Der Grund kann ja eigentlich nur daran gelegen haben dass es noch zu viele PHP 7.0/7.1 - Präsenzen gibt und/oder sich viele Kunden beschwert haben. Spannend finde ich dabei folgende Fragen

1. Reicht ein Aufschub von 3 Monaten, wenn die Kunden es nicht schaffen innerhalb von knapp einem Jahr umzustellen ? Als Reseller kann man seine Kunden ja noch an der Hand führen, ein Grossteil der DF-Kunden wird so jemanden aber nicht haben.

2. Wie hoch ist der PHP5.6-Anteil bei DF? Der Anteil im Mai 2018 lag bei ca. 16% (Netzweit, Quelle: https://entwickler.de/online/php/php...579843624.html).

Ich habe mit der entsprechenden Person mal gesprochen weil mich das Thema auch interessiert: Generell gibt es im Netz die Aussage "PHP sei per se unsicher". Diese Aussage bezieht sich darauf, dass man mit PHP (egal welche Version) programmiertechnische "Schweinereien" anstellen kann. Beispielsweise braucht man in PHP keinen Variablentypen festlegen was dann zur Laufzeit zu einer tickenden Bombe werden kann. Schlimmer wird es dann noch wenn man GET/POST-Parameter nicht prüft und somit recht fix von aussen Datenbankabfragen beeinflussen kann.

Im Umkehrschluss bedeutet dies aber auch, dass es auf die Software ankommt und nicht auf die PHP-Version. Kern des Problems ist, dass Software natürlich für aktuellere PHP-Versionen gebaut wird und dadurch die Versionen, die auf altem PHP basieren, nicht mehr supported werden und ggf Sicherheitslücken aufreissen. Das liegt aber nicht an PHP sondern an der Software.

Für PHP selber sind keine Lücken bekannt. Und das soll was heissen, PHP hat vor 2 Jahren seinen 20. Geburtstag gefeiert.

Die richtige Vorgehensweise wäre eigentlich Hostingkunden dazu zu drängen Updates für eingesetzte Software einzuspielen. Das wäre wesentlich nachhaltiger, da dabei auch aktuelle Lücken geschlossen würden und sich der Kunde nicht in Sicherheit wiegt nur weil seine Software jetzt auf PHP 7.3 läuft.

Und zu guter letzt gehört es auch dazu die Serversoftware aktuell zu halten. Auf der einen Seite alte Versionen abzuschalten um auf der anderen Seite Updates auf unbestimmte Zeit zu schieben ist ein Unding.

Na ja, ich denke, in der Hand eines Laien lässt sich so ziemlich jede Programmiersprache so quälen, dass die erstellten Skripte/Programme ein Sicherheitsrisiko darstellen. Wenn ich da z. B. an Buffer Overflows etc. denke...

Was Sicherheit angeht, sind dann allerdings tatsächlich die neueren PHP-Versionen ein Stück voraus, da die ständig ausgeweiteten Möglichkeiten für Type Hinting zusammen mit declare(strict_types=1) zu einer strikteren Typisierung zumindest bei Übergabe von Parametern führt. Ja, das muss der Programmierer selbst übernehmen, aber wie gesagt, wer zu wenig weiß, kann auch anderswo üble Löcher reißen.

Das sollte jetzt kein Widerspruch zu dem sein, was Du geschrieben hast, sondern lediglich eine Ergänzung.

Gruß
Jan

Gerade von MODX Cloud reingekommen:

Auch da wird konsequent reagiert bei mäßig langem Vorlauf. Ist nicht ganz vergleichbar, da es sich um ein Spezial-Hosting für das CMS MODX handelt, das dort automatisiert installiert und upgedatet werden kann, aber da auch MODX externe Erweiterungen einbinden kann und insbesondere für Entwickler interessant ist und somit durchaus mit einer Menge externem / eigenem Code gerechnet werden kann, passt es schon hier in die Diskussion.

