Компанія Nextcloud GmbH, що розвиває відкриту платформу Nextcloud, призначену для створення хмарних сховищ та організації спільної роботи співробітників підприємств та команд, оголосила про приєднання поштового клієнта Roundcube. Фінансові подробиці угоди не розголошуються, але вказано, що Roundcube продовжуватиме розвиватися як відокремлений поштовий клієнт, який можна буде використовувати без прив'язки до платформи Nextcloud.
Пряме злиття кодових баз Roundcube та Nextcloud не планується, як не планується і припинення розробки нинішнього поштового клієнта Nextcloud Mail, який продовжить розроблятися. Зазначається, що Nextcloud Mail та Roundcube є свої сильні та слабкі сторони, а також різні сценарії використання. З найближчих планів згадується намір найняти додаткових розробників для форсування розвитку Roundcube та створення на його основі повноцінного продукту, що підходить широкому колу користувачів та здатного конкурувати з централізованими комерційними аналогами.
Roundcube розвивається з 2008 року і надає поштовий клієнт (web-інтерфейс), що працює в браузері, використовує для доступу до збереженої на сервері поштою протокол IMAP. Оформлення Roundcube наближено до класичних поштових клієнтів та використовує технологію Ajax для організації асинхронного обміну даними з сервером без перезавантаження компонентів веб-сторінки. Інтерфейс адаптується до розміру екрана та може використовуватися як на настільних системах, так і на мобільних пристроях. Надається можливість налаштування оформлення на свій смак через систему шаблонів.
У додатку підтримується адресна книга, пошук повідомлень, перевірка правопису, обробка MIME-типів, навігація в режимі Drag&drop, деревоподібне представлення повідомлень, перегляд перегляду вкладень, PGP-шифрування, відображення HTML-повідомлень, кешування для швидкого доступу до поштових папок, розширення наприклад, є плагін з календарем-планувальником) та інші типові можливості відокремлених поштових клієнтів. Код Roundcube написаний мовою PHP та поширюється під ліцензією GPLv3.
Незважаючи на те, що в прес-релізі Nextcloud продукт названий «secure mail client», безпека Roundcube залишає бажати кращого, наприклад, у жовтні в мережі була виявлена активність зловмисників, які використовують невиправлену вразливість 0-day (CVE-2023-5631) в Round , що призводить до виконання JavaScript-коду при відкритті спеціально оформленого повідомлення, що можна було використовувати, наприклад, для перенаправлення листів на сервер атакуючих. Подібні XSS вразливості в Roundcube знаходять регулярно, наприклад, вони виправлялися у вересні, жовтні та листопаді. Вразливості знаходили і серверні частини Roundcube, наприклад, в 2020 році були знайдені проблеми, що дозволяли виконати PHP-код на сервері або дізнатися вміст локальних файлів через відсутність екранування «/..» в іменах плагінів і спецсимволів в запускається через shell-команді перетворення зображень.
Джерело: opennet.ru
