Danske .Net-succeser i CMS-krig - Umbraco tager kunder fra Sitecore

Hvorfor betale for Sitecore, når du kan få Umbraco gratis? Sådan spørger CMS-rådgiver Janus Boye, der oplever, at den danske open source-succes Umbraco vinder kunder fra lukkede Sitecore.

Det danske .Net-baserede CMS Sitecore brager derudaf i udlandet og kunne fremvise et imponerende regnskab for sidste år. En succeshistorie for dansk software - men Sitecore skal kigge sig i bakspejlet og stramme sig an, lyder det både fra CMS-rådgiveren Janus Boye og Sitecore-partneren Kraftvaerk.

Umbraco, et andet dansk .Net-CMS, er nemlig for mange kunder en fuldgod erstatning - og så er det open source og gratis. Det får i stigende grad kunderne til at vælge Umbraco, lyder det fra Janus Boye.

Et CMS (Content Management System) bruges til styring af digitalt indhold, hvilket for de to nævnte systemers vedkommende gælder websider.

»Det er en tendens, der er tydelig nu. Jeg har set de første ti steder i Danmark, der skulle vælge mellem tilbud fra Umbraco og Sitecore. De kunne ikke se forskel på systemet, men tydelig forskel på prisen, og så valgte de Umbraco,« forklarer Janus Boye.

Samme strømning viser sig hos webleverandøren Kraftvaerk, der nu blander kortene og bruger begge de to .Net-kombattanter.

»Vi har været loyal Sitecore-partner i lang tid, men nu er vi også begyndt at bruge Umbraco. Kernefunktionaliteten er relativt ens. Før i tiden var Umbraco mere rudimentært, men det er ved at være et stærkt produkt nu,« siger Otto Andersen, direktør for Kraftvaerk.

Intet er for stort til Umbraco
Der er stort set ikke den løsning, som ikke kan drives af Umbraco, uanset størrelse, er hans erfaring. Næste store projekt til en kunde med en voldsom trafik bliver for eksempel i Umbraco.

Alt i alt mener Janus Boye, at Umbraco i det lange løb kan blive en alvorlig trussel mod Sitecores forretning. Og også i udlandet er kunderne begyndt at sammenligne de to muligheder. Der er dog stadig en række tungtvejende grunde til, at Sitecore nok skal klare sig godt, blandt andet en solid tilstedeværelse på vigtige markeder i udlandet.

Otto Andersen ville dog ønske, at Sitecore brugte færre kræfter på salgsarbejdet uden for Danmark.

»Det er som om, de har enorm fokus på USA og nye produkter. I stedet skulle de hellere bruge energien på kernefunktionaliteten i deres CMS. Og hvis de får mere fokus på det danske marked, kan de sagtens klare sig mod Umbraco,« mener Kraftvaerk-direktøren.

Et andet problem for Sitecore, ifølge Janus Boye, er princippet om kun at sælge løsninger gennem partnere. Det betyder, at Sitecore kun får andenhånds-feedback fra kunderne.

»De ved, hvordan man bygger et CMS, men det er en ulempe for dem, at de ikke ved, hvordan man bygger en hjemmeside. Det ville være mindre afgørende i andre brancher, hvis de for eksempel producerede chips, men CMS-markedet er i sin vorden,« mener han.

Presset fra flere sider
Ud over konkurrencen fra Umbraco bliver Sitecore også presset fra andre sider på markedet for CMS'er baseret på Microsofts .Net-teknologi, fortæller Janus Boye.

»Svenske Episerver har et konkurrerende CMS, der står meget stærkt i Sverige og koster det halve. Og Dotnetnuke, der er open source, vinder også frem,« siger han.

Men prisen er faktisk ikke en specielt afgørende faktor, lyder det fra både Janus Boye og Kraftvaerk-direktøren.

»Over en livstidsvurdering er open source ikke nødvendigvis billigere. Det er ikke prisen, man skal bruge som den afgørende faktor. Men ved et kortsigtet kig på budgettet har det betydning, om man skal betale 150.000 kroner for en licens,« siger Janus Boye.

Otto Andersens erfaring er også, at det kun er et fåtal af kunderne, der vælger Umbraco kun fordi, licensen er gratis.

