PHP: старая песня о главном

Горбушка написал(а):
У Debian очень сильно отстают пакеты от последних, это немного рисковано. Ставить последние пакеты с оф сайта - тоже немного стрёмно...
Нажмите для раскрытия...
Для просмотра ссылки Войди или Зарегистрируйся для новых фич, а уязвимости вроде в debian-е исправляют и для старых версий. Или я не прав?
 
chibit, вот за ссылочку спасибо, будем юзаться. А что касаемо багов - да, их действительно фиксят, но, увы, не все. Исправляют, как правило, только самые критические уязвимости. Ну а остальные - ждите новые версии. Что и напрягает.
Впрочем, если бы фиксили и для старых версий - не было бы смысла в новых. Ведь у того же PHP в пределах ветки (5.3.х) нет новых функций, они появляются только в глобальных ветках (5.х).
 
Горбушка написал(а):
Не в теме - не в лезай... Я и есть хостер...
Нажмите для раскрытия...
хм, т.е если меня ломанут через кривой софт на сервере к которому я вообще никаким боком не отношусь мне скажут - чо? ничего не знаем, оно само сломалось. Так?
 
KillDead, при заключении договора оговаривается список предоставляемых пакетов, включая версии PHP и т.д. и Вы предупреждаетесь, что хостинг не несёт ответственности за возможные проблемы в этих софтинах, однако обязуется обновлять её по таким-то таким-то условиям...

Т.е. да, хостинг, как правило, за это ответственности нести не будет, т.к. не по их вине это случилось, а по вине разработчиков PHP. Другой момент, если уязвимость вызвана не верными настройками или не своевреенным обновлением ПО...
 
Горбушка написал(а):
Т.е. да, хостинг, как правило, за это ответственности нести не будет, т.к. не по их вине это случилось, а по вине разработчиков PHP. Другой момент, если уязвимость вызвана не верными настройками или не своевреенным обновлением ПО...
Нажмите для раскрытия...
Если на момент траблы у тебя будет на репозитории пакет с исправлением, то значит ты не своевременно обноил ПО и значит ответственность на тебе. Это судя по твоим же словам.

Это я не холиварю, просто у тебя получились в твоих словах не состыковки. В принцепе трабла конечно большая: мне часто накуй не нужна более новая версия ПО т.к. есть грабли с софтом на нем, а хостеру надо дырки закрывать. Бред получается полный, но в жизни оно имеет место быть.
 
lift, всё верно... Именно поэтому такой момент обговаривается в договоре...Когда обновляться и на каких условиях... Не обновился как указал в договоре - ты виноват. В договоре указана конкретная версия - извиняйте, Вы знали версию заранее...
 
Народ, покажите мне бажный сайт хоть один.
Чекнул около 200к сайтов, баги разные есть, но этой баги не увидел.
Сдается мне сама суть этой новости есть тупо нагнетание негатива.
 
lift написал(а):
Народ, покажите мне бажный сайт хоть один.
Чекнул около 200к сайтов, баги разные есть, но этой баги не увидел.
Сдается мне сама суть этой новости есть тупо нагнетание негатива.
Нажмите для раскрытия...
Уязвимость исправили еще в мае. Думаю за столько времени уже весь интернет чекнули на эту багу.
Для просмотра ссылки Войди или Зарегистрируйся
 
  • Нравится
Реакции: lift
Горбушка написал(а):
lift, всё верно... Именно поэтому такой момент обговаривается в договоре...Когда обновляться и на каких условиях... Не обновился как указал в договоре - ты виноват. В договоре указана конкретная версия - извиняйте, Вы знали версию заранее...
Нажмите для раскрытия...
Простите, а при каждом обновлении перезаключать договор? Афера - еще ладно.. Но по сути, мы не знаем, на какую версию мы перейдем при заключении договора. Напишем, написали 2.3.31 ... Потом смотрим, там ошибка критическая и у нас выход - или выполнить договор, или обновиться на опасную версию. Когда просматривал договора, в них ни одного пункта не было про ПО, которое стоит и какие последствия при взломе Вашего клиента. Добавим еще, что тот-же ISPmanager еще та штука, и при обновении можно только пальцем в небо тыкать. Тебе никто не покажет, что реально в ней исправили и в каком режиме добавили ту или иную функцию. Не будет же хостинг-провайдер рассказывать, что взлом произошел по вине ISPmanager, а не php, и что за данную оплошность мы не несем ответственности. Мое ИМХО, что адмистратору необходимо хотябы пару раз в неделю прогугливать весь софт, что у него стоит на наличие "багов" и предпринимать решения по обновлению или даунгрейду. Обычно, хостинги начинает ломать школото, которая увидела инструкцию, вот и надо успеть исправить это до них. Если на твоем хостинге вздумали взломать какой-то сайт нормальные хакеры, то они его взломают не путем перебора уязвимостей, а поиском или глобальных - самого сервера, или самого скрипта. Начали ломать сайты этим багом php спустя 8-мь лет.. Одиночки какие-то знали, о нем, втихую тырили CMS-ка.. И мы не могли узнать о этой опасности путем поска, спрашивания у товарищей, оффициального багтрекера, и все хостинги на протяжении всех этих 8-ми лет счтали, что стоит безопасная система у них. Когда появилася данная информация - сразу все забегали.. Итого
1) Или сам сиди и взламывай\Пытайся взламывать все приложения, что установленные на сервере
2) Или общайся в кругах таких лиц
3) Или спокойно сиди и жди, когда о баге появится хоть какая информация и быстренько думай, что с ней делать.
 
QuZ, ещё раз... В договоре должно оговаривается либо версия, которая установлена, либо порядок их обновления...
Т.е. либо "У нас установлена PHP 5.3.14-squeeze1", либо "Мы обязауемя обновлять ПО до стабильных версий не реже 1 раза в неделю", либо "Мы обязуемся ставить последние версии пакетов не познее следующего дня после их выхода"...
Если этого нету - провайдер всегда спишет любую проблему на действия третих лиц, которые не оговорены в договоре... Увы, это 99,9% хостеров...
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху