Компания Nextcloud GmbH поглотила почтовый клиент Roundcube

29.11.2023 22:39

Компания Nextcloud GmbH, развивающая открытую платформу Nextcloud, предназначенную для создания облачных хранилищ и организации совместной работы сотрудников предприятий и команд, объявила о присоединении почтового клиента Roundcube. Финансовые подробности сделки не разглашаются, но указано, что Roundcube продолжит развиваться как обособленный почтовый клиент, который можно будет использовать без привязки к платформе Nextcloud.

Прямое слияние кодовых баз Roundcube и Nextcloud не планируется, как не планируется и прекращение разработки нынешнего почтового клиента Nextcloud Mail, который продолжит разрабатываться. Отмечается, что в Nextcloud Mail и Roundcube имеются свои сильные и слабые стороны, а также различные сценарии использования. Из ближайших планов упоминается намерение нанять дополнительных разработчиков для форсирования развития Roundcube и создания на его основе полноценного продукта, подходящего широкому кругу пользователей и способного конкурировать с централизованными коммерческими аналогами.

Roundcube развивается с 2008 года и предоставляет работающий в браузере почтовый клиент (web-интерфейс), использующий для доступа к хранимой на сервере почте протокол IMAP. Оформление Roundcube приближено к классическим почтовым клиентам и использует технологию Ajax для организации асинхронного обмена данными с сервером без перезагрузки компонентов web-страницы. Интерфейс адаптируется к размеру экрана и может использоваться как на настольных системах, так и на мобильных устройствах. Предоставляется возможность настройки оформления на свой вкус через систему шаблонов.

В приложении поддерживается адресная книга, поиск сообщений, проверка правописания, обработка MIME-типов, навигация в режиме Drag&Drop, древовидное представление сообщений, предпросмотр вложений, PGP-шифрование, отображение HTML-сообщений, кэширование для быстрого доступа к почтовым папкам, расширение через плагины (например, имеется плагин с календарём-планировщиком) и другие типичные возможности обособленных почтовых клиентов. Код Roundcube написан на языке PHP и распространяется под лицензией GPLv3.

Несмотря на то, что в пресс-релизе Nextcloud продукт назван "secure mail client", безопасность Roundcube оставляет желать лучшего, например, в октябре в сети была выявлена активность злоумышленников, использующих неисправленную 0-day уязвимость (CVE-2023-5631) в Roundcube, приводящую к выполнению JavaScript-кода при открытии специально оформленного сообщения, что можно было использовать, например, для переотправки писем на сервер атакующих. Похожие XSS уязвимости в Roundcube находят регулярно, например, они исправлялись в сентябре, октябре и ноябре. Уязвимости находили и серверных частях Roundcube, например, в 2020 году были найдены проблемы, позволявшие выполнить PHP-код на сервере или узнать содержимое локальных файлов из-за отсутствия экранирования "/.." в именах плагинов и спецсимволов в запускаемой через shell-команде для преобразования изображений.

исправить +16 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60197-roundcube

Ключевые слова: roundcube, nextcloud, mail

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.1, Аноним (1), 23:04, 29/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> безопасность Roundcube оставляет желать лучшего ну так на недавней Зефирке (rtos) тоже было много про секурити)

2.5, Аноним (5), 23:47, 29/11/2023 [^] [^^] [^^^] [ответить]	+/–
Кто сказал OpenSMTPD?

3.39, К.О. (?), 07:18, 09/12/2023 [^] [^^] [^^^] [ответить]	+/–
Свят-свят-свят

1.3, Анонин (?), 23:20, 29/11/2023 [ответить] [﹢﹢﹢] [ · · · ]

–2 +/–

> использующих неисправленную 0-day уязвимость

С Вики: Roundcube — клиент для работы с электронной почтой с веб-интерфейсом, написанный на PHP с использованием JavaScript, CSS, HTML и технологии AJAX.

Казалось бы что могло пойти не так?!
Вообще поглощение странное тк у nextcloud есть своя вебморда.
Кто-то понимает зачем?

2.9, Аноним (9), 00:22, 30/11/2023 [^] [^^] [^^^] [ответить]	+/–
Когда речь про совместную работу по сети, то браузер и вебня на первых местах. С этой точки зрения: перечисленное и облака - одно к одному.

2.13, нёхклауд (?), 01:17, 30/11/2023 [^] [^^] [^^^] [ответить]	+3 +/–
> Вообще поглощение странное тк у nextcloud есть своя вебморда. > Кто-то понимает зачем? мы хотели добавить к своей вебморде нормальную почточиталку. А не писать самим с нуля. Чего неясно-то?

2.20, Хухрымухры (ok), 06:20, 30/11/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> Кто-то понимает зачем? Бабки. Roundcube используют компании в качестве своего почтового клиента.

3.29, Александр (??), 11:03, 30/11/2023 [^] [^^] [^^^] [ответить]	+/–
И не то что компании, а правительства разных мелких стран тоже.

4.35, noc101 (ok), 17:23, 30/11/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Да по факту Roundcube почти стандарт и его используют много где, в больших компаниях тоже.

2.24, Аноним (24), 07:33, 30/11/2023 [^] [^^] [^^^] [ответить]	–4 +/–
Откат? Освоение бюджета перед закрытием года? А зачем всякие корпорации и фонды приобретают ненужные активы? Для создания видимости деятельности.

