The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Nextcloud GmbH поглотила почтовый клиент Roundcube

29.11.2023 22:39

Компания Nextcloud GmbH, развивающая открытую платформу Nextcloud, предназначенную для создания облачных хранилищ и организации совместной работы сотрудников предприятий и команд, объявила о присоединении почтового клиента Roundcube. Финансовые подробности сделки не разглашаются, но указано, что Roundcube продолжит развиваться как обособленный почтовый клиент, который можно будет использовать без привязки к платформе Nextcloud.

Прямое слияние кодовых баз Roundcube и Nextcloud не планируется, как не планируется и прекращение разработки нынешнего почтового клиента Nextcloud Mail, который продолжит разрабатываться. Отмечается, что в Nextcloud Mail и Roundcube имеются свои сильные и слабые стороны, а также различные сценарии использования. Из ближайших планов упоминается намерение нанять дополнительных разработчиков для форсирования развития Roundcube и создания на его основе полноценного продукта, подходящего широкому кругу пользователей и способного конкурировать с централизованными коммерческими аналогами.

Roundcube развивается с 2008 года и предоставляет работающий в браузере почтовый клиент (web-интерфейс), использующий для доступа к хранимой на сервере почте протокол IMAP. Оформление Roundcube приближено к классическим почтовым клиентам и использует технологию Ajax для организации асинхронного обмена данными с сервером без перезагрузки компонентов web-страницы. Интерфейс адаптируется к размеру экрана и может использоваться как на настольных системах, так и на мобильных устройствах. Предоставляется возможность настройки оформления на свой вкус через систему шаблонов.

В приложении поддерживается адресная книга, поиск сообщений, проверка правописания, обработка MIME-типов, навигация в режиме Drag&Drop, древовидное представление сообщений, предпросмотр вложений, PGP-шифрование, отображение HTML-сообщений, кэширование для быстрого доступа к почтовым папкам, расширение через плагины (например, имеется плагин с календарём-планировщиком) и другие типичные возможности обособленных почтовых клиентов. Код Roundcube написан на языке PHP и распространяется под лицензией GPLv3.

Несмотря на то, что в пресс-релизе Nextcloud продукт назван "secure mail client", безопасность Roundcube оставляет желать лучшего, например, в октябре в сети была выявлена активность злоумышленников, использующих неисправленную 0-day уязвимость (CVE-2023-5631) в Roundcube, приводящую к выполнению JavaScript-кода при открытии специально оформленного сообщения, что можно было использовать, например, для переотправки писем на сервер атакующих. Похожие XSS уязвимости в Roundcube находят регулярно, например, они исправлялись в сентябре, октябре и ноябре. Уязвимости находили и серверных частях Roundcube, например, в 2020 году были найдены проблемы, позволявшие выполнить PHP-код на сервере или узнать содержимое локальных файлов из-за отсутствия экранирования "/.." в именах плагинов и спецсимволов в запускаемой через shell-команде для преобразования изображений.



  1. Главная ссылка к новости (https://nextcloud.com/blog/ope...)
  2. OpenNews: Уязвимость в Roundcube Webmail, позволяющая выполнить код на сервере
  3. OpenNews: Доступен Roundcube Webmail 1.2.0 с поддержкой PGP
  4. OpenNews: Доступна платформа для организации совместной работы Nextcloud Hub 5
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60197-roundcube
Ключевые слова: roundcube, nextcloud, mail
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:04, 29/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > безопасность Roundcube оставляет желать лучшего

    ну так на недавней Зефирке (rtos) тоже было много про секурити)

     
     
  • 2.5, Аноним (5), 23:47, 29/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кто сказал OpenSMTPD?
     
     
  • 3.39, К.О. (?), 07:18, 09/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Свят-свят-свят
     

  • 1.3, Анонин (?), 23:20, 29/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > использующих неисправленную 0-day уязвимость

    С Вики: Roundcube — клиент для работы с электронной почтой с веб-интерфейсом, написанный на PHP с использованием JavaScript, CSS, HTML и технологии AJAX.

    Казалось бы что могло пойти не так?!
    Вообще поглощение странное тк у nextcloud есть своя вебморда.
    Кто-то понимает зачем?

     
     
  • 2.9, Аноним (9), 00:22, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Когда речь про совместную работу по сети, то браузер и вебня на первых местах. С этой точки зрения: перечисленное и облака - одно к одному.
     
  • 2.13, нёхклауд (?), 01:17, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вообще поглощение странное тк у nextcloud есть своя вебморда.
    > Кто-то понимает зачем?

    мы хотели добавить к своей вебморде нормальную почточиталку. А не писать самим с нуля. Чего неясно-то?