»Det er ikke ret tit, at prisen er afgørende. Men for nogle kunder er det. De vil hellere have ekstra konsulenttimer for de penge, en licens koster. Især når det er en af de dyrere licenser, kan du få lavet meget for de penge,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Kun at sælge gennem partnere er meget almindelig indenfor ERP-branchen: Leverandøren leverer en rammestruktur til partnerne, som så tilpasser til de enkelte kunder. Partnerne har mulighed for at specialisere sig til bestemte markeder og dermed genbruge en stor del af de tilpasninger, de laver. Leverandøren undgår til gengæld at skulle skulle sætte sig ind i de forskellige markeders behov og regler. Den primære ulempe er, at prisen for kunden bliver højere, da både leverandør og partner skal tjene på det.

Partnere ser i reglen helst, at leverandøren ikke sælger direkte til kunderne, da det betragtes som urimelig konkurrence. Mange vil kun blive partnere, hvis der ikke er direkte salg.

  • 0
  • 0
Ulrik Moe

Hvorfor vil nogen overhovedet vælge mindre danske CMS løsninger når der findes internationale alternativer? Vil nogen her påstå at der ikke skulle findes sql/shell-injection svagheder i danske cms-løsninger, som endnu ikke er blevet opdaget?

  • 0
  • 0
Jonas Høgh

Jeg vil vove den påstand at både Sitecore og Umbraco er temmeligt store spillere internationalt set indenfor deres markedsnicher. Jeg tror ikke der er nogen der taler om at vælge dem, blot fordi de er danske.

Jeg tror heller ikke "antal sikkerhedshuller" er en parameter, der typisk vægtes særligt højt, når et firma vælger CMS.

  • 0
  • 0
Daniel Madsen

Vil nogen her påstå at der ikke skulle findes sql/shell-injection svagheder i danske cms-løsninger, som endnu ikke er blevet opdaget?

Det ville være dumt at påstå at der umuligt kan være huller i et givent CMS, men jeg finder det ikke sønderligt sandsynligt at der skulle være problemer med nogle af de omtalte injection typer.

SQL injections er trivielt at forhindre ved at gøre brug af parameterized statements eller et fornuftigt DA framework - det er jeg sikker på at begge CMS'er er seriøse nok til at gøre brug af.

Shell injections er ikke noget .NET normalt lider under, da det ikke er specielt normalt at afvikle shell-kommandoer til at udføre sine handlinger. Det er mere et typisk problem under *nix baserede teknologier da det her er meget normal praksis.

  • 0
  • 0
Allan Ebdrup Blogger

spørgsmål: kan noget være billige end gratis?

Der er ingen af løsningerne der er gratis, der er udgifter til et CMS udover anskaffelsesprisen. Udgifter til drift, tilretning, vedligehold osv. Nåe man kigger på alle disse faktorer TCO (Total Cost of Ownership), kan et softwareprodukt med en højere licensafgift godt være samlet billigere at bruge.

spørgsmål: kan man virkelig presses af en ikke afgørende faktor?

Nu står der jo ikke at det er på grund af licensprisen at Sitecore er presset. Der står faktisk at licensprisen ikke er en afgørende faktor. Så Sitecore må være presset pga andre faktorer. Journalisten kunne selfølgelig godt havde fået uddybet, hvad disse andre faktorer er.

  • 0
  • 0
Ulrik Moe

SQL injections er trivielt at forhindre ved at gøre brug af parameterized statements eller et fornuftigt DA framework - det er jeg sikker på at begge CMS'er er seriøse nok til at gøre brug af.

Nu er jeg ikke bekendt med DA frameworket, men det er tidligere bevist at magic_quotes, Addslashes(), stripslashes() og hvad de nu ellers alle hedder ikke kan garantere sikkerhed mod sql injections, hvilket var grunden til at jeg nævnte det frem for RFI/LFI eller andre XSS hacks.

Hvis vi glemmer firmaer der har behov for en helt unik løsning, så tror jeg personligt at det er uvidenhed der gør at danske CMS systemer overhovedet har en chance overfor de store open-source giganter som f.x Drupal. Må jeg minde om at Barack Obama har valgt Drupal til alle .gov hjemmesider (inklusiv whitehouse.gov), hvorfor skulle f.eks folketinget.dk (kører sitecore) ikke kunne gøre det samme? UVIDENHED! :p

  • 0
  • 0
Daniel Madsen

Nu er jeg ikke bekendt med DA frameworket, men det er tidligere bevist at magic_quotes, Addslashes(), stripslashes() og hvad de nu ellers alle hedder ikke kan garantere sikkerhed mod sql injections

Det er jeg helt enig i og derfor bør man selvfølgelig ikke gøre brug af den slags hacks. Det er de færreste databaser og database API'er der ikke tillader parameterized statements og et godt DA framework tillader slet ikke at man kan indsætte værdier direkte i SQL statementet. Det er basalt blot forskellen på at skrive

"select * from users where username = '" + Escape(username) + "'"

og på at skrive:

"select * from users where username = @username"

sidstnævnte kan du ikke på nogen måde escape og dermed injecte SQL statements i.

Så tillader man kun parameterized statements, så er SQL injections trivielle at undgå og jeg kan ikke forestille mig andet end at det gør man selvfølgelig brug af i både Umbraco og Sitecore.

  • 0
  • 0
Ulrik Moe

Alt for mange programmører tror ligesom dig at Escape, eller mysql_real_escape_string som det hedder i php, er ensbetydende med et sikkert website, men der tager i fejl. Ifølge The PHP Group, kan hackere snyde mysql_real_escape_string (bla. ved brug af unicode/multibyte characters eller ved vector hacks) hvilket er grunden til at man arbejder på en ny og forbedret form for sikkerhed til php6. Den bedste måde at sikre sig på er nok komplekse replace scripts eller at omformatere alle inputs til binære tal, men selv dette har jeg set hacket på sla.ckers, dog kræver dette at hackeren har viden om hvordan dit script behandler sql queries, hvilket næppe er realistisk.

Det var lidt off-topic, da spørgsmålet jo næppe handler om hvorvidt Sitecore og umbraco har husket at bruge escapes alle de rigtige steder, men snarere om hvorvidt de ville opdage hvis de havde glemt det et enkelt sted? Eller hvis de havde lavet andre fejl. Forleden dag var der en på IRC der opdagede en XSS backdoor i google buzz og det samme skete forleden dag for twitter. Ergo kan vi ikke komme udenom at mange programmører laver fejl og at disse bliver opdaget på hjemmesider med mange besøgende, men bliver de opdaget hos sitecore og Umbraco, personligt tror jeg ikke dette er tilfældet, "but feel free to enlighten me" :)

  • 0
  • 0
Daniel Madsen

Læste du overhovedet mit indlæg?

Jeg sagde jo netop at Escape, mysql_real_escape og hvad de ellers hedder er usikre og at man bør holde sig fra dem. Så på det punkt er vi fuldstændig enige.

Der hvor vi tilsyneladende ikke er enige er så hvorvidt der er en anden løsning på problemet og her lyder det til at du ikke har hørt om parameterized statements før - der er slet ingen grund til at være så paranoid omkring det :-)

  • 0
  • 0
Ulrik Moe

Selvfølgelig kender og bruger jeg prepared statements, men jeg bruger det kun for de mest brugte sql queries på mine websites. Problemet ved prepared statements er:

1) Næsten ingen bruger det på ALLE deres sql queries.

2) Prepared statements sikrer 99.99% imod sql injections, men der er set tilfælde på workarounds (lav en google søgning og du vil finde eksempler, dog er de fleste lavet hvor hackeren kender query strukturen / koden).

3) Prepared statements sikrer ikke imod andre Cross Site Scripting (XSS)

En kombination af et XSS filter og brugen af prepared statements ville nok være optimal, men min pointe er at intet er 100% sikkert og personligt ville jeg ikke vælge et dansk system af frygten for at sårbarhederne ikke endnu er opdaget. Bare mine 10 cent, men tak for debatten.

  • 0
  • 0
Daniel Madsen

1) OK, de udviklere jeg kender må være en undtagelse så eller også er det bare mere naturligt på .NET platformen end i PHP.

2) Det er snarere sådan at parameterized statements ikke løser alle problemer, dynamisk opbygget SQL er den anden store synder og disse bør man også så vidt muligt undgå - ikke altid realistisk, men så bør man ihvertfald eksplicit skulle bede frameworket om tilladelse til at afvikle unsafe SQL.

3) Det er også 2 vidt forskellige ting, så det ville være underligt.

Mener du iøvrigt at et amerikansk eller indisk CMS skulle være mere sikkert end et dansk eller hvad er årsagen til at du har så lidt tiltro til et dansk-udviklet produkt?

  • 0
  • 0
Log ind eller Opret konto for at kommentere