Joomla! 3.2.1 als oplossing voor bug met "Sterke wachtwoordencryptie'?

joomla 321Officieel is Joomla! 3.x nog een ontwikkelversie totdat Joomla! 3.5 uitkomt. Toch zijn er sitebeheerders die al geruime tijd Joomla! 3.x gebruiken op productiesites. Gister kwam er belangrijk nieuws op internet over een probleem met Joomla! 3.2 dat tijdens het testen niet was opgemerkt. Donderdag 12 december heeft Michael Babker op Joomla.org een bericht hierover gepubliceerd. Wouter (WoodyF4u) heeft het vertaald voor Joomla!NL.

Wat er aan vooraf ging…

Met de kerstvakantie in het vooruitzicht, draaien vele Joomla!-ontwikkelaars overuren in Joomla!land. Zoals je misschien wel weet heeft Joomla! 3.2 enkele nieuwe toepassingen. Helaas blijkt nu dat één van die toepassingen een probleem heeft dat niet is geconstateerd tijdens het testen van deze versie. Tijdens de controles op de laatste versies, alpha, beta en de definitieve versie, hebben vele testers zich ingezet om eventuele problemen er op tijd uit te halen. Toch is er één probleem over het hoofd gezien en helaas was dit wel een heel belangrijke fout, waardoor sommige websitebeheerders die een nieuwe website gingen opzetten werden geblokkeerd op de toegang naar hun eigen website.  En de oplossing om dat weer te herstellen was niet erg eenvoudig.

Joomla!ontwikkelaars die aan het zoeken waren naar de oplossing liepen er tegen aan dat ze niet precies konden vaststellen op welke manier het zou kunnen worden opgelost. Er waren een paar mogelijke oplossingen:

  1. Stoppen met de techniek om compatible te zijn met vorige versies, wat betekend dat er alleen kon worden gewerkt naar Joomla! 4.0. Zeker al ser nog meer nieuwe toepassingen zouden komen die niet met vorige versies overweg zouden kunnen. Dat is wel waar ontwikkelaars de voorkeur aan geven bij het werken aan een belangrijke nieuwe versie. En natuurlijk ook rekening houdend met de LTS-versie, waarbij de verwachting is dat die wordt genummerd als 3.5 en 4.5.
  2. Afdwingen dat een server op een bepaalde PHP-versie moet draaien, wat kan betekenen dat  updates met één klik voor sommige sites niet meer zou werken en ook het tussentijds uitbrengen van veiligheidspatches moeilijker maakt.
  3. Een lager niveau van wachtwoordbeveiliging en encryptie herinstalleren. Dat zou betekenen dat de beveiliging terug gaat naar het niveau van Joomla! 1.5 en 2.5 en we weten dat het beter kan dan dat.

Geen enkele van deze opties is ideaal en het Production Leadership Team (PLT) heeft dus geworsteld met de te volgen richting.  Waar eerst werd gedacht aan het doorvoeren van een aantal patches heeft dit uiteindelijk tot  een ander probleem geleid. Want welke beslissingen moesten er worden genomen en wat verwacht de community aan documentatie en uitleg?

Het goede nieuws is dat er een plan is gevormd en ondertussen wordt getest. De 3.2.1-upgrade zal gedeeltelijk de wijzigingen in 3.2 terugdraaien. Verder zal de wachtwoordencryptie die wordt gebruikt intelligent getest en aangepast worden.
Deze versie lost de meeste toegangsproblemen op. Maar de ontwikkelaars kunnen websites die door deze problemen al dicht zitten door het wijzigen van de PHP-versie, helaas niet via een patch herstellen.
Nu wordt de aandacht vooral gericht op hoe tussentijds de gebruikers geholpen kunnen worden die problemen hebben met hun huidige 3.2-versie.


Ik draai op dit moment een productiesite op Joomla! 3.2

Als je al een website middels een één klik-update of een nieuwe installatie op Joomla! 3.2 draait en alles werkt goed, maak je dan geen zorgen. Je zult dan ook geen verdere problemen ondervinden met je 3.2-site. Maar zet niet de Sterke wachtwoordoptie aan als je het nog niet gedaan hebt.  Wanneer je het wel wil toepassen, doe dat dan wel eerst in een testomgeving.  En controleer ook de versie van PHP op de productieomgeving  en je testomgeving. Websites die de testomgeving en de productieomgeving draaien op PHP 5.3.7 of hoger  zullen zonder problemen kunnen werken.


