Guten Abend Hansi61,

Informationen dazu haben wir in unserem Blog zur Verfügung gestellt. Sobald von uns dazu ein Zeitpunkt genannt werden kann, werden wir dazu entsprechend informieren.

Diese Frage macht mir als Reseller echt auch Bauchschmerzen - da der Aufwand der Umprogrammierungen enorm ist - und den Kunden sehr schwer zu vermitteln ist! Never touch a running system sollte auch hier der Grundsatz sein....

Die Sorgen sind natürlich verständlich. Wie im Blog steht, werden wir die überholten PHP-Versionen zunächst noch nicht abschalten. Wir können allerdings auch keine Haftung mehr dafür übernehmen und diese muss entsprechend vom Betreiber der Seite getragen werden. Einschränkend ist wichtig zu erwähnen, dass im Falle von Sicherheitsprobleme bei PHP 4 oder 5, die unsere Systeme betreffen, wir die Versionen sofort abschalten müssten!

Wenn die Abschaltung für Kunden geplant erfolgt, ein Termin steht dafür wie gesagt noch nicht fest, dann informieren wir natürlich rechtzeitig per E-Mail.

Grundsätzlich empfehlen wir allen Kunden und ins Besondere den Resellern hier eine Umstellung zu forcieren. Diese ist in manchen Fällen sehr aufwendig. Daher sollten Sie alle Kräfte darauf konzentrieren hier entsprechend tätig zu werden und die muss mit der Sicherheit der eigenen Seite begründet werden. Es ist absolut in Ihrem ureigenen Interesse hier Lösungen zu finden. Vielleicht wäre es auch gut, wenn es hierzu Themen im Forum gibt, die Alternativsysteme jeweils diskutieren oder programmiertechnische Fragen behandeln. Meist ist ja der erste Schritt erst einmal der schwierigste. Lassen Sie uns also gemeinsam hier schauen die Hürde zu nehmen

Bewusst mal diesen echt alten Artikel dazu, der aber in meinen Augen volle Gültigkeit hat:



Mit freundlichen Grüßen

Nils Dornblut

Nein, nicht bei Software, die über das Netz erreichbar ist. Keine Software ist fehlerfrei, und wenn es keine Updates mehr gibt, mit denen Sicherheitslücken gestopft werden könnten - und das gilt auch für "Basissoftware" wie Betriebssystem, Webserver oder eben Programmiersprachen-Interpreter -, dann ist es fahrlässig, diese Software über Jahre einfach weiterlaufen zu lassen.

Gruß
Jan

Der offizielle erweiterte Support von PHP 5.6 ist zum 31.12.2018 ausgelaufen. Alle früheren Versionen bekommen schon seit Jahren keine Updates mehr. Debian hat angekündigt bis 30. Juni 2020 PHP 5.6 für Jessie LTS noch zu unterstützen, dh. es gibt noch Sicherheitspatches die ggf. auch auf andere Systeme portiert/kompiliert werden können. Das Enddatum wo die Debian Version selbst keinen Support mehr erhält.

Während eine Verwendung von PHP4 jetzt schon kritisch ist (offene Sicherheitslücken), kann man davon ausgehen, dass ab nächstem Jahr Juli es bereits kritisch werden könnte. Das hat nichts damit zu tun, ob etwas seit langem störungsfrei läuft, sondern damit, was passieren kann.
Und PHP hat eine sehr hohe Abwärtskompatibilität und langen Support! PHP5 wurde 2004 veröffentlicht und nach knapp 15 Jahren der offizielle Support eingestellt, wenn nach ziemlich genau 16 Jahren hier endgültig Schluss ist, kann man da nicht meckern
Webhoster können schlussendlich die PHP-Version nur so lange bereitstellen, wie es tragbar ist. Jedenfalls kann sich nun jeder selbst ausmalen, wie dringlich hier das handeln ist.

Man bedenke, seit 2015 gibt es PHP7 und nächstes Jahr im Q4 wird wohl PHP8 folgen

Auch wenn Umstellungen manchmal unschön sind, bei manchen muss man früher oder später durch...

Und bei Scripten die schon so lange nicht mehr gepflegt wurden, da würde ich mir auch um die Sicherheit von diesen Sorgen machen!...

