Ankündigung

Einklappen
Keine Ankündigung bisher.

Abschaltung von PHP 4/5

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #76
    Zitat von [headcrash] Beitrag anzeigen
    Ersetze Technik durch irgendwelche Entscheider und es sollte passen und ich gehe davon aus, dass es da interne Diskussionen gab, ob der blitzartige Terminplan jetzt wirklich so clever war oder man da etwas den Druck rausnimmt.
    Der Grund kann ja eigentlich nur daran gelegen haben dass es noch zu viele PHP 7.0/7.1 - Präsenzen gibt und/oder sich viele Kunden beschwert haben. Spannend finde ich dabei folgende Fragen

    1. Reicht ein Aufschub von 3 Monaten, wenn die Kunden es nicht schaffen innerhalb von knapp einem Jahr umzustellen ? Als Reseller kann man seine Kunden ja noch an der Hand führen, ein Grossteil der DF-Kunden wird so jemanden aber nicht haben.

    2. Wie hoch ist der PHP5.6-Anteil bei DF? Der Anteil im Mai 2018 lag bei ca. 16% (Netzweit, Quelle: https://entwickler.de/online/php/php...579843624.html).



    Markus
    ---
    https://www.facebook.com/markus.weber.180410

    Kommentar


      #77
      Zitat von Nils Dornblut Beitrag anzeigen
      Und ist durch was belegt? Wenn es Lücken in aktueller Software gibt, die ausgenutzt werden können, dann werden die primär dort behoben und getestet. Diesbezüglich wäre ich gespannt auf gegenteilige Fakten.
      Ich habe mit der entsprechenden Person mal gesprochen weil mich das Thema auch interessiert: Generell gibt es im Netz die Aussage "PHP sei per se unsicher". Diese Aussage bezieht sich darauf, dass man mit PHP (egal welche Version) programmiertechnische "Schweinereien" anstellen kann. Beispielsweise braucht man in PHP keinen Variablentypen festlegen was dann zur Laufzeit zu einer tickenden Bombe werden kann. Schlimmer wird es dann noch wenn man GET/POST-Parameter nicht prüft und somit recht fix von aussen Datenbankabfragen beeinflussen kann.

      Im Umkehrschluss bedeutet dies aber auch, dass es auf die Software ankommt und nicht auf die PHP-Version. Kern des Problems ist, dass Software natürlich für aktuellere PHP-Versionen gebaut wird und dadurch die Versionen, die auf altem PHP basieren, nicht mehr supported werden und ggf Sicherheitslücken aufreissen. Das liegt aber nicht an PHP sondern an der Software.

      Für PHP selber sind keine Lücken bekannt. Und das soll was heissen, PHP hat vor 2 Jahren seinen 20. Geburtstag gefeiert.

      Die richtige Vorgehensweise wäre eigentlich Hostingkunden dazu zu drängen Updates für eingesetzte Software einzuspielen. Das wäre wesentlich nachhaltiger, da dabei auch aktuelle Lücken geschlossen würden und sich der Kunde nicht in Sicherheit wiegt nur weil seine Software jetzt auf PHP 7.3 läuft.

      Und zu guter letzt gehört es auch dazu die Serversoftware aktuell zu halten. Auf der einen Seite alte Versionen abzuschalten um auf der anderen Seite Updates auf unbestimmte Zeit zu schieben ist ein Unding.
      Zuletzt geändert von wecotec; 27.11.2019, 07:57.
      Markus
      ---
      https://www.facebook.com/markus.weber.180410

      Kommentar


        #78
        Zitat von wecotec Beitrag anzeigen
        Generell gibt es im Netz die Aussage "PHP sei per se unsicher". Diese Aussage bezieht sich darauf, dass man mit PHP (egal welche Version) programmiertechnische "Schweinereien" anstellen kann. Beispielsweise braucht man in PHP keinen Variablentypen festlegen was dann zur Laufzeit zu einer tickenden Bombe werden kann. Schlimmer wird es dann noch wenn man GET/POST-Parameter nicht prüft und somit recht fix von aussen Datenbankabfragen beeinflussen kann.
        Na ja, ich denke, in der Hand eines Laien lässt sich so ziemlich jede Programmiersprache so quälen, dass die erstellten Skripte/Programme ein Sicherheitsrisiko darstellen. Wenn ich da z. B. an Buffer Overflows etc. denke...