Ik ben op dit moment een website aan het opzetten met Joomla! 3.2

En je bent bijna zover dat je naar productie over kan? Dit is het moment waarop gebruikers problemen hebben ervaren dat hun website werd geblokkeerd. Zij hadden Sterke wachtwoordencryptie ingeschakeld in hun testomgeving, zodat hun administratorwachtwoord en andere gebruikerswachtwoorden beter werden beveiligd. Maar als zij vervolgens hun website verplaatsten naar de hostingomgeving die draaide op een erg oude PHP-versie (5.3.6 of lager) dan werkte de wachtwoordencryptie niet goed meer, waardoor er geen toegang tot de website meer mogelijk was.
Een wachtwoordreset helpt in dit geval niet om het probleem op te lossen door een bug die wordt opgelost met de patch 3.2.1

Als dit ook bij jou het geval is en je kunt nog wachten tot de 3.2.1-versie wordt vrijgegeven, dan is daarmee je probleem opgelost. Een alternatief is om je hostingprovider te vragen om de server te updaten naar PHP 5.3.7 of hoger. Als ze dat doen is er niets aan de hand. Schakel anders de Sterke wachtwoordencryptie uit in je testomgeving en maak een nieuw administratoraccount aan dat werkt met het vorige veiligheidsniveau. Daarna kun je migreren  naar een hostingserver die op een lager niveau werkt. Gebruikerswachtwoorden die zijn geupdate of aangemaakt met de Sterke wachtwoordencryptie aan, zullen het na de migratie niet doen.  Ook die dienen te worden aangepast in de testomgeving, voordat er wordt gemigreerd.

Er zijn Engelstalige instructies beschikbaar voor websites die de Sterke wachtwoordencryptie aan hebben staan en die uit te schakelen: op: http://docs.joomla.org/How_to_disable_the_Strong_Passwords_feature.


Ik draai op dit moment nog een Joomla! 3.0 / 3.1-site

Je kunt dan gerust de één klik-update uitvoeren en de nieuwe mogelijkheden van Joomla! 3.2 uitproberen.  Maar schakel de Sterke wachtwoordencryptie niet in voordat de 3.2.1-versie beschikbaar komt. Controleer dan evengoed nog de PHP-versie en volg verder de instructies uit de link hierboven.

Ik draai momenteel een Joomla! 2.5-site

Geweldig! Voor jou is er niets aan de hand. Zo lang 2.5 nog onder de Long Term Support valt, zullen nieuwe toepassingen  zoals deze niet worden geïmplementeerd. Dergelijke nieuwe toepassingen worden alleen in Joomla! 3.x geleverd.

Ik draai op dit moment een  Joomla! 1.5-site

Verzeker jezelf ervan dat alle websitebezoekers nog gebruik maken van Internet Exolorer 6! (Geintje). Besef dat de ondersteuning voor Joomla! 1.5 al in december 2012 is gestopt. En dus worden alle Joomla! 1.5-gebruikers dringend aangeraden om hun site(s) te migreren naar Joomla! 2.5 of 3.2. Alhoewel de software niet meer wordt ondersteund betekend dat niet dat de websites vanzelf zouden stoppen met werken.

Wanneer wordt Joomla! 3.2.1 vrijgegeven?

Jouw kristallen bol is waarschijnlijk net zo goed als die van mij. De patch is namelijk nog niet  volledig uitgewerkt. Er werkt een geweldige groep vrijwilligers aan het samenstellen van deze patch. Zij moeten echter heel goed bepaalde beslissingen afwegen. Het doel is uiteraard om de patch ‘binnenkort’ vrij te geven, wat kan betekenen dat die volgende week vrijkomt of anders begin volgend jaar.

Hoe kunnen we voorkomen dat dit nog eens gebeurt?

We hebben eenvoudig meer mensen nodig die kunnen helpen met testen en het rapporteren van bugs. Wanneer het bericht komt dat er een nieuwe Betaversie en Release Candidate komt, zullen de testers aan de slag moeten. Het liefst natuurlijk op zo veel mogelijk verschillende hosting-omgevingen. De ontwikkelaars hebben uiteraard hun toepassingen gecontroleerd op bugs in de omgeving waar zij dagelijks mee werken. Dus dan is een frisse blik en het gebruik van andere servers erg nuttig.

Wil jij je ook aanmelden om als vrijwilliger te testen? Meld je dan aan bij de Google Group-mailinglist, die wordt gebruikt om nieuwe testversies aan te kondigen. Deze groep heeft niet veel mailverkeer, dus zal je mailbox niet direct vollopen. https://groups.google.com/group/jtesters