Ankündigung

Einklappen
Keine Ankündigung bisher.

TLS 1.3 Unterstützung

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #16
    Zitat von Nils Dornblut Beitrag anzeigen
    Es gibt viele die Beifall bezüglich der Einstellung der PHP-Versionen klatschen ...
    Zitat von masterframe Beitrag anzeigen
    Da ist mir hier noch keiner untergekommen. Wer die alten Versionen nicht verwenden will, muss das ja nicht.
    Na ja, da steht ja nicht, wer Beifall klatscht. Es gibt sicherlich auch Beifall für die SSL-Lösung von df, für nicht aktuelle Datenbank- und TLS-Versionen, für Domainpreise und die Absicherung von Freiberuflern in Osteuropa. - Ich persönlich gehöre allerdings (aus Gründen der Pietät) nicht zu den Jubelnden.

    Grüße
    fp
    2002: RP10 > 2011: RS XL4 > 2019: DomainManager

    Kommentar


      #17
      Zitat von fpielage Beitrag anzeigen
      Na ja, da steht ja nicht, wer Beifall klatscht.
      Ich wüsste da ein paar DF-Konkurrenten
      Zuletzt geändert von wecotec; 24.10.2019, 19:56.
      Markus
      ---
      https://www.facebook.com/markus.weber.180410

      Kommentar


        #18
        Na ja, ich halte die Abschaltung alter PHP-Versionen grundsätzlich für richtig - jetzt kennt Ihr einen. 😛 😁 Ich habe bei meinen Kunden immer auf aktuelle Software geachtet und hatte somit z. B. auch kein Problem, als die alten MySQL-Versionen abgeschaltet wurden. Allerdings bin ich auch kein reiner Hosting-Reseller. Und über das nachgeschobene "ach übrigens, auch alte PHP-7-Versionen werden abgeschaltet" hätte ich mich auch nicht gerade gefreut - nicht wegen der Tatsache selbst, sondern wegen der geringeren Vorlaufzeit.

        Schön wäre es nur, wenn man dann auch tatsächlich konsequent auf Sicherheit achten und neue Software (wie MySQL 5.7) schnell anbieten würde und nicht erst nach Jahren.

        Gruß
        Jan
        Two hours of trial and error can save ten minutes of manual reading.

        Kommentar


          #19
          Zitat von Enigma Beitrag anzeigen
          Na ja, ich halte die Abschaltung alter PHP-Versionen grundsätzlich für richtig - jetzt kennt Ihr einen.
          Prinzipiell ist die Abschaltung nicht falsch, aber Beifall klatschen tue ich nicht. Ich finde es sollte jedem Kunden selber überlassen sein. Ältere PHP-Versionen bedeuten ja kein Risiko für den Server an sich (sind also kein Problem für den Hoster) sondern sind eher das Problem der Kunden.


          Zitat von Enigma Beitrag anzeigen
          Schön wäre es nur, wenn man dann auch tatsächlich konsequent auf Sicherheit achten und neue Software (wie MySQL 5.7) schnell anbieten würde und nicht erst nach Jahren.
          Genau so ist es.
          Markus
          ---
          https://www.facebook.com/markus.weber.180410

          Kommentar


            #20
            Zitat von wecotec Beitrag anzeigen

            Prinzipiell ist die Abschaltung nicht falsch, aber Beifall klatschen tue ich nicht. Ich finde es sollte jedem Kunden selber überlassen sein. Ältere PHP-Versionen bedeuten ja kein Risiko für den Server an sich (sind also kein Problem für den Hoster) sondern sind eher das Problem der Kunden.
            Nunja, theoretisch wäre durchaus ein Exploit in php denkbar so dass ein Angreifer diesen Prozess mit erhöhten Rechten ausführen könnte.
            Praktisch untergekommen ist mir so ein Fall noch nicht.

            Wahrscheinlich würde es bereits reichen systemnahe Funktionen in älteren PHP Versionen zu sperren. Die meisten Anwendungen dürften dürften dennoch funktionieren.
            MfG,
            masterframe

            Kommentar


              #21
              Zitat von masterframe Beitrag anzeigen
              Wahrscheinlich würde es bereits reichen systemnahe Funktionen in älteren PHP Versionen zu sperren. Die meisten Anwendungen dürften dürften dennoch funktionieren.
              Wer eine alte PHP-Version benötigt, setzt ein altes Skript ein. Das ist zwar zunächst einmal sein eigenes Problem, aber auch nicht gerade das Gelbe vom Ei - insbesondere, wenn dort in irgendeiner Form Personendaten verarbeitet werden. Oder ein Kontaktformular zum Spammen missbraucht werden kann. Oder...

              Ich finde die Entscheidung völlig richtig, denn offenbar kann man manche Nutzer anders nicht zu Updates bewegen. Über die Vorlaufzeit kann man reden.

              Gruß
              Jan
              Two hours of trial and error can save ten minutes of manual reading.

              Kommentar


                #22
                Zitat von masterframe Beitrag anzeigen

                Nunja, theoretisch wäre durchaus ein Exploit in php denkbar so dass ein Angreifer diesen Prozess mit erhöhten Rechten ausführen könnte.
                Praktisch untergekommen ist mir so ein Fall noch nicht.
                Das deckt sich mit der Aussage der Technik unseres Alternativhosters. Selbst für PHP4 sind solche Lücken nicht bekannt.

                Zitat von Enigma Beitrag anzeigen
                Wer eine alte PHP-Version benötigt, setzt ein altes Skript ein. Das ist zwar zunächst einmal sein eigenes Problem, aber auch nicht gerade das Gelbe vom Ei - insbesondere, wenn dort in irgendeiner Form Personendaten verarbeitet werden. Oder ein Kontaktformular zum Spammen missbraucht werden kann. Oder...

                Ich finde die Entscheidung völlig richtig, denn offenbar kann man manche Nutzer anders nicht zu Updates bewegen. Über die Vorlaufzeit kann man reden.
                Das sind aber nicht Probleme des Hosters sondern Probleme der Kunden. So könnte man auch argumentieren, dass selbst geschriebene Skripte potenziell unsicher sind.

                Und nur weil eine Webseite unter PHP5 läuft ist sie nicht unsicher. Das Problem ist eher dass alte PHP-Software lauffähig bleibt wo Sicherheitslücken bekannt sind. Aber auch dies ist nicht das Problem von DF.

                Aber wir weichen hier gerade vom Thema "TLS" ab, ggf kann Nils die Beiträge mit dem PHP-Thema entsprechend verschieben?
                Zuletzt geändert von wecotec; 27.10.2019, 15:29.
                Markus
                ---
                https://www.facebook.com/markus.weber.180410

                Kommentar


                  #23
                  Das Problem ist ja, dass du teils nicht updaten kannst weil die neue Software nur mit MySQL 5.7 tut. Was man hier halt nicht hat.

                  Kommentar


                    #24
                    Zitat von wecotec Beitrag anzeigen
                    Das sind aber nicht Probleme des Hosters sondern Probleme der Kunden. So könnte man auch argumentieren, dass selbst geschriebene Skripte potenziell unsicher sind.
                    Ich schrieb ja, dass das zunächst einmal das Problem des Kunden ist. Der überblickt die Tragweite des Ganzen oft aber nicht und setzt seine eigenen Kunden / Interessenten einem Risiko aus und hilft ggf. Spammern bei Ihrer Arbeit. Das muss man nicht unterstützen.

                    Was die selbstgeschriebenen Skripte angeht: Wenn ein Profi sie selbst schreibt, dürfte das wohl in Ordnung gehen. Wenn sich Laien nach zwei YouTube-Tutorials überschätzen und ihre Skripte auf einem produktiven Server einsetzen, ist das unschön, aber leider nicht zu vermeiden. Allerdings schreibt wohl auch eher eine kleine Minderheit der Laien ihre Skripte selbst. Und wenn die PHP-Version zwangsweise wechselt, müssen sie ihre alten Skripte wenigstens noch mal anschauen und verbessern mit Glück auch die Sicherheit, weil sie inzwischen dazugelernt haben. Auch da ist das also eher ein Gewinn.

                    Zitat von wecotec Beitrag anzeigen
                    Und nur weil eine Webseite unter PHP5 läuft ist sie nicht unsicher. Das Problem ist eher dass alte PHP-Software lauffähig bleibt wo Sicherheitslücken bekannt sind. Aber auch dies ist nicht das Problem von DF.
                    Das habe ich ja auch genauso gesagt.

                    Gruß
                    Jan
                    Two hours of trial and error can save ten minutes of manual reading.

                    Kommentar


                      #25
                      Zitat von Lukas M. Beitrag anzeigen
                      Das Problem ist ja, dass du teils nicht updaten kannst weil die neue Software nur mit MySQL 5.7 tut. Was man hier halt nicht hat.
                      Auch das habe ich erwähnt.

                      Gruß
                      Jan
                      Two hours of trial and error can save ten minutes of manual reading.

                      Kommentar


                        #26
                        Zitat von Enigma Beitrag anzeigen
                        Na ja, Ihr propagiert die ganze Zeit, alte Zöpfe in aller Härte abzuschneiden und nun mit allerhöchster Priorität auf Sicherheit zu setzen. Aber irgendwie dann doch nicht so wirklich. Alte PHP-Versionen konnten die Kunden selbst loswerden, bei der hier diskutierten Geschichte sind sie auf DF angewiesen und können nicht selbst für höhere Sicherheit sorgen. Und DF sagt eloquent: "Tja, äh, na ja, an dieser Stelle warten wir lieber noch ein Weilchen". Das ist für mich nicht annähernd so konsequent wie DF es in der letzten Zeit so stolz behauptet hat.
                        Mit dem End of Life bei TLS 1.0 ist es schwierig, das ist richtig, weil halt auf anderer Ebene verzahnt. Es hat aber auch keiner gesagt, dass wir das Thema nicht angehen.

                        Viele Grüße

                        Nils
                        Blog - Facebook - Twitter
                        Communitybetreiber: domainfactory GmbH
                        Impressum / Pflichtangaben

                        Kommentar


                          #27
                          Zitat von masterframe Beitrag anzeigen
                          Ich finde es auch seltsam, dass aus "Sicherheitsbedenken" alte PHP Versionen abgeschaltet werden obwohl hier viele User selbige noch benötigen, was aber für dF kein Argument zu sein scheint.
                          Bei der TLS Unterstützung wird nun genau andersherum argumentiert. Weil das bei vielen Usern zu Problemen führen kann wird es NICHT abgeschaltet.
                          Ich wollte nicht ausdrücken, dass wir das als Begründung nehmen. Es macht es aber schwierig und muss genau durchdacht werden es zu tun. Es ist anders gelagert als PHP, aber es werden sich Lösungen ergeben.

                          Mit freundlichen Grüßen

                          Nils Dornblut
                          Blog - Facebook - Twitter
                          Communitybetreiber: domainfactory GmbH
                          Impressum / Pflichtangaben

                          Kommentar


                            #28
                            Zitat von Enigma Beitrag anzeigen
                            Schön wäre es nur, wenn man dann auch tatsächlich konsequent auf Sicherheit achten und neue Software (wie MySQL 5.7) schnell anbieten würde und nicht erst nach Jahren.
                            Wir sind da dran, dass das zukünftig so sein wird. Es gibt da aber einige Felsbrocken, die dafür aus dem Weg geräumt werden müssen. Ich persönlich denke, dass das in einem Jahr anders aussehen wird insgesamt. Nein, dass ist keinerlei Terminankündigung, nur eine persönliche Einschätzung.

                            Viele Grüße

                            Nils

                            Blog - Facebook - Twitter
                            Communitybetreiber: domainfactory GmbH
                            Impressum / Pflichtangaben

                            Kommentar


                              #29
                              Zitat von Nils Dornblut Beitrag anzeigen
                              Mit dem End of Life bei TLS 1.0 ist es schwierig, das ist richtig, weil halt auf anderer Ebene verzahnt. Es hat aber auch keiner gesagt, dass wir das Thema nicht angehen.
                              Das EoL kommt ja nicht unverhofft, wie Weihnachten oder Ostern. Da ich gerade unterwegs bin, kann ich nicht nachschauen. Aber zwei Jahre sind es bestimmt schon...

                              Ich persönlich denke, dass das in einem Jahr anders aussehen wird insgesamt. Nein, dass ist keinerlei Terminankündigung, nur eine persönliche Einschätzung.
                              Ich hoffe ja, dass es schneller geht. Sonst ist das nächste Problem bei uns schon absehbar...

                              Kommentar


                                #30
                                Und hier nach 1 Monat auch nix neues. Ich verstehe immer noch nicht, wie unflexibel das aktuelle Image sein kann, dass so Sachen wie http/2, TLS 1.3 und MySQL 5.7 nicht regulär für alle Kunden ohne Aufpreis installiert werden kann. Kurz gesagt: wir brauchen Planungssicherheit. Überraschungen gibt’s schon zu Weihnachten 🎄

                                Da können wir ja froh sein, dass noch Apache und PHP aktualisiert werden kann.
                                Zuletzt geändert von raymond; 30.11.2019, 11:03.

                                Kommentar

                                Lädt...
                                X