chibit
Мой дом здесь!
- Регистрация
- 4 Дек 2007
- Сообщения
- 418
- Реакции
- 290
- Автор темы
- #11
Для просмотра ссылки Войди
PHP: старая песня о главном
- Автор темы chibit
- Дата начала
Горбушка
Ищу её...
- Регистрация
- 2 Май 2008
- Сообщения
- 3.444
- Реакции
- 2.524
chibit, вот за ссылочку спасибо, будем юзаться. А что касаемо багов - да, их действительно фиксят, но, увы, не все. Исправляют, как правило, только самые критические уязвимости. Ну а остальные - ждите новые версии. Что и напрягает.
Впрочем, если бы фиксили и для старых версий - не было бы смысла в новых. Ведь у того же PHP в пределах ветки (5.3.х) нет новых функций, они появляются только в глобальных ветках (5.х).
Впрочем, если бы фиксили и для старых версий - не было бы смысла в новых. Ведь у того же PHP в пределах ветки (5.3.х) нет новых функций, они появляются только в глобальных ветках (5.х).
KillDead
Хранитель порядка
- Регистрация
- 11 Авг 2006
- Сообщения
- 894
- Реакции
- 579
хм, т.е если меня ломанут через кривой софт на сервере к которому я вообще никаким боком не отношусь мне скажут - чо? ничего не знаем, оно само сломалось. Так?
Горбушка
Ищу её...
- Регистрация
- 2 Май 2008
- Сообщения
- 3.444
- Реакции
- 2.524
KillDead, при заключении договора оговаривается список предоставляемых пакетов, включая версии PHP и т.д. и Вы предупреждаетесь, что хостинг не несёт ответственности за возможные проблемы в этих софтинах, однако обязуется обновлять её по таким-то таким-то условиям...
Т.е. да, хостинг, как правило, за это ответственности нести не будет, т.к. не по их вине это случилось, а по вине разработчиков PHP. Другой момент, если уязвимость вызвана не верными настройками или не своевреенным обновлением ПО...
Т.е. да, хостинг, как правило, за это ответственности нести не будет, т.к. не по их вине это случилось, а по вине разработчиков PHP. Другой момент, если уязвимость вызвана не верными настройками или не своевреенным обновлением ПО...
Если на момент траблы у тебя будет на репозитории пакет с исправлением, то значит ты не своевременно обноил ПО и значит ответственность на тебе. Это судя по твоим же словам.
Это я не холиварю, просто у тебя получились в твоих словах не состыковки. В принцепе трабла конечно большая: мне часто накуй не нужна более новая версия ПО т.к. есть грабли с софтом на нем, а хостеру надо дырки закрывать. Бред получается полный, но в жизни оно имеет место быть.
Горбушка
Ищу её...
- Регистрация
- 2 Май 2008
- Сообщения
- 3.444
- Реакции
- 2.524
lift, всё верно... Именно поэтому такой момент обговаривается в договоре...Когда обновляться и на каких условиях... Не обновился как указал в договоре - ты виноват. В договоре указана конкретная версия - извиняйте, Вы знали версию заранее...
chibit
Мой дом здесь!
- Регистрация
- 4 Дек 2007
- Сообщения
- 418
- Реакции
- 290
- Автор темы
- #18
Уязвимость исправили еще в мае. Думаю за столько времени уже весь интернет чекнули на эту багу.
Для просмотра ссылки Войди
Простите, а при каждом обновлении перезаключать договор? Афера - еще ладно.. Но по сути, мы не знаем, на какую версию мы перейдем при заключении договора. Напишем, написали 2.3.31 ... Потом смотрим, там ошибка критическая и у нас выход - или выполнить договор, или обновиться на опасную версию. Когда просматривал договора, в них ни одного пункта не было про ПО, которое стоит и какие последствия при взломе Вашего клиента. Добавим еще, что тот-же ISPmanager еще та штука, и при обновении можно только пальцем в небо тыкать. Тебе никто не покажет, что реально в ней исправили и в каком режиме добавили ту или иную функцию. Не будет же хостинг-провайдер рассказывать, что взлом произошел по вине ISPmanager, а не php, и что за данную оплошность мы не несем ответственности. Мое ИМХО, что адмистратору необходимо хотябы пару раз в неделю прогугливать весь софт, что у него стоит на наличие "багов" и предпринимать решения по обновлению или даунгрейду. Обычно, хостинги начинает ломать школото, которая увидела инструкцию, вот и надо успеть исправить это до них. Если на твоем хостинге вздумали взломать какой-то сайт нормальные хакеры, то они его взломают не путем перебора уязвимостей, а поиском или глобальных - самого сервера, или самого скрипта. Начали ломать сайты этим багом php спустя 8-мь лет.. Одиночки какие-то знали, о нем, втихую тырили CMS-ка.. И мы не могли узнать о этой опасности путем поска, спрашивания у товарищей, оффициального багтрекера, и все хостинги на протяжении всех этих 8-ми лет счтали, что стоит безопасная система у них. Когда появилася данная информация - сразу все забегали.. Итого
1) Или сам сиди и взламывай\Пытайся взламывать все приложения, что установленные на сервере
2) Или общайся в кругах таких лиц
3) Или спокойно сиди и жди, когда о баге появится хоть какая информация и быстренько думай, что с ней делать.
Горбушка
Ищу её...
- Регистрация
- 2 Май 2008
- Сообщения
- 3.444
- Реакции
- 2.524
QuZ, ещё раз... В договоре должно оговаривается либо версия, которая установлена, либо порядок их обновления...
Т.е. либо "У нас установлена PHP 5.3.14-squeeze1", либо "Мы обязауемя обновлять ПО до стабильных версий не реже 1 раза в неделю", либо "Мы обязуемся ставить последние версии пакетов не познее следующего дня после их выхода"...
Если этого нету - провайдер всегда спишет любую проблему на действия третих лиц, которые не оговорены в договоре... Увы, это 99,9% хостеров...
Т.е. либо "У нас установлена PHP 5.3.14-squeeze1", либо "Мы обязауемя обновлять ПО до стабильных версий не реже 1 раза в неделю", либо "Мы обязуемся ставить последние версии пакетов не познее следующего дня после их выхода"...
Если этого нету - провайдер всегда спишет любую проблему на действия третих лиц, которые не оговорены в договоре... Увы, это 99,9% хостеров...