        Was Sicherheit angeht, sind dann allerdings tatsächlich die neueren PHP-Versionen ein Stück voraus, da die ständig ausgeweiteten Möglichkeiten für Type Hinting zusammen mit declare(strict_types=1) zu einer strikteren Typisierung zumindest bei Übergabe von Parametern führt. Ja, das muss der Programmierer selbst übernehmen, aber wie gesagt, wer zu wenig weiß, kann auch anderswo üble Löcher reißen.

        Das sollte jetzt kein Widerspruch zu dem sein, was Du geschrieben hast, sondern lediglich eine Ergänzung.

        Gruß
        Jan
        Zuletzt geändert von Enigma; 27.11.2019, 22:34.
        Two hours of trial and error can save ten minutes of manual reading.

        Kommentar


          #79
          Gerade von MODX Cloud reingekommen:

          In other news, PHP 7.1 officially sunsets on December 1, 2019. It will be removed from Cloud in early 2020. We’ll be preparing for the arrival of PHP 7.4 once released.
          Auch da wird konsequent reagiert bei mäßig langem Vorlauf. Ist nicht ganz vergleichbar, da es sich um ein Spezial-Hosting für das CMS MODX handelt, das dort automatisiert installiert und upgedatet werden kann, aber da auch MODX externe Erweiterungen einbinden kann und insbesondere für Entwickler interessant ist und somit durchaus mit einer Menge externem / eigenem Code gerechnet werden kann, passt es schon hier in die Diskussion.

          Gruß
          Jan
          Two hours of trial and error can save ten minutes of manual reading.

          Kommentar


            #80
            Zitat von wecotec Beitrag anzeigen
            Die richtige Vorgehensweise wäre eigentlich Hostingkunden dazu zu drängen Updates für eingesetzte Software einzuspielen.
            Sie können das ja mal mit Ihren Kunden probieren. Es wird ohne Druck und extrinsische Motivation nicht klappen orakle ich einfach einmal

            Und zu guter letzt gehört es auch dazu die Serversoftware aktuell zu halten. Auf der einen Seite alte Versionen abzuschalten um auf der anderen Seite Updates auf unbestimmte Zeit zu schieben ist ein Unding.
            Wir schieben nicht auf unbestimmte Zeit. Es wird für alle Systemteile an Lösungen gearbeitet. Hier jetzt einen Vergleich zu ziehen wird sehr schwierig. Ein System für mehrere 100.000 Kunden was in totaler Eigenentwicklung über Jahre und Jahrzehnte gewachsen ist, können sie so nicht einfach mal eben umstellen, sondern es benötigt sehr langwierige Planungen. Da wir jeweils die Serve rfür diese Anwenudungen sehr genau im Monitoring haben, können wir individuell und angepasst reagieren. Das ist bei einer allgemeinen Plattform (wie hier im Webhosting) so nicht der Fall.

            Mit freundlichen Grüßen

            Nils Dornblut

            Blog - Facebook - Twitter
            Communitybetreiber: domainfactory GmbH
            Impressum / Pflichtangaben

            Kommentar


              #81
              Zitat von Nils Dornblut Beitrag anzeigen
              Sie können das ja mal mit Ihren Kunden probieren. Es wird ohne Druck und extrinsische Motivation nicht klappen orakle ich einfach einmal
              Kommt auf die eingesetzten Systeme an. Generell sind die Kunden sehr updatewillig sofern die Systeme das zulassen. Es gibt aber auch Systeme die das nicht mehr ermöglichen. Hier müssen Alternativen gefunden werden, eine Migration geplant werden und dann muss das ganze auch noch aufgesetzt werden. Da ist dann in der Tat schon die Frage interessanter ob der Kunde das möchte.


              Zitat von Nils Dornblut Beitrag anzeigen
              Wir schieben nicht auf unbestimmte Zeit. Es wird für alle Systemteile an Lösungen gearbeitet. Hier jetzt einen Vergleich zu ziehen wird sehr schwierig. Ein System für mehrere 100.000 Kunden was in totaler Eigenentwicklung über Jahre und Jahrzehnte gewachsen ist, können sie so nicht einfach mal eben umstellen, sondern es benötigt sehr langwierige Planungen. Da wir jeweils die Serve rfür diese Anwenudungen sehr genau im Monitoring haben, können wir individuell und angepasst reagieren. Das ist bei einer allgemeinen Plattform (wie hier im Webhosting) so nicht der Fall.
              Ich bin da voll bei Ihnen. Ich frage mich gerade nur wie es die (wesentlich grössere) Konkurrenz geschafft hat.......auch die hatte zum Teil mit Umstrukturierungen und Übernahmen zu kämpfen. DF scheint da einiges verschlafen zu haben, da man jetzt an einem Punkt zu sein scheint wo selbst der Kunde merkt dass eine technische Grenze Innovationen und Updates hemmt (z.b. mysql 5.7 oder http/2).
              Markus
              ---
              https://www.facebook.com/markus.weber.180410

              Kommentar


                #82
                Zitat von wecotec Beitrag anzeigen
                Ich bin da voll bei Ihnen. Ich frage mich gerade nur wie es die (wesentlich grössere) Konkurrenz geschafft hat.......auch die hatte zum Teil mit Umstrukturierungen und Übernahmen zu kämpfen. DF scheint da einiges verschlafen zu haben, da man jetzt an einem Punkt zu sein scheint wo selbst der Kunde merkt dass eine technische Grenze Innovationen und Updates hemmt (z.b. mysql 5.7 oder http/2).
                Auch wenn sie es eh wieder zerpflücken und an jeder Stelle gegen uns verwenden werden: Es gab ohne Frage einen Stau bei Anpassungen in diversen Bereichen, dessen Ursachen auch in der langen Vergangenheit zu suchen sind. Wir haben immer eigene Entwicklungen mit sehr vielen eigenen und sehr leistungsfähigen Funktionen gebaut und keine Standardlösungen in vielen Teilen verwendet. Das bedeutet enorm viel Code und Abhängigkeiten im Hintergrund, was von einigen Entwicklern über 15 Jahre entwickelt wurden. Viel Code und Funktionalität wurde in den letzten Jahren schon portiert und aktualisiert. Einiges ist da aber noch über und muss noch gemacht werden. Das wird nach und nach passieren. Das wird auch bei Mitbewerbern in vielen Fällen nicht unbedingt anders sein, kommt natürlich immer auf angebotenen Funktionsumfang und verwendete Lösungen an. Diskussion darüber sicher aber auch müssig, da weder Sie noch wir da Details kennen und nur Vermutungen ausgetauscht werden. Das neue Image muss ein großer Sprung werden, auch das mit geschichtlichen Hintergründen erklärbar. Durch die Vorfälle im letzten Jahr hat die Entwicklung von diesem lange nahezu pausiert und wir müssen da jetzt demnächst zu einem Ergebnis kommen. Danach wird die Welt diesbezüglich sicher auch hier wieder anders aussehen. Hemmnisse gibt es da nicht direkt würde ich sagen, es fehlt einfach die Umsetzung der zentralen Komponente dem 64Bit-Image. Wir können das jetzt auch immer wieder thematisieren und durchsprechen, aber es bleiben die immer gleichen Punkte, die wir lösen werden!

                Mit freundlichen Grüßen

                Nils Dornblut



                Blog - Facebook - Twitter
                Communitybetreiber: domainfactory GmbH
                Impressum / Pflichtangaben

                Kommentar


                  #83
                  So langsam müsste ihr mal ein paar Details zum neuem Image releasen. Man kann das ja auch seitens von DF positiv verfassen, im Blog, Forum oder auf Facebook (oder wo ihr sonst alles mögliches publik macht). Informationspolitik hin oder her, aber es ist sehr schlecht, wenn man nur weiß: irgendwann kommt irgendwas viel Neueres. Ich mein: ihr habt Reseller, die ungeduldig werden, oder schon gegangen sind. Ihr habt ganz normale Hoster-Kunden, die ungeduldig werden oder schon gegangen sind. Mit dem ManagedServer (kosten einiges!!!) sind Dinge nicht möglich, die überall anders, auch für weniger Geld schon lange zur Verfügung stehen. Wie lange, denkt ihr könnt ihr dieses Mysterium noch aufrechterhalten, dass irgendwann ein neues Image kommt, was fast alle Probleme mit einem Schlag löst?
                  Zuletzt geändert von raymond; 30.11.2019, 11:33.

                  Kommentar


                    #84
                    Zitat von Nils Dornblut Beitrag anzeigen
                    Auch wenn sie es eh wieder zerpflücken und an jeder Stelle gegen uns verwenden werden:
                    Ich habe hier noch nie eine Aussage zerpflückt oder gegen DF verwendet. Das möchte ich mal festhalten. Das einzige was ich nicht tue ist um den heissen Brei herum zu reden. Ich kann es natürlich auch wie andere tun und die Klappe halten, DF verlassen und mir dann woanders den Mund zerreissen. Tue ich aber, vermutlich zu Ihrer Überraschung, nicht

                    Zitat von Nils Dornblut Beitrag anzeigen
                    Es gab ohne Frage einen Stau bei Anpassungen in diversen Bereichen, dessen Ursachen auch in der langen Vergangenheit zu suchen sind. Wir haben immer eigene Entwicklungen mit sehr vielen eigenen und sehr leistungsfähigen Funktionen gebaut und keine Standardlösungen in vielen Teilen verwendet. Das bedeutet enorm viel Code und Abhängigkeiten im Hintergrund, was von einigen Entwicklern über 15 Jahre entwickelt wurden. Viel Code und Funktionalität wurde in den letzten Jahren schon portiert und aktualisiert. Einiges ist da aber noch über und muss noch gemacht werden. Das wird nach und nach passieren. Das wird auch bei Mitbewerbern in vielen Fällen nicht unbedingt anders sein, kommt natürlich immer auf angebotenen Funktionsumfang und verwendete Lösungen an. Diskussion darüber sicher aber auch müssig, da weder Sie noch wir da Details kennen und nur Vermutungen ausgetauscht werden. Das neue Image muss ein großer Sprung werden, auch das mit geschichtlichen Hintergründen erklärbar. Durch die Vorfälle im letzten Jahr hat die Entwicklung von diesem lange nahezu pausiert und wir müssen da jetzt demnächst zu einem Ergebnis kommen. Danach wird die Welt diesbezüglich sicher auch hier wieder anders aussehen. Hemmnisse gibt es da nicht direkt würde ich sagen, es fehlt einfach die Umsetzung der zentralen Komponente dem 64Bit-Image. Wir können das jetzt auch immer wieder thematisieren und durchsprechen, aber es bleiben die immer gleichen Punkte, die wir lösen werden!
                    An dieser Aussage gibt es nicht zu zerreissen, ich finde sie für DF-Verhältnisse sehr offen und begrüsse das. Das einzige was ich nicht teile ist die Aussage des Stillstandes wegen der Vorfälle aus dem letzten Jahr, das ist aber ein anderes Thema.
                    Markus
                    ---
                    https://www.facebook.com/markus.weber.180410

                    Kommentar


                      #85
                      Zitat von raymond Beitrag anzeigen
                      So langsam müsste ihr mal ein paar Details zum neuem Image releasen. Man kann das ja auch seitens von DF positiv verfassen, im Blog, Forum oder auf Facebook (oder wo ihr sonst alles mögliches publik macht). Informationspolitik hin oder her, aber es ist sehr schlecht, wenn man nur weiß: irgendwann kommt irgendwas viel Neueres. Ich mein: ihr habt Reseller, die ungeduldig werden, oder schon gegangen sind. Ihr habt ganz normale Hoster-Kunden, die ungeduldig werden oder schon gegangen sind. Mit dem ManagedServer (kosten einiges!!!) sind Dinge nicht möglich, die überall anders, auch für weniger Geld schon lange zur Verfügung stehen. Wie lange, denkt ihr könnt ihr dieses Mysterium noch aufrechterhalten, dass irgendwann ein neues Image kommt, was fast alle Probleme mit einem Schlag löst?
                      Das Problem ist diesbezüglich leider einfach, dass wir erst Details nennen können, wenn Termine feststehen. Und der wird erst feststehen, wenn wir fertig sind und alle Unwägbarkeiten recht sicher ausgeräumt haben. Wir würden gerne schon etwas dazu sagen, es geht leider aber erst nach der Fertigstellung. Gerade bei dem Thema ist es uns besonders wichtig, dass wir hier nicht irgendetwas in die Welt setzen, was wir dann nicht halten können.

                      Mit freundlichen Grüßen

                      Nils Dornblut
                      Blog - Facebook - Twitter
                      Communitybetreiber: domainfactory GmbH
                      Impressum / Pflichtangaben

                      Kommentar


                        #86
                        Zitat von Nils Dornblut Beitrag anzeigen
                        Es ist aber so, dass die Beibehaltung solcher ewig alten Dinge immer Ressourcen kostet, die an anderer Stelle dann nicht für Verbesserungen eingesetzt werden können. Zusätzlich hindert es auch oft. Beispiel, welches zwar nicht direkt mit PHP zu tun hat: PHPmyAdmin! Der wurde nie aktualisiert, weil es dann mit älteren MySQL nicht mehr funktioniert hätte. So kann man viele Beispiele finden, gerade bei Bibliotheken usw.
                        Es sind doch nun seit ca. einem halben Jahr alle Mysql3/4-Datenbanken abgeschaltet. Was ist denn jetzt die Ausrede dafür, dass weiterhin ein 11 Jahre altes phpMyAdmin im Einsatz ist?

                        Kommentar


                          #87
                          Zitat von rp_df Beitrag anzeigen
                          Es sind doch nun seit ca. einem halben Jahr alle Mysql3/4-Datenbanken abgeschaltet.
                          Am 30.07.2019 wurde mit der Abschaltung begonnen! Ob alle alten DB inzwischen abgeschaltet sind kann nur df sagen.

                          Kommentar


                            #88
                            Zitat von rp_df Beitrag anzeigen

                            Es sind doch nun seit ca. einem halben Jahr alle Mysql3/4-Datenbanken abgeschaltet. Was ist denn jetzt die Ausrede dafür, dass weiterhin ein 11 Jahre altes phpMyAdmin im Einsatz ist?
                            Es gibt da keine Ausrede. Wir haben das auf der Agenda. Was diesbezüglich im neuen Image geändert wird, werden wir dann veröffentlichen wenn es das neue Image gibt. Der bisherige PHPmyAdmin ist in dem Sinne nicht schlecht und es war/ist nicht geplant da im vorhandenen Image direkt Änderungen vorzunehmen.

                            Mit freundlichen Grüßen

                            Nils Dornblut
                            Blog - Facebook - Twitter
                            Communitybetreiber: domainfactory GmbH
                            Impressum / Pflichtangaben

                            Kommentar


                              #89
                              Zitat von Nils Dornblut Beitrag anzeigen

                              Es gibt da keine Ausrede. Wir haben das auf der Agenda. Was diesbezüglich im neuen Image geändert wird, werden wir dann veröffentlichen wenn es das neue Image gibt. Der bisherige PHPmyAdmin ist in dem Sinne nicht schlecht und es war/ist nicht geplant da im vorhandenen Image direkt Änderungen vorzunehmen.
                              Einerseits wird seitens Domainfactory gesagt, dass man veraltete, unsupportete Software aus Sicherheitsgründen nicht mehr unterstützen will. Kunden wird das abgeschaltet. Das ist grundsätzlich auch plausibel. Aber wenn es Kosten spart (=Gewinne erhöht), dann betreibt Domainfactory selbst eben auch 11 Jahre alte Software weiter, für die diverse Sicherheitslücken bekannt sind. Darüber hinaus funktioniert das im Einsatz befindliche phpMyAdmin 2.11.11 unter PHP 7 nicht, weil es auf Funktionen setzt, die ab PHP 5.3 deprecated und ab PHP7.0 nicht mehr enthalten sind. Domainfactory schaltet Kunden also PHP5 ab, setzt aber selbst offenbar weiter darauf. Naja, Stand Sommer 2018 liefen Backend-Services bei Domainfactory ja auch noch mit PHP4, obwohl es dafür seit 10 Jahren keinen Support mehr gab. DF hat ja zwischenzeitlich die X-Powered-By-Header abgeschaltet, so dass das nicht mehr ganz so einfach nachvollziehbar ist. Würde mich nicht wundern, wenn das immer noch mit PHP4 läuft.

                              Ich darf die (angebliche) Sicherheitsstrategie dann inkonsistent, unausgegoren bis scheinheilig finden? Aber es geht eh nur noch um Gewinnmaximierung, damit bei der LosPapa Inc. die Quartalszahlen und der Börsenkurs stimmen.

                              Nehmen Sie es nicht persönlich: Sie machen einen guten Job. Ihr Arbeitgeber ist von einem der besten zum schlechtesten Hoster in Deutschland verkommen.


                              Zuletzt geändert von rp_df; 07.12.2019, 11:06.

                              Kommentar


                                #90
                                Zitat von rp_df Beitrag anzeigen
                                Nehmen Sie es nicht persönlich: Sie machen einen guten Job. Ihr Arbeitgeber ist von einem der besten zum schlechtesten Hoster in Deutschland verkommen.
                                Nehmen Sie es ebenfalls nicht persönlich, aber wenn Sie so pauschalisieren haben wir auch keinen Bedarf daran sachlich auf einzelne Punkte einzugehen. Danke für Ihr Verständnis vorab. Viel Erfolg für Ihre Zukunft.

                                Mit freundlichen Grüßen

                                Nils Dornblut
                                Blog - Facebook - Twitter
                                Communitybetreiber: domainfactory GmbH
                                Impressum / Pflichtangaben

                                Kommentar

                                Lädt...
                                X