LukeWCS hat geschrieben: 05.12.2024 15:06
Mir gefallen alte php-Versionen ( < 8.2.x) nicht.
Damit kann ich gar nichts anfangen. Hast du auch konkrete Gründe?
Das ist schnell erklärt:
[ externes Bild ]
Quelle:
https://endoflife.date/php
Es gibt noch (gar nicht wenige) Webseitenbetreiber welche noch mit php 5.x arbeiten >
absolut Verantwortungslos!
Sehr viele verwenden 7.x > zwar besser als 5.x .. aber die
Sicherheitslücken dort sind auch nicht ohne.
Warum ist es nicht gut alte php-Verionen zu verwenden?
Alleine schon wegen der Sicherheit, so wurde die
Unterstützung zur Sicherheit wie folgt eingestellt:
5.4 14.9.2015
5.5 21.7.2016
5.6 31.12.2018
7.0 10.1.2019
7.1 1.12.2019
7.2 20.11.2020
7.3 6.12 2021
7.4 29.11.2022
8.0 26.11.2023
Heißt, daß wenn Sicherheitsprobleme auftauchen (siehe z.B. die Sache mit OpenSSL vor kurzem) es keine Abhilfe dazu gibt/geben wird!
8.1 ended per 21.12.2025
8.2 ended per 31.12.2026
8.3 ended per 21.12.2027
Aktive Unterstützung (neue Versionen, Patches):
8.0 endete am 26.11.2022
8.1 endete am 25.11.2023
8.2 endet in 3 Wochen > 21.12.2024 !!!!
8.3 endet am 31.12.2025 (Sicherheit siehe oben)
Was heißt das jetzt im einzelnen?
Jeder (!!) der Webseiten veröffentlicht - egal ob simple "persönliche" Seite, Firmenseit, Forum, Webshop muß sich im klaren sein, das das letztendlich heißt.
Jeder dieser Betreiber hat mit Besuchern zu tun - die Einen mehr, die Anderen weniger.
Aber egal wieviele Besucher man hat, die Sicherheit betrifft jeden Einzelnen!
Seit den Zeiten als man begann Systeme wie CMS für "Jedermann" und "Jederfrau" zu erstellen, WordPress, Joomla, usw., fühlen sich viele bemüßigt sich als "Webmaster" zu betätigen.
Viele haben nicht das Wissen, da ja der Provider/ Hoster selbst schon oftmalsWerkzeuge zur Verfügung (1-Click Installer) stellt wo man mit einen Klick Webseiten erstellen kann.
Klar ist ja auch sehr verlockend nichts bezahlen zu müßen der etwas davon versteht.
Daß aber damit auch Pflichten verbunden sind, an das denken die Wenigsten.
Spätestens dann aber, wenn die erste Abmahnung wegen eine fehlenden oder falschen Impressums ins "Haus flattert" fangen sie zum Jammern an - und wenden sich dann doch - hoffentlich - an den Profi.
Was aber hat das alles mit Sicherheit zu tun?
All diese Webseitenbetreiber wissen gar nicht, daß sie auch für Sicherheit zuständig sind.
Sicherheit des Servers.
Sicherheit der eingesetzten Software (Forum, Blog, CMS, Webshop, usw.)
Und >> Sicherheit der Besucher / Kunden.
1 Beispiel (aus der täglichen Praxis).
Besucher kommt in unser Forum und schreibt, daß etwas "eigenartiges" auf seiner Webseite passiert.
Nach etlichem Hin und Her (leider da niemand mehr lesen kann und sich die Forenregeln vorher ansieht), werden Details geschrieben.
Und es wird dann klar, dass dieser Webseitenbetreiber folgendes hat:
1. Apache 1.x
2. php-Version 5.x
3. Erweiterungen (z.B. Vorlage) nicht erworben auf offiziellen seiten, sondern "günstig" (sprich umsonst) auf osbtrusen Webseiten.
4. Neben unserer Software auf noch WordPress im selben Serverkonto betreibt
4.1 WP aber schon seit Monaten nicht mehr aktualisiert hat - ja wie denn, denn Sicherheit geht ihn/sie ja nix an
5. Er/Sie irgendwelchen Developern (am besten sind die welche nur per GMailadresse erreichbar sind) volle Zugänge zum gesamten System (oder am besten gleich den gesamten Server) erteilt haben
1. & 2. ist oft mühsam zu erfragen, denn diese Leute haben keine Ahnung was machen.
3. > man wollte ja nur geld sparen da das eigene Budget so gering ist
4. WP benötigt man heutzutage - hat doch schon jeder .. oder
4.1 wieso Updates - dachte das erledigt sich von selber ..
5. naja, der hat aber so lieb geschrieben .. und war sooo günstig mit 5,- Euro die Stunde (wir wissen wo die herkommen) .. und überhaupt, ich habe keine Ahnung was ich am Server machen soll/kann/muß
6. am liebsten sind mir die Leute, die gleich einen vollen Rootserver bei Hetzner bestellt habe, aber vom "Tuten & Blasen" keine Ahnung haben!
Und was hat das jetzt alles mit php zu tun?
Sehr viel!
Denn aktuelle Software richtet sich nach den vorhandenen Möglichkeiten.
So haben wir alle unsere Scripte schon auf php 8.3.x ausgerichtet, denn dessen Unterstützung endet in knapp 1 jahr.
Die Sicherheitaktualisierungen dann mit Dezember 2027.
Heute haben wir den 5. Dezember 2024.
Klingt nach viel Zeit (heute bis 12.2027) .. oder?
Dann haben die Leute aber keine Ahng was es heißt Millionen von Codezeilen zu verwalten.
Abgesehen von neuen Technologien, Möglichkeiten, Werkzeugen usw. welche vorher mal ausgiebigst getestet werden müßen um dann zu sehen ob sie sinnvoll einsetzbar sind.
Zudem ändern sich laufend die Anforderungen, Browserhersteller kochen nach wie vor ihre eigene "Suppe" (versucht damit eigene Routinen und Bibliotheken unters Volk zu bringen) - auf Standards wird "gepfiffen".
Oder man verwendet gleich Eines für Alles (siehe Basis einiger Browserhersteller).
Aja Sicherheit ..
Nach wie extrem wichtig - wenn nicht sogar das Wichtigste überhaupt.
Beispiel oben mit WordPress.
Webseitenbetreiber "betreibt" sein Tagebuch (das nebenbei eh keiner lesen möchte) mit Wordpress.
Installiert wurde vor etlichen Monaten.
Die Vorlage hat er günstig "gefunden".
Aber jetzt möchte er/sie das große Geld machen, und installiert sich darin WooCommerce .. weil's ja so einfach geht ..
Und das Geschäft brummt, er/sie kommt mit den Anfragen nicht mehr nach.
Ah - gute Idee: wir installieren ein Forum, dann können sich die Leute gleich untereinander "austauschen" ..
Gesagt, getan - is ja so einfach ..
Uiii .. aber plötzlich brechen die Umsätze weg, ja noch mehr, da verwenden doch glatt so Unbekannte seinen so gut gemachten Webshop mit dessen unnützen Artikeln aus China für jeweils viel Euro und bezahlen nur mehr ein paar Cent dafür!
Sapperlot aber auch .. was'n da jetzt passiert?
Ja das fragt sich das arme Würschtel auch, weiß aber nicht was er/sie tun soll ..
Ich würd' jetzt sagen: Pech gehabt, sowiel Dummheit auf einmal gehört betraft.
Wer jetzt bisher gelesen hat, wird auch jetzt wissen was da alles nicht passt bzw. schief gelaufen ist - oder?
Die Story geht aber noch weiter .. wer das wissen will, einfach sagen (denke für Heut' ist's genug .. oder?).
Nachsatz: traurig ist es auch, daß es nach wie vor Serveranbieter (auch in Deutschland) gibt, welche php 5.x anbieten.
Nachsatz 2: wir (ich) haben selber weder mit WP noch mit WooCommerce was zu tun.
Bei phpBB gibts ja nicht nur die grossen Boards mit extrem vielen Benutzern, Themen und Beiträgen, sondern auch sehr viele kleinere Hobby Boards wo alles mehrere Nummern kleiner gehandhabt wird. 
![[ externes Bild ]](https://i.ibb.co/yVSTcYq/PHP-endoflife-date-20241205.png){kind=link}