Servus,
hier die News zur Veröffentlichung von VM 3.0.8 auf Deutsch.
Sicherheitsupdate VM 3.0.8
Schlussendlich, nach einigen Zwischenversionen, erscheint VM 3.0.8.
Die meisten Sicherheitsupdates wurden bereits mit VM 3.0.6 ausgeliefert. Zusätzlich hatten wir 2.0.6.2 veröffentlicht, um ein Problem in Bezug auf das letzte Sicherheitsproblem in PHP selbst zu minimieren. (https://github.com/80vul/phpco…aster/research/pch-020.md).
Die anderen beiden Sicherheitslücken waren minderschwer (nicht überall auftretendes Cross Site Scripting XSS) wie hier beschrieben:
.../8692/diff/trunk/virtuemart/administrator/components/com_virtuemart/helpers/vmpagination.php
.../8692/diff/trunk/virtuemart/administrator/components/com_virtuemart/models/product.php.
Was ist also in der Zwischenzeit passiert?
Nun, unsere lieben Kollegen, die Joomla-Entwickler, haben uns etwas mehr auf den Zehenspitzen gehalten als normalerweise. 
Wir wurden durch unterschiedliche Umstände dazu gezwungen, kleinere Zwischenversionen zu veröffentlichen. Als Erstes mussten wir im Februar schnell reagieren, als uns die "Appcheck NG" darauf aufmerksam machte, dass wir die gefährliche Datei "uploader.swf" in unserem Full Installer für Joomla 2.5.x/VM 3.0.x verteilten. Nach einigen Nachforschungen wurde klar, dass diese Datei immer noch mit Joomla verteilt wurde und nur bei einem Joomla-Update entfernt wurde. Diese Datei war seit Joomla 2.5.10 als gefährlich bekannt, befindet sich aber immer noch im Installer für Joomla 2.5.28. Wir haben daraufhin die Datei aus unserem Paket entfernt und haben eine Funktion zum Entfernen der Datei in VirtueMart 2.6.16+ und 3.0.6+ eingebaut, um sicherzustellen, dass diese Datei gelöscht wird.
Einige Tage später, nachdem wir gerade das JavaScript für die Toolbar an Joomla 3.4.0 aangepasst hatten, wurde Version 3.4.1 veröffentlicht, welche eine veränderte JavaScript-Datei validation.js enthielt und das JavaScript für den 'Save'-Button unwirksam machte. Die Gründe dafür wurden als "Optimierung" und "vernachlässigbare" Änderungen in niedrig kategorisierten Fehlern angegeben. Unserer bescheidenen Meinung nach liegt das höchstwahrscheinlich an der neuen Veröffentlichungsstrategie von Joomla, keine Kurzzeit- und Langzeitversionen mehr anzubieten. Wir begrüßen, dass Joomla aus dem "LTR und STR"-System ausgestiegen ist, aber beim neuen System sieht so aus, als ob es keine klaren Regeln darüber gibt, welche Art von Features in einer Zwischenversion hinzugefügt werden dürfen. Auch wir haben eine Zeit lang gebraucht, es ist eine Frage von Erfahrung und Regeln. Da Joomla ein schneller wechselndes Team hat, wäre es für das Joomla-Team eine gute Idee, ihr Wissen in Regeln niederzuschreiben. Es wird spannend bleiben wie die Joomla Community mit dieser Situation umgehen wird. Aus Entwicklersicht hatten wir zuvor nur auf die Kompatibilität mit Hauptversionen achten müssen, wie J1.0, J1.5, J2.5, J3.3. Zur Zeit sieht es so aus, als müssten wir auch mit der Kompatibilität in kleineren Versionen wie 3.4.x, 3.5.x und so weiter kämpfen. Oder um es unverblühmt zu formulieren: Joomla wird instabil. Für einen Entwickler bedeutet stabil/instabil nicht nur, dass die Ausführung des Programms stabil ist, es bedeutet auch, dass das Programm sich wie zuvor verhält.
Ich habe das Obenstehende vor einer Woche geschrieben und in der Zwischenzeit hatten wir mit neuen Problemen beim Routing der Sprache in Joomla 3.4.1 zu kämpfen, einem neuen Problem mit Canonical URLs und mehr. Wir hoffen, dass alle offenen Router- und SEF-Verbesserungen (siehe issues.joomla.org/tracker/joomla-cms/?category=router-sef getestet und sobald wie möglich in Joomla integriert werden. Ein halbbackenes Router-System erzeugt viele Probleme für uns.
Da es weiterhin Sicherheitsaudits für Joomal 2.5.28 gibt, auch nach dem ausgerufen "Lebensende", raten wir aktuell dazu, dass mehrsprachige Shops bei Joomal 2.5.28 verbleiben bis wir ein stabiles Joomla 3.4.x oder 3.5 haben. Unsere Supporter Membership beinhaltet einen Vertrag über fortwährende Sicherheitsupdates und garantiert ein stabiles und sicheres System.
Wie viele Live-Shops zeigen, bedeutet das Verbleiben bei Joomla 2.5.28 keinesfalls, dass das System nicht "responsive" oder "mobile friendly" ist. Es gibt hervorragende Templates auf dem Markt, die alle Eigenschaften für Mobiltelefone und Tablets bieten, die ein moderner Internetshop mit einem starken Joomla 2.5-Rückgrat heute haben muss.
Wir haben sehr hart an der neuen Version gearbeitet und haben auch einige neue Features hinzugefügt.
- Das vmBeez-Template ist jetzt "mobile friendly" (Kudos an Stefan Schumacher).
- Eine neue Option für Multi Variants, die automatisch die ausgewählte Zeichenkette der selbsterstellten Felder in den Produktkindern erzeugt. Dies ist sehr wichtig für Such-Plugins.
- Für Multi Variant wird die Zeilenanzahl berechnet (in der Browsepage).
- Neue Beispieldaten mit neuen Bildern.
- Weitere "Nicht Null"-Deklarationen für SQL hinzugefügt. (MySQL :: MySQL 5.7 Reference Manual :: 8.2.1.8 IS NULL Optimization)
- Fallbacks für IE9, diverses JS und fehlende Werte und Ähnliches.
- Der Kategoriename versteht vmText-Sprachschlüssel.
- Zusätzliche Option für "is_list" in den selbsterstellten Feldern S und M.
- Addressverarbeitung im Warenkorb verbessert.
- Ein Beispiel für robusteren Code: Die Erzeugung von Produktkindern hatte durch den Slug-Finder eine Beschränkung (nicht mehr als 20 Versuche). Die neue Funktion verwendet den Slug des zuletzt erzeugten Kindes, um einen neuen Slug zu finden.
- Ein weiteres Beispiel: Die Funktion ensureUniqueId wurde hinzugefügt, um alle HTML id-Tags aufzunehmen und so die Einzigartigkeit von id-Tags sicherzustellen (noch nicht für irgendeine HTML-Funktion implementiert).
- Oder Vmprices addtocart funktioniert nun auch mit dem HTML-Element button, nicht nur mit input.
- vRequest::vmSpecialChars ohne doppelte Kodierung hinzugefügt, da lang ein Befehl in PHP sein kann (Dank an Kainhofer für den Hinweis und den Patch).
- Und vieles mehr, Sie können das Repository gerne selbst untersuchen dev.virtuemart.net/.../trunk/virtuemart
Bitte immer erst die Core-Komponente installieren, danach die AIO und dann TCPDF.
Weiterhin haben wir die neue Version VM 2.6.18 mit kleineren Bugfixes veröffentlicht.
Grüße
Stefan