Közel három éve, egy ingyenes dizájnsablon nem egészen jogszerű használata kapcsán kapott először nagyobb nyilvánosságot, hogy az MTVA a Joomla keretrendszerre építette honlapját. Az MTVA-oldal a héten újból téma, ám ezúttal nem sablonhasználati, hanem biztonsági szempontból, szerdán ugyanis összeomlott, vagy meghekkelték. Alapvetően két kérdés merült fel: Szabad-e egy ingyenes rendszerrel “bohóckodni” egy ilyen kaliberű szervezet honlapja esetén? Elég biztonságos-e a Joomla?

MTVA

Hol van itt a kaliber?

Érdemes tisztázni, hogy a fenti két kérdés valóban két külön kérdés. Sőt már az első kérdésben is van néhány másik. Milyen kaliberű szervezet az MTVA? És mi van a honlapján? Bár egy 80 milliárdból gazdálkodó állami monstrumról beszélünk, maga az MTVA és amit szervezeti honlapján nyújtani tud, nos, az tulajdonképpen jelentéktelen. Nem az állami tévé- és rádiócsatornák nyilvános archívumát tartalmazó MédiaKlikkről, nem az állami média központi híroldaláról, és még csak nem is az állami hírügynökség oldaláról van szó – az MTVA oldala tulajdonképpen egy kibővített sajtószoba, ahol csak néhány olyan információ van felsorolva, ami ebben a formában és helyről keveseket érdekel.

Ilyen értelemben pedig egyáltalán nem fontos a kérdés, hogy szabad-e Joomlát használnia egy ilyen kaliberű szervezet honlapján: az mtva.hu annyira kis kaliberű, hogy tulajdonképpen az vetne fel inkább kérdéseket, ha egy belső munkatársak által gyúrogatott ingyenes rendszer helyett egy saját fejlesztésű (drágább) megoldást használnának hozzá.

Az MTVA honlapja: ha működik, akkor sincs rajta túl sok érdekes

MTVA

Az ingyenes biztonság illúziója

Bár a második kérdésnek – biztonságos-e a Joomla – a fentiek fényében kicsit kisebb a jelentősége, azért érdemes ezt is megvizsgálni. A Joomla a WordPress után a második legnépszerűbb tartalomkezelő rendszer (content management system, CMS). Egy olyan szoftvercsomag, amelynek telepítéséhez viszonylag alacsony hozzáértés szükséges: az átlagos informatikai tudáson felül csak néhány órányi értő olvasás szükséges, és bárki feltelepítheti, miután egy sok funkcióval rendelkező – ráadásul előre elkészített modulokkal egyszerűen bővíthető tudású és megjelenésű – saját honlapja lehet.

A Joomla alapvetően ingyenes, azaz a keretrendszert bárki ingyen használhatja, emellett pedig a dizájnt meghatározó sablonok és a plusz funkcionalitást biztosító beépülő modulok egy része is ingyenes vagy néhány dollárból beszerezhető.

Az “alapvetően ingyenes” kifejezésből azonban nem csak a második szó fontos. Ha valaki egy kicsit komolyabb honlapot szeretne, amely stabilitása számára fokozottan fontos, akkor, mint mindenre, a Joomla-alapú honlapra is pénzt kell költeni. Egyrészt a karbantartásra, másrészt pedig éppen a biztonságra. Az alaprendszert átlagosan 36 naponta frissítik – a legutóbbi verzió február 22-én jött ki –, ezt valakinek telepítenie kell, majd hozzáigazítani a frissítések hatására időnként működésképtelenné váló biztonsági vonatkozásokat és átnézni a szerveroldalról is.

Joomlahost

Bárki feltöri?

A nagy közös rendszernek ugyanaz az előnye, mint a hátránya. A Joomla-rendszerekben jártas szakember bármelyik Joomla-alapú honlap üzemeltetésével elboldogul, hiszen a szájtok “ugyanazon a nyelven beszélnek” – ugyanez igaz viszont akkor is, ha valaki támadó céllal közelít.

Egy Joomla-alapú honlap stabilitásának és a biztonságának megteremtése és fenntartása tehát pénzbe kerül, ezt egy ingyenes rendszer esetében sem lehet teljesen megúszni. Ha ez megvan, tehát valaki megfelelő szakemberekkel üzemelteti a Joomla-alapú honlapját, akkor jó esély van arra is, hogy a szakmai fórumokban felmerülő biztonsági réseket be tudja tömni, vagy legalábbis valamilyen szerveres biztonsági megoldással átmenetileg kiiktatni, amíg megérkezik rá a hivatalos, keretrendszerszintű javítás.

Tehát a kérdés: biztonságos-e a Joomla?

Ha a fentiek fényében még nem egészen egyértelmű a válasz, akkor most konkretizáljuk: nem igaz, hogy a Joomla egy szemétdombra való tartalomkezelő rendszer, amit csak keveseket érdeklő személyes weboldalakhoz érdemes használni. Ennek bizonyítására általában a Harvard Egyetemhez tartozó Joomla-alapú honlapokat szokták felhozni, de talán sokkal beszédesebb az is, hogy a Citibank sem félt erre építeni belső kommunikációs (intranet) rendszerét. Ezeknél az MTVA honlapja sokkal kevésbé érdekes/fontos, azzal tehát biztosan nincs baj, hogy a Joomlát használják hozzá.

Hogy milyen felkészültségű szakemberekkel biztosítják a stabil működést, az már inkább lehet kérdés – tehát az MTVA-s mindennapi konkrétumok inkább állhatnak a szerdai összeomlás mögött, mint az alaprendszer és annak kiválasztása. És hogy 80 milliárdból nem lehetne esetleg erre is többet költeni? A kérdés jó, de a cikk elején tárgyalt jelentéktelenség fényében nincs rá túlságosan határozott válasz: lehetni lehetne, de nem biztos, hogy indokolt.