Nextcloud GmbH, lo sviluppatore della piattaforma open source Nextcloud per l'archiviazione cloud e la collaborazione tra aziende e team, ha annunciato l'acquisizione del client di posta elettronica Roundcube. I dettagli finanziari dell'accordo non sono stati resi noti, ma Roundcube continuerà a essere sviluppato come client di posta elettronica autonomo, utilizzabile indipendentemente dalla piattaforma Nextcloud.
Non è prevista l'unione diretta delle basi di codice di Roundcube e Nextcloud, né l'interruzione dello sviluppo dell'attuale client di posta elettronica Nextcloud Mail, che continuerà a essere sviluppato. Si noti che Nextcloud Mail e Roundcube presentano ciascuno i propri punti di forza e di debolezza, nonché diversi casi d'uso. I piani a breve termine includono l'assunzione di ulteriori sviluppatori per accelerare lo sviluppo di Roundcube e creare un prodotto completo basato su di esso, adatto a un'ampia gamma di utenti e in grado di competere con alternative commerciali centralizzate.
Roundcube è in fase di sviluppo dal 2008 e fornisce un client di posta elettronica basato su browser (interfaccia web) che utilizza server Protocollo di posta IMAP. Il design di Roundcube è simile ai classici client di posta elettronica e utilizza la tecnologia Ajax per organizzare lo scambio di dati asincrono con server Senza dover ricaricare i componenti della pagina web. L'interfaccia si adatta alle dimensioni dello schermo e può essere utilizzata sia su desktop che su dispositivi mobili. Il design può essere personalizzato utilizzando un sistema di template.
L'applicazione supporta la rubrica, la ricerca nei messaggi, il controllo ortografico, la gestione dei tipi MIME, la navigazione drag-and-drop, la visualizzazione ad albero dei messaggi, l'anteprima degli allegati, la crittografia PGP, la visualizzazione dei messaggi HTML, la memorizzazione nella cache per un rapido accesso alle cartelle di posta, l'espansione dei plugin (ad esempio, un plugin per il calendario) e altre funzionalità tipiche dei client di posta elettronica autonomi. Roundcube è scritto in PHP e rilasciato con licenza GPLv3.
Nonostante il comunicato stampa di Nextcloud definisca il prodotto un "client di posta sicuro", la sicurezza di Roundcube lascia molto a desiderare. Ad esempio, a ottobre, sono stati scoperti degli aggressori che sfruttavano una vulnerabilità 0-day non corretta (CVE-2023-5631) in Roundcube. Questa vulnerabilità consente l'esecuzione di codice JavaScript all'apertura di un messaggio appositamente predisposto, che potrebbe essere utilizzato, ad esempio, per inoltrare email al server dell'aggressore. Vulnerabilità XSS simili in Roundcube vengono scoperte regolarmente; ad esempio, sono state corrette a settembre, ottobre e novembre. Sono state riscontrate vulnerabilità anche nei componenti server di Roundcube. Ad esempio, nel 2020, sono stati scoperti problemi che consentivano l'esecuzione di codice PHP sul server o l'individuazione del contenuto di file locali a causa dell'assenza di escape "/.." nei nomi dei plugin e di caratteri speciali in un comando shell per la conversione delle immagini.
Fonte: opennet.ru