     
  • 2.20, Хухрымухры (ok), 06:20, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кто-то понимает зачем?

    Бабки. Roundcube используют компании в качестве своего почтового клиента.

     
     
  • 3.29, Александр (??), 11:03, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И не то что компании, а правительства разных мелких стран тоже.
     
     
  • 4.35, noc101 (ok), 17:23, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да по факту Roundcube почти стандарт и его используют много где, в больших компаниях тоже.
     
  • 2.24, Аноним (24), 07:33, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Откат? Освоение бюджета перед закрытием года? А зачем всякие корпорации и фонды приобретают ненужные активы? Для создания видимости деятельности.
     
  • 2.32, nebularia (ok), 13:40, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Казалось бы что могло пойти не так?!

    А как надо, умный аноним?

     
  • 2.36, Криптоханыга (?), 19:05, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-то понимает зачем?

    Чтобы тупо забрать себе клиентскую базу, а сам проект плавно слить.
    Покажут преимущества своего решения, помогут с миграцией и интеграцией.
    Ничего личного, только бизнес.

     

  • 1.8, Аноним (9), 00:19, 30/11/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +4 +/
     

     ....ответы скрыты модератором (9)

  • 1.11, cheburnator9000 (ok), 00:30, 30/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это нормальная практика когда компания рекламирует продукт как secure, а на самом деле это не так, возможно они и старались, но почему-то в таких компаниях не заинтересованны в дополнительных тратах на это дело. Это ровно также и в реальном живом мире происходит.

    Например, у Zoho есть Notebook для Android/iOS. Не знаю как под iOS, но в Android у них есть "Secured notes" и в одно время они так и рекламировали, сейчас уже перестали писать Secure Notes, теперь пишут Most Beautiful Notebook. Так вот эти самые безопасные карточки блокнотов во время открытия экрана с их списком на долю секунды отображали Preview содержимого, а уже затем поверх замыливали (накладывали Blur). ?????? Я даже не поленился написать им, пару месяцев игнорировали, затем на повторный вопрос ответили что они кхе кхе "взяли на заметку". И нифига не исправили.

     
     
  • 2.16, Аноним (15), 04:09, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще не знаю ты детективы не смотришь? Кто там гарантом общака всегда являлся и куда он потом отьезжал? Так и тут главные по хранению твоих заметок нацелены не тебе безопастность обеспечивать а вообще могут решать совершенно свои задачи...
     
  • 2.27, Аноним (27), 09:54, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если всё их секурити заключается в блюре, то не такие уж они секурные можно и на секунду показать все правильно делают.
     
  • 2.28, glad_valakas (?), 10:19, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  безопасные карточки блокнотов

    самый безопастный блокнот - бумажный блокнот в своем внутреннем кармане.
    и только потом потом идут вот такие штуки (если заставить
    их хранить инфу на шифрованном диске):
    https://packages.debian.org/bookworm/taskwarrior


     

  • 1.26, Аноним (27), 09:45, 30/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что раундкубе хорош, если дефолтную тему поменять.
     
  • 1.31, Аноним (-), 12:57, 30/11/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.34, DayDve (?), 15:22, 30/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Всё правильно делают.
    В NC давно есть потребность в нормальном почтовом клиенте.
    Потому что родной mail у них убогий и неудобный.
    А интеграции с roundcube, rainloop и прочими выглядят вырвиглазно и работают на уровне а-ля iframe и не дают преимуществ перед вышеуказаными клиентами тупо запущенными отдельно и открытыми в соседней вкладке.
    Если они со временем выпилят mail, заменив его полноценным клиентом на базе roundcube, с прозрачной интеграцией с остальными сервисами NC и с возможностью запускать его по maito - это будет пушка.
     
     
  • 2.37, oljas (?), 21:43, 30/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживаю. Mail app убог. Если я удаляю письма другим почтовым клиентом они всё равно остаются в списке mail.app и хз как их оттуда удалить. Баг висит в гитхабе давно. Говорят это ваш другой клиент виноват, мол он неправильно удаляет.
    Остаётся надеяться, что roundcube не скатиться.
     

  • 1.40, К.О. (?), 07:34, 09/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К слову, хоть кто-нибудь в курсе почему любой сколько-нибудь функциональный вебмейл обязательно написан или на похапе или на ноде? Почему нет ни одной вменяемой реализации вебмейла на том же пайтоне, например? Есть какие-то предположения?

    Был, да, mailpile, но он для персонального использования. Остальное сплошь студенческие поделки на джанге, с чудовищной архитектурой, когда все письма сначала сохраняются в реляционной базе, а потом оттуда читаются.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру