Drucksache: PHP Magazin 3.19 - PHP 5.x und PHP 7.x - Sicherheit im Fokus!
Im PHP Magazin 3.2019 ist ein Artikel über die Sicherheit von 5.x und 7.x erschienen - als Titelthema!
Eine Leseprobe des Artikels gibt es auf entwickler.de.
Seit dem 31.12.2018 wird PHP 5.x nicht mehr unterstützt. Das heißt insbesondere: Jede seit dem 1.1.2019 entdeckte Schwachstelle ist und bleibt eine 0-Day-Schwachstelle - es wird keinen Patch dafür geben. Aber wir sieht es sonst noch so mit der Sicherheit von PHP 7.x im Vergleich zu PHP 5.x aus?
Das größte Problem für PHP 5.6 (und allen älteren Versionen) ist der fehlende Support. In PHP wurden schon etliche, auch kritische Schwachstellen gefunden und behoben. Glaubt wirklich irgendjemand, dass in Zukunft keine mehr gefunden werden?
Es sieht so aus, denn bei der Recherche zu diesem Artikel bin ich auf einen Hoster gestoßen, der seinen Kunden doch tatsächlich bis zum 1. Januar 2021(!) PHP 5.2(!) bis 5.6 anbieten will. Noch 2 Jahre für eine Version, die seit 8 Jahren nicht mehr unterstützt wird (Supportende für PHP 5.2 war der 6.1.2011) - das nenne ich mal sportlich. Dabei sein ist alles, oder was? Und das ist nicht der einzige Hoster, der immer noch längst nicht mehr unterstützte Versionen bereitstellt.
Was wollen die machen, wenn eine kritische Schwachstelle in so einer Version gefunden wird und es die ersten Angriffe darauf gibt? Sagen "Tut mir ja leid, liebe Kunden, ich garantiere euch nur, dass die Version läuft, von Sicherheit war nie die Rede!"? Denn eins ist sicher: Behoben werden die Schwachstellen nicht mehr [19].
Die Hoster sitzen natürlich ziemlich in der Bredouille: Sie können PHP 5.6 nicht einfach abschalten, solange ihre Kunden es noch verwenden. Und die lassen sich meist Zeit mit dem Wechsel zu einer neuen Version. Also müssen die Hoster ihnen diese Zeit zumindest teilweise lassen. Druck auf die Kunden ausüben ist auch keine Option, die wechseln dann vielleicht lieber zu einem Hoster der ihre Webanwendungen weiter unterstützt statt zu einer PHP-Version, die Änderungen an der Webanwendung erfordert. Die sie vielleicht gar nicht vornehmen können.
Aber trotzdem - das ist ein Spiel mit dem Feuer. Wahrscheinlich sind das alles geborene Kölner: "Et hätt noch emmer joot jejange."
Ich halte es da ja sicherheitshalber lieber mit Murphy: "Anything that
can go wrong will go wrong" und erweitere es um ein "sooner or
later".
Und wenn Murphys Gesetz auch für Murphys Gesetz gilt, dann ist das
"more sooner than later"!
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "PHP-Sicherheit von PHP 4.x bis PHP 5.5"; PHP Magazin 5.2013
- [2] PHP Manual: MySQL (Original)
- [3] PHP Manual: MySQLi
- [4] PHP Manual: PDO_MYSQL
- [5] PHP RFC: Argon2 Password Hash
- [6] Password Hashing Competition and our recommendation for hashing passwords: Argon2
- [7] PHP Manual: Password Hashing
- [8] Carsten Eilers: "Passwörter speichern, aber richtig!"; PHP Magazin 6.2013
- [9] Libsodium documentation
- [10] PHP RFC: Make Libsodium a Core Extension
- [11] Carsten Eilers: "Ein schmaler Grat"; PHP Magazin 1.2018, auch online auf entwickler.de
- [12] PHP RFC: Deprecate (then Remove) Mcrypt
- [13] PHP Manual: CSPRNG
- [14] PHP Manual: unserialize
- [15] Carsten Eilers: "Zehn Bedrohungen für Webanwendungen Teil 4: Cross-Site Scripting, Insecure Deserialization"; PHP Magazin 6.2018
- [16] PHP Manual: create_function
- [17] PHP Manual: parse_str
- [18] PHP Manual: assert
- [19] PHP: Supported Versions
Trackbacks