Hallo zusammen,

als Argument sollte man auch noch bringen, dass die Pflege vieler Versionen auch immer aufwendig ist. Gut, ist unser Job und wenn der Kunde es verlangt, kann man natürlich entgegen argumentieren. Es ist aber so, dass die Beibehaltung solcher ewig alten Dinge immer Ressourcen kostet, die an anderer Stelle dann nicht für Verbesserungen eingesetzt werden können. Zusätzlich hindert es auch oft. Beispiel, welches zwar nicht direkt mit PHP zu tun hat: PHPmyAdmin! Der wurde nie aktualisiert, weil es dann mit älteren MySQL nicht mehr funktioniert hätte. So kann man viele Beispiele finden, gerade bei Bibliotheken usw.

Mit freundlichen Grüßen

Nils Dornblut

Das sehe ich schon auch so. Es kommt die Zeit wo es einfach sinnvoll ist alte Zöpfe abzuschneiden. Und wenn eine Software ihr EOL erreicht, ist dieser Zeitpunkt sicher gekommen. Ich denke es wäre nur einfach hilfreich, wenn man hier von DF einen klaren Termin hätte.

Wie ist es denn in diesem Zusammenhang mit den VSBS Tarifen?
Werden die dann auch aktualisiert oder laufen die weiter wie bisher?

Ok, zwischen PHP 5.x und 7.x ist allerdings ein Bruch, mit dem viele Systeme zu kämpfen hatten/haben.
Ich gehe mal davon aus, dass sich dF irgendwann einen "extended PHP Support" bezahlen lässt. Wird ja anderswo ebenso gemacht. Das Abschalten von PHP4 sehe ich aus Sicherheitssicht schon fast als notwendigen Schritt, allerdings sollte man 5.6 mMn noch ein Weilchen geben.

Aber: dF selbst glänzt bisher nicht unbedingt mit Aktualität, was PHP angeht. Das betrifft sowohl die Unterversionen einer Reihe (die lagen in der Vergangenheit teilweise über ein Jahr dem aktuellen Release hinterher) sowie die Majorversionen. Ich erinnere mich, wie weit verspätet hier erst PHP 7 möglich war. Und PHP 7.3 ist bei dF erst vor ein paar Tagen eingebunden worden. Ich kann ja verstehen, dass man nicht sofort jeden Release bereitstellt, aber bei dF gab PHP Aktualisierungen in der Vergangenheit wenn überhaupt nur 1-2 x Jahr.

Lange Rede kurzer Sinn: Wenn man aus Sicherheitsgründen ältere PHP Versionen abstellt, bzw. das wie jetzt ja schon frühzeitig ankündigt, dann sollte man zumindest die aktuellen Versionen zeitnahe auf aktuellem Stand halten.

Naja, abgekündigt wurden die Versionen ja bereits. Und lieber so, als wenn man den Support gleich abkündigt und ihn gegen Aufpreis buchen muss (wie mancher Mitbewerber gemacht hat). Spätestens in nem Jahr hat man aber auch dann keine Garantie mehr, denn wen eine Lücke bekannt wird, dann wird es keine Möglichkeit mehr geben diese zu schließen...

Nun man könnte die kritischen PHP Funktionen gezielt deaktivieren und die unkritischen weiter laufen lassen.

Ob das dann insgesamt Sinn mach sei Mal dahin gestellt. Technisch möglich ist es.

Inzwischen ist es mir persönlich auch egal. Nur kam die Abkündigung schon Ende 2018. Wir haben dann recht zügig und zu einer Zeit, in der wir gut Luft für andere Projekte hätten brauchen können, fast alle betroffenen Kunden informiert und umgestellt. Hätte ich gewusst, dass wir dafür noch bis heute (und vermutlich länger) Zeit gehabt hätte, hätte das die Situation für uns deutlich entspannt.

Es tut und leid, dass Sie da unentspannt agieren mussten. Wir probieren aus Erfahrungen der letzten Jahren Ankündigungen immer sehr frühzeitig, wenn immer möglich, zu machen. Gerne können wir im Forum solche Themen dann jetzt auch wieder untereinander besprechen, damit es nicht zu Unsicherheiten kommt.

Mit freundlichen Grüßen

Nils Dornblut

Nils Dornblut

Magst du noch etwas zu dem VSBS sagen bitte?