<br><br><div class="gmail_quote">On Thu, Jun 4, 2009 at 8:00 AM, David Nalley <span dir="ltr"><<a href="mailto:david@gnsa.us">david@gnsa.us</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div></div><div class="h5">On Thu, Jun 4, 2009 at 6:23 AM, Paulo Cavalcanti <<a href="mailto:promac@gmail.com">promac@gmail.com</a>> wrote:<br>
> Hi,<br>
><br>
> I submitted ampache (<a href="http://ampache.org/" target="_blank">http://ampache.org/</a>) for review, but I was told that it<br>
> could not use any external software<br>
> bundled in the code. In fact, it uses getid3, a file that seems to come from<br>
> horde (horde/Browser.php),<br>
> and some others.<br>
><br>
> According to the weekpedia (<a href="http://en.wikipedia.org/wiki/Ampache" target="_blank">http://en.wikipedia.org/wiki/Ampache</a>)<br>
><br>
> "Ampache has been featured in numerous online blogs and technical articles.<br>
> One of the more notable was the O'Reilly book Spidering Hacks which tested<br>
> the security of online applications. Ampache was found to be immune to<br>
> standard spidering hacks as described in the O'Reilly article, and it has<br>
> continued that trend by focusing on security during its development. The<br>
> Code Philosophy listed on Ampache's wiki specifically lists security as one<br>
> of those most important considerations during application development."<br>
><br>
> Does it make any sense to fiddle something that has always had security as a<br>
> prime concern?<br>
><br>
> Any comment is welcome.<br>
><br>
> Thanks.<br>
><br>
> --<br>
> Paulo Roma Cavalcanti<br>
> LCG - UFRJ<br>
><br>
</div></div>> --<br>
<div class="im">> fedora-devel-list mailing list<br>
> <a href="mailto:fedora-devel-list@redhat.com">fedora-devel-list@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/fedora-devel-list" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-devel-list</a><br>
><br>
<br>
<br>
</div>Perhaps I am the least well suited to respond as I did some of the<br>
initial review.</blockquote><div><br>No, on the contrary.<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>
However, there are at least 10 bundled libraries with ampache,<br>
including pear-XML_RPC, nusoap, getid3, small snippets from Horde,<br>
captchaphp, php-Snoopy, etc.<br>
<br>
In addition to the security benefits, creating the separate package<br>
means other packages (even other web apps) can make use of the<br>
libraries that would be available in Fedora instead of just ampache.<br>
I can empathize with the extra work that this causes, as I am trying<br>
to fix a few of these problems with another web app.<br>
<div><div></div><div class="h5"><br>
</div></div></blockquote></div><br>Maybe we can list all of the packages we would like to have for web applications, and try to set a "task force" to cope with them?<br><br>I think if we had three or four people willing to help, the work would be <br>
concluded fast. There are always people looking forward to contributing,<br>but without a good package to work with.<br><br clear="all"><br>-- <br>Paulo Roma Cavalcanti<br>LCG - UFRJ<br>