2.32, nebularia (ok), 13:40, 30/11/2023 [^] [^^] [^^^] [ответить]	+/–
> Казалось бы что могло пойти не так?! А как надо, умный аноним?

2.36, Криптоханыга (?), 19:05, 30/11/2023 [^] [^^] [^^^] [ответить]	+/–
> Кто-то понимает зачем? Чтобы тупо забрать себе клиентскую базу, а сам проект плавно слить. Покажут преимущества своего решения, помогут с миграцией и интеграцией. Ничего личного, только бизнес.

1.8, Аноним (9), 00:19, 30/11/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+4 +/–

2.12, Аноним (12), 00:38, 30/11/2023 Скрыто ботом-модератором [к модератору]	–3 +/–

3.15, Аноним (15), 04:05, 30/11/2023 Скрыто ботом-модератором [к модератору]	+/–

4.17, Аноним (17), 04:15, 30/11/2023 Скрыто ботом-модератором [к модератору]	+2 +/–

4.19, Аноним (19), 06:04, 30/11/2023 Скрыто ботом-модератором [к модератору]	+/–

4.22, Аноним (22), 06:44, 30/11/2023 Скрыто ботом-модератором [к модератору]	+/–

4.23, Андрей04091977 (ok), 06:52, 30/11/2023 Скрыто ботом-модератором [к модератору]	–2 +/–

4.25, Аноним (25), 08:55, 30/11/2023 Скрыто ботом-модератором [к модератору]	+/–

5.33, Аноним (17), 13:52, 30/11/2023 Скрыто ботом-модератором [к модератору]	+/–

2.21, наука_кандидатов (?), 06:42, 30/11/2023 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (9)

1.11, cheburnator9000 (ok), 00:30, 30/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это нормальная практика когда компания рекламирует продукт как secure, а на самом деле это не так, возможно они и старались, но почему-то в таких компаниях не заинтересованны в дополнительных тратах на это дело. Это ровно также и в реальном живом мире происходит. Например, у Zoho есть Notebook для Android/iOS. Не знаю как под iOS, но в Android у них есть "Secured notes" и в одно время они так и рекламировали, сейчас уже перестали писать Secure Notes, теперь пишут Most Beautiful Notebook. Так вот эти самые безопасные карточки блокнотов во время открытия экрана с их списком на долю секунды отображали Preview содержимого, а уже затем поверх замыливали (накладывали Blur). ?????? Я даже не поленился написать им, пару месяцев игнорировали, затем на повторный вопрос ответили что они кхе кхе "взяли на заметку". И нифига не исправили.

2.16, Аноним (15), 04:09, 30/11/2023 [^] [^^] [^^^] [ответить]	+/–
Вообще не знаю ты детективы не смотришь? Кто там гарантом общака всегда являлся и куда он потом отьезжал? Так и тут главные по хранению твоих заметок нацелены не тебе безопастность обеспечивать а вообще могут решать совершенно свои задачи...

2.27, Аноним (27), 09:54, 30/11/2023 [^] [^^] [^^^] [ответить]	+/–
Если всё их секурити заключается в блюре, то не такие уж они секурные можно и на секунду показать все правильно делают.

2.28, glad_valakas (?), 10:19, 30/11/2023 [^] [^^] [^^^] [ответить]

+1 +/–

> безопасные карточки блокнотов

самый безопастный блокнот - бумажный блокнот в своем внутреннем кармане.
и только потом потом идут вот такие штуки (если заставить
их хранить инфу на шифрованном диске):
https://packages.debian.org/bookworm/taskwarrior

1.26, Аноним (27), 09:45, 30/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А что раундкубе хорош, если дефолтную тему поменять.

1.31, Аноним (-), 12:57, 30/11/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.34, DayDve (?), 15:22, 30/11/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Всё правильно делают. В NC давно есть потребность в нормальном почтовом клиенте. Потому что родной mail у них убогий и неудобный. А интеграции с roundcube, rainloop и прочими выглядят вырвиглазно и работают на уровне а-ля iframe и не дают преимуществ перед вышеуказаными клиентами тупо запущенными отдельно и открытыми в соседней вкладке. Если они со временем выпилят mail, заменив его полноценным клиентом на базе roundcube, с прозрачной интеграцией с остальными сервисами NC и с возможностью запускать его по maito - это будет пушка.

2.37, oljas (?), 21:43, 30/11/2023 [^] [^^] [^^^] [ответить]	+/–
Поддерживаю. Mail app убог. Если я удаляю письма другим почтовым клиентом они всё равно остаются в списке mail.app и хз как их оттуда удалить. Баг висит в гитхабе давно. Говорят это ваш другой клиент виноват, мол он неправильно удаляет. Остаётся надеяться, что roundcube не скатиться.

1.40, К.О. (?), 07:34, 09/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
К слову, хоть кто-нибудь в курсе почему любой сколько-нибудь функциональный вебмейл обязательно написан или на похапе или на ноде? Почему нет ни одной вменяемой реализации вебмейла на том же пайтоне, например? Есть какие-то предположения? Был, да, mailpile, но он для персонального использования. Остальное сплошь студенческие поделки на джанге, с чудовищной архитектурой, когда все письма сначала сохраняются в реляционной базе, а потом оттуда читаются.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: