
<div dir="ltr">Błażej,<div><br></div><div>I know you very well and the intention. But it could be perceived wrong when others run through our conversations.<br><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">I often write what I think and I’m aware of the fact that it isn’t always good from a marketing or personal perspective. If you do not want me to write on the mailing list, just let me know and I will stop.</blockquote><div> </div><div>It is good to be oneself - its appreciated but making assumptions in wrong direction is not a good move.</div><div>Considering the responsible role you play in the business or community. This applies equally all of us.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">We’re here because we’re looking for areas where we could cooperate.</blockquote><div><br></div><div>Good to know.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"> In my opinion, you should designate one trusted person who would help you coordinate a project [e.g. Alan] because this person might bring a lot of energy, and more importantly, he may rebuild the trust of some of the community members towards the project and it may move everything forward.</blockquote><div><br></div><div>All of our community members have equal responsibility without needing a nomination. We treat community as an extended team. We know the role we are playing in others business and take the opportunity to control the direction we are heading. I'm glad to see the investment of energy and support - which is key motivation that holds coordination responsibility on us.</div><div><span style="font-family:Verdana,Geneva,sans-serif;font-size:13.3333px"><br></span></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Look at other projects, ... because they develop much more rapidly than you and, in retrospect, it will become more and more noticeable.</blockquote><div><br></div><div>Thanks for the pointer. Rapid is a relative term... Vtiger is part of our every day life. </div><div>If we don't progress on code... doesn't mean we are idle, ideas baking in.</div><div><br>Regards,<br>Prasad<br></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">--</div><div dir="ltr"><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><a href="http://www.facebook.com/vtiger" style="color:rgb(0,0,204)" target="_blank">FB</a> I </span><a href="http://twitter.com/vtigercrm" style="color:rgb(0,0,204)" target="_blank">Twit</a> I <a href="https://www.linkedin.com/company/1270573?trk=tyah" style="color:rgb(0,0,204)" target="_blank">LIn</a> I <a href="https://blogs.vtiger.com" style="color:rgb(0,0,204)" target="_blank">Blog</a> I <a href="https://www.vtiger.com/" style="color:rgb(0,0,204)" target="_blank">Website</a></div></div></div></div></div></div></div></div></div></div></div>

<br><div class="gmail_quote">On Wed, May 18, 2016 at 2:46 AM, Błażej Pabiszczak <span dir="ltr"><<a href="mailto:b.pabiszczak@yetiforce.com" target="_blank">b.pabiszczak@yetiforce.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="font-size:10pt;font-family:Verdana,Geneva,sans-serif">

<p><span>@Prasad</span></p>

<p><span>None of my replies aim to attack you. I criticize your approach as a producer and evaluate some of your actions but I do it only to motivate you because I hope you will do something about it. If you take it personally, then I do apologize but it’s not my aim. I know that my character is tough and it might be difficult to talk with me but I certainly do not want to offend anyone… I often write what I think and I’m aware of the fact that it isn’t always good from a marketing or personal perspective. If you do not want me to write on the mailing list, just let me know and I will stop.</span></p>

<p><span>When it comes to our plans regarding Vtiger. We - YetiForce- will not be adding any code to Vtiger, we simply don’t have time for that, and we don’t see any point in doing so. However, we do see a lot of areas, where we could cooperate. The more we get from Vtiger by transferring the code, the more compatible our systems will be, and the easier it will be for you [or the community] to move functionalities from YF to Vtiger. Exchanging error information, mobile apps, or API seem to be a good start for the cooperation.</span></p>

<p><span>YF doesn’t need Vtiger and neither does Vtiger need YF. If you take a look at our GitHub community you will see that we have our own community, and we’re not trying to find clients or developers in here. Those who wanted already switched, and mailing lists aren’t the best marketing tool. If we were looking for clients, we’d start from the forum and LinkedIn groups. We’re here because we’re looking for areas where we could cooperate. </span><span>18 months ago we were still adding changes from your SVN once every couple of days [when you published them], now we add them really rarely, which means our system develops slower as well. In my opinion there’s a place for everyone and we can develop together.</span></p>

<p><span>We sent links to two huge packages with error fixes that apply to YF, Vtiger and CoreBOS. In 2016 we will spend at least 25.000€ on security audits, and it would be worth to cooperate on that, instead of getting mad at each other. These significant security problems stem from the fact that no large company in the world has seriously deployed your system. Currently, we have two large deployments to be done and they expect protection from such attacks:  </span><a href="https://www.owasp.org/index.php/Top_10_2013-Top_10" rel="noreferrer" target="_blank"><span>https://www.owasp.org/index.php/Top_10_2013-Top_10</span></a><span> and the cooperation is different when 3 project [YetiForce, Vtiger, CoreBOS] work together towards better security, than when just one company works on it.</span></p>

<p><span>In my opinion, you should designate one trusted person who would help you coordinate a project [e.g. Alan] because this person might bring a lot of energy, and more importantly, he may rebuild the trust of some of the community members towards the project and it may move everything forward.</span></p>

<p><span>Look at other projects, such as SuiteCRM or many other commercial projects because they develop much more rapidly than you and, in retrospect, it will become more and more noticeable.</span></p><span>

<div>---<br>

<div>Z poważaniem / Regards</div>

<div> </div>

<div><strong>Błażej Pabiszczak</strong></div>

<div><em>Chief Executive Officer</em></div>

<div>M: +48.884999123<br>E: <a title="Mail do Błażej Pabiszczak" href="mailto:b.pabiszczak@yetiforce.com" target="_blank">b.pabiszczak@yetiforce.com</a></div>

</div>

<p> </p>

</span><div><div><p>W dniu 2016-05-13 17:06, Prasad napisał(a):</p>

</div></div><blockquote type="cite" style="padding:0 0.4em;border-left:#1010ff 2px solid;margin:0"><div><div>

<div dir="ltr">Dear Błażej,<br>

<div> </div>

<div>I dislike to get more personal level feedback on this list. </div>

<div>You can email me separately - I would appreciate to learn from it.</div>

<div> </div>

<div>I'm curious to know if your plan is to continue developing on Vtiger codebase.</div>

<div> </div>

<div>Regards,</div>

<div>Prasad</div>

<div class="gmail_extra"><br clear="all">

<div>

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">--</div>

<div dir="ltr"><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><a style="color:#0000cc" href="http://www.facebook.com/vtiger" target="_blank">FB</a> I </span><a style="color:#0000cc" href="http://twitter.com/vtigercrm" target="_blank">Twit</a> I <a style="color:#0000cc" href="https://www.linkedin.com/company/1270573?trk=tyah" target="_blank">LIn</a> I <a style="color:#0000cc" href="https://blogs.vtiger.com" target="_blank">Blog</a> I <a style="color:#0000cc" href="https://www.vtiger.com/" target="_blank">Website</a></div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<br>

<div class="gmail_quote">On Fri, May 13, 2016 at 6:23 PM, Błażej Pabiszczak <span><<a href="mailto:b.pabiszczak@yetiforce.com" target="_blank">b.pabiszczak@yetiforce.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div style="font-size:10pt;font-family:Verdana,Geneva,sans-serif">

<p lang="en-US">@Prasad:<br>I don't know what priorities you are talking about, but they for sure have nothing to do with the open source version. Looking at <a href="http://code.vtiger.com" target="_blank">code.vtiger.com</a> I feel like you're pretending that you care, and I don't mean whether or not there's someone who adds stuff there [because lately something is going on in there], what I mean is that there's nobody to manage that, nobody to develop that, and nobody to think how to improve the open source version. You can write this down on <a href="http://code.vtiger.com" target="_blank">code.vtiger.com</a>:</p>

<ul>

<li><span style="font-size:10pt">Vtiges is full of holes as a Swiss cheese [so are VTE CRM, CoreBOS, YetiForce]</span></li>

<li><span style="font-size:10pt">Client Portal [including MYC] is full of holes as a Swiss cheese</span></li>

<li><span style="font-size:10pt">90% of marketplace modules are full of holes as a Swiss cheese</span></li>

</ul>

<p lang="en-US">I get it, you got different priorities [PHP 7] now, but if you start doing something make sure you're doing it well, because most of PHP 7 changes are like hiding the problem instead of solving it comprehensively. If you need an issue on <a href="http://code.vtiger.com" target="_blank">code.vtiger.com</a> there's nothing stopping you from analyzing our revisions and all improvements, and transferring these changes to your system. I'm not gonna do that, I'm just showing you where the problem is, and that it must be addressed.</p>

<p><span>Here's another pack of security error fixes: </span><a href="https://github.com/YetiForceCompany/YetiForcePortal/commit/fe8098b3a1cbaf64c9890f6417ad0ca88021c40b" target="_blank"><span><span><span><span>https://github.com/YetiForceCompany/YetiForcePortal/commit/fe8098b3a1cbaf64c9890f6417ad0ca88021c40b</span></span></span></span></a>. It's related to MYC though, but MYC is based on the official client portal that includes the same errors!</p>

<p><br>@Alan<br>It might prove to be a difficult task. At the moment barely any changes we upload to YetiForce can be directly added to Vtiger. The difference is that when we change anything in any module, we optimize it, change the business philosophy, and adjust the engine right away. What's most important, the majority of these changes is designed to allow for even more changes in the nearest future. <br>Additionally, the analysis of what we do might take you a while, check what the monthly GitHub Pulse shows: "Excluding merges, 10 authors have pushed 251 commits to developer and 253 commits to all branches. On developer, 1,074 files have changed and there have been 40,048 additions and 18,621 deletions."<br><br></p>

<p>The files we delete are no longer used by Vtiger, they are 4.x/5.x version leftovers. </p>

<div>---<br>

<div>Z poważaniem / Regards</div>

<div> </div>

<div><strong>Błażej Pabiszczak</strong></div>

<div><em>Chief Executive Officer</em></div>

<div>M: +48.884999123<br>E: <a title="Mail do Błażej Pabiszczak" href="mailto:b.pabiszczak@yetiforce.com" target="_blank">b.pabiszczak@yetiforce.com</a></div>

<p> </p>

</div>

<p> </p>

<div>

<div>

<p>W dniu 2016-05-13 12:27, Alan Bell napisał(a):</p>

</div>

</div>

<blockquote style="padding:0 0.4em;border-left:#1010ff 2px solid;margin:0">

<div>

<div>OK, so in the linked commit, there is a new class AppRequest in include/http/Request.php (it is in "includes" in vtiger at the moment because yetiforce folded the /includes/ into /include/ a while back)<br> This class parses fields out of the $_REQUEST data in a number of ways, and does it properly and would be a central point to add extra checks at some point.<br> The commit also includes rewriting pretty much everywhere that $_REQUEST is directly used in the codebase to use this new class. It is a good improvement preventing various potential attacks (mostly attacks by authenticated users, but probably some unauthed stuff, particularly around password resetting)<br><br> I think it also removes the following files on the basis that they are no longer used, I am not sure if that is true for vtiger<br><br> include/utils/InventoryUtils.php<br> include/utils/export.php<br> modules/Calendar/iCalExport.php<br> modules/Calendar/iCalImport.php<br> modules/ModComments/ModCommentsWidgetHandler.php<br> modules/OSSTimeControl/Save.php<br> modules/Reports/AdvancedFilter.php<br> modules/Reports/CustomReportUtils.php_deprecated<br> modules/Reports/ReportChartRun.php_deprecated<br> modules/Reports/ReportSharing.php<br> modules/Reports/ReportType.php<br> modules/Users/Authenticate.php<br><br> so the commit clearly won't apply cleanly to vtiger, but it is good stuff and we should incorporate it.<br><br> I actually pulled a copy of yetiforce from github to <a href="http://code.vtiger.com" target="_blank">code.vtiger.com</a> the other day, in the hope of being able to figure out how to efficiently move stuff between the systems, and work out what the differences actually were at this stage.<br><a href="http://code.vtiger.com/alanbell/yetiforce" target="_blank">http://code.vtiger.com/alanbell/yetiforce</a><br><br> I opened an issue for this topic here<br><a href="http://code.vtiger.com/vtiger/vtigercrm/issues/203" target="_blank">http://code.vtiger.com/vtiger/vtigercrm/issues/203</a><br><br> Alan.<br><br>

<div>On 13/05/16 10:55, Błażej Pabiszczak wrote:</div>

<blockquote style="padding:0 0.4em;border-left:#1010ff 2px solid;margin:0">

<p>Every now and then we send information about security errors, not only to Vtiger, but also to creators of Vtiger modules. In most of the cases, these changes aren't fixed. I don't understand why security is a taboo subject, and why nobody considers our comments [maybe we should report each of these cases publicly? Or maybe we should record a video on how to break into the OD version?] Any ideas?</p>

<p>The code that is currently added to Vtiger is of low quality, and since releasing v6.0 nobody has been really dealing with the development as far as quality and security are considered. Unfortunately, we inherited a lot of code from Vtiger [it also applies to other forks – CoreBOS, VTE CRM]. The majority of errors we point out are related to not clearing the variables, and storing useless old files full of holes. Let's see what the reaction to this post is, if you ignore it we won't publish info like that anymore, it's a waste of our time. <span>Take into consideration that our system doesn't have many of the modules that are in Vtiger because we wrote them from scratch, so the link below is not a ready solution, it only points out part of the found errors. Vtiger</span></p>

<p>Therefore I suggest making a contest – how long does it take for serious security errors to be fixed, and an update package to be released, after publishing the errors on this mailing list.</p>

<ul>

<li><a href="https://github.com/YetiForceCompany/YetiForceCRM/commit/4746cda904c88a26cce22194fb76f64d3df9893d" target="_blank">https://github.com/YetiForceCompany/YetiForceCRM/commit/4746cda904c88a26cce22194fb76f64d3df9893d</a> </li>

</ul>

<div>---<br>

<div>Z poważaniem / Regards</div>

<div> </div>

<div><strong>Błażej Pabiszczak</strong></div>

<div><em>Chief Executive Officer</em></div>

<div>M: +48.884999123<br> E: <a title="Mail do Błażej Pabiszczak" href="mailto:b.pabiszczak@yetiforce.com" target="_blank">b.pabiszczak@yetiforce.com</a></div>

</div>

<p> </p>

<br><fieldset></fieldset><br>

<pre>_______________________________________________

<a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></pre>

</blockquote>

<br><br></div>

</div>

<div style="margin:0;padding:0;font-family:monospace">_______________________________________________<br><a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></div>

</blockquote>

</div>

<br>_______________________________________________<br><a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></blockquote>

</div>

</div>

</div>

<br>

</div></div><div style="margin:0;padding:0;font-family:monospace">_______________________________________________<br><a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></div>

</blockquote>

</div>

<br>_______________________________________________<br>

<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a><br></blockquote></div><br></div></div></div>