van grond af aan moet bedenken. Vooral de XSS filters die auto rond elke input komt en die je zelf rond eigen input parsers kunt gooien zijn geniaal. Ze beschermen je tegen elke vorm van code injection. Kun je ook op checken voor contact met MySQL servers. Daarnaast zit security in je eigen code vooral door het kijken van welke classes laad je in bij welke handelingen. De classes die schadelijke dingen zouden kunnen doen zet je bijvoorbeeld tripple checked achter passwords checks.

Nee goede frameworks zou heel wat kunnen besparen doordat je in een goed beveiligde structuur progged maar ook omdat een framework 1 stijl van proggen heeft. Je proggers nemen die goedgedocumenteerde stijl aan en nieuwe mensen kunnen zo meedoen. Ga ook maar eens zelf zon structuur opzetten, documenteren en beheren…

Oftewel, bespaar je een verspild leven, gebruik frameworks. Veiliger, transparanter en maakt proggen leuker. Goede framework kiezen is een ander verhaal, dat is verdiepen. Want een verkeerd gekozen framework kan je progwerk ook beperken als je buiten de design parameters gaat van dat framework.