Gruß
Jan

Sie können das ja mal mit Ihren Kunden probieren. Es wird ohne Druck und extrinsische Motivation nicht klappen orakle ich einfach einmal

Wir schieben nicht auf unbestimmte Zeit. Es wird für alle Systemteile an Lösungen gearbeitet. Hier jetzt einen Vergleich zu ziehen wird sehr schwierig. Ein System für mehrere 100.000 Kunden was in totaler Eigenentwicklung über Jahre und Jahrzehnte gewachsen ist, können sie so nicht einfach mal eben umstellen, sondern es benötigt sehr langwierige Planungen. Da wir jeweils die Serve rfür diese Anwenudungen sehr genau im Monitoring haben, können wir individuell und angepasst reagieren. Das ist bei einer allgemeinen Plattform (wie hier im Webhosting) so nicht der Fall.

Mit freundlichen Grüßen

Nils Dornblut

Kommt auf die eingesetzten Systeme an. Generell sind die Kunden sehr updatewillig sofern die Systeme das zulassen. Es gibt aber auch Systeme die das nicht mehr ermöglichen. Hier müssen Alternativen gefunden werden, eine Migration geplant werden und dann muss das ganze auch noch aufgesetzt werden. Da ist dann in der Tat schon die Frage interessanter ob der Kunde das möchte.


Ich bin da voll bei Ihnen. Ich frage mich gerade nur wie es die (wesentlich grössere) Konkurrenz geschafft hat.......auch die hatte zum Teil mit Umstrukturierungen und Übernahmen zu kämpfen. DF scheint da einiges verschlafen zu haben, da man jetzt an einem Punkt zu sein scheint wo selbst der Kunde merkt dass eine technische Grenze Innovationen und Updates hemmt (z.b. mysql 5.7 oder http/2).

Auch wenn sie es eh wieder zerpflücken und an jeder Stelle gegen uns verwenden werden: Es gab ohne Frage einen Stau bei Anpassungen in diversen Bereichen, dessen Ursachen auch in der langen Vergangenheit zu suchen sind. Wir haben immer eigene Entwicklungen mit sehr vielen eigenen und sehr leistungsfähigen Funktionen gebaut und keine Standardlösungen in vielen Teilen verwendet. Das bedeutet enorm viel Code und Abhängigkeiten im Hintergrund, was von einigen Entwicklern über 15 Jahre entwickelt wurden. Viel Code und Funktionalität wurde in den letzten Jahren schon portiert und aktualisiert. Einiges ist da aber noch über und muss noch gemacht werden. Das wird nach und nach passieren. Das wird auch bei Mitbewerbern in vielen Fällen nicht unbedingt anders sein, kommt natürlich immer auf angebotenen Funktionsumfang und verwendete Lösungen an. Diskussion darüber sicher aber auch müssig, da weder Sie noch wir da Details kennen und nur Vermutungen ausgetauscht werden. Das neue Image muss ein großer Sprung werden, auch das mit geschichtlichen Hintergründen erklärbar. Durch die Vorfälle im letzten Jahr hat die Entwicklung von diesem lange nahezu pausiert und wir müssen da jetzt demnächst zu einem Ergebnis kommen. Danach wird die Welt diesbezüglich sicher auch hier wieder anders aussehen. Hemmnisse gibt es da nicht direkt würde ich sagen, es fehlt einfach die Umsetzung der zentralen Komponente dem 64Bit-Image. Wir können das jetzt auch immer wieder thematisieren und durchsprechen, aber es bleiben die immer gleichen Punkte, die wir lösen werden!

Mit freundlichen Grüßen

Nils Dornblut

So langsam müsste ihr mal ein paar Details zum neuem Image releasen. Man kann das ja auch seitens von DF positiv verfassen, im Blog, Forum oder auf Facebook (oder wo ihr sonst alles mögliches publik macht). Informationspolitik hin oder her, aber es ist sehr schlecht, wenn man nur weiß: irgendwann kommt irgendwas viel Neueres. Ich mein: ihr habt Reseller, die ungeduldig werden, oder schon gegangen sind. Ihr habt ganz normale Hoster-Kunden, die ungeduldig werden oder schon gegangen sind. Mit dem ManagedServer (kosten einiges!!!) sind Dinge nicht möglich, die überall anders, auch für weniger Geld schon lange zur Verfügung stehen. Wie lange, denkt ihr könnt ihr dieses Mysterium noch aufrechterhalten, dass irgendwann ein neues Image kommt, was fast alle Probleme mit einem Schlag löst?

Ich habe hier noch nie eine Aussage zerpflückt oder gegen DF verwendet. Das möchte ich mal festhalten. Das einzige was ich nicht tue ist um den heissen Brei herum zu reden. Ich kann es natürlich auch wie andere tun und die Klappe halten, DF verlassen und mir dann woanders den Mund zerreissen. Tue ich aber, vermutlich zu Ihrer Überraschung, nicht

An dieser Aussage gibt es nicht zu zerreissen, ich finde sie für DF-Verhältnisse sehr offen und begrüsse das. Das einzige was ich nicht teile ist die Aussage des Stillstandes wegen der Vorfälle aus dem letzten Jahr, das ist aber ein anderes Thema.

Das Problem ist diesbezüglich leider einfach, dass wir erst Details nennen können, wenn Termine feststehen. Und der wird erst feststehen, wenn wir fertig sind und alle Unwägbarkeiten recht sicher ausgeräumt haben. Wir würden gerne schon etwas dazu sagen, es geht leider aber erst nach der Fertigstellung. Gerade bei dem Thema ist es uns besonders wichtig, dass wir hier nicht irgendetwas in die Welt setzen, was wir dann nicht halten können.

Mit freundlichen Grüßen

Nils Dornblut

Es sind doch nun seit ca. einem halben Jahr alle Mysql3/4-Datenbanken abgeschaltet. Was ist denn jetzt die Ausrede dafür, dass weiterhin ein 11 Jahre altes phpMyAdmin im Einsatz ist?

Am 30.07.2019 wurde mit der Abschaltung begonnen! Ob alle alten DB inzwischen abgeschaltet sind kann nur df sagen.

Es gibt da keine Ausrede. Wir haben das auf der Agenda. Was diesbezüglich im neuen Image geändert wird, werden wir dann veröffentlichen wenn es das neue Image gibt. Der bisherige PHPmyAdmin ist in dem Sinne nicht schlecht und es war/ist nicht geplant da im vorhandenen Image direkt Änderungen vorzunehmen.

Mit freundlichen Grüßen

Nils Dornblut

Einerseits wird seitens Domainfactory gesagt, dass man veraltete, unsupportete Software aus Sicherheitsgründen nicht mehr unterstützen will. Kunden wird das abgeschaltet. Das ist grundsätzlich auch plausibel. Aber wenn es Kosten spart (=Gewinne erhöht), dann betreibt Domainfactory selbst eben auch 11 Jahre alte Software weiter, für die diverse Sicherheitslücken bekannt sind. Darüber hinaus funktioniert das im Einsatz befindliche phpMyAdmin 2.11.11 unter PHP 7 nicht, weil es auf Funktionen setzt, die ab PHP 5.3 deprecated und ab PHP7.0 nicht mehr enthalten sind. Domainfactory schaltet Kunden also PHP5 ab, setzt aber selbst offenbar weiter darauf. Naja, Stand Sommer 2018 liefen Backend-Services bei Domainfactory ja auch noch mit PHP4, obwohl es dafür seit 10 Jahren keinen Support mehr gab. DF hat ja zwischenzeitlich die X-Powered-By-Header abgeschaltet, so dass das nicht mehr ganz so einfach nachvollziehbar ist. Würde mich nicht wundern, wenn das immer noch mit PHP4 läuft.

Ich darf die (angebliche) Sicherheitsstrategie dann inkonsistent, unausgegoren bis scheinheilig finden? Aber es geht eh nur noch um Gewinnmaximierung, damit bei der LosPapa Inc. die Quartalszahlen und der Börsenkurs stimmen.

Nehmen Sie es nicht persönlich: Sie machen einen guten Job. Ihr Arbeitgeber ist von einem der besten zum schlechtesten Hoster in Deutschland verkommen.

Nehmen Sie es ebenfalls nicht persönlich, aber wenn Sie so pauschalisieren haben wir auch keinen Bedarf daran sachlich auf einzelne Punkte einzugehen. Danke für Ihr Verständnis vorab. Viel Erfolg für Ihre Zukunft.

Mit freundlichen Grüßen

Nils Dornblut