PDA

Bekijk Volledige Versie : Gezocht host voor website (moet voorzien zijn van php 5.2)



montero
12/08/13, 17:11
Ik zoek een host voor een website van een klant.
Deze moet draaien op PHP 5.2, en we moeten de mogelijkheid hebben om de virtual host settings te beheren/managen?
Het gaat om documentRoot en somige aliases.

Ik zoek niet naar een eigen VPS, maar slechts een plek om 1 site te plaatsen.

Groeten,
Roy

Mark17
12/08/13, 18:18
Kunt u aangeven waarom deze (verouderde) PHP versie vereist is? Tot nu toe hebben we nog niet 1 site gevonden die niet met minder dan 30 minuten werk ook kan draaien op PHP 5.4 (als de site wel werkte op 5.2). Als service bieden we dan ook vaak aan om deze aanpassingen uit te voeren.

SebastiaanStok
12/08/13, 21:24
PHP 5.2 is end of life (al sinds 6 januari 2011), er worden ook geen beveiligingsupdates meer uitgegeven.
Het gebruik van deze versie van is dus een enorm veiligheidsrisico, zelfs met Firewalls, mod_security en al is dit geen volledige bescherming.

PHP 5.2 en PHP 5.3 verschillen niet al teveel van elkaar, dus misschien is dit een optie?
http://nl1.php.net/manual/en/migration53.incompatible.php

PHP 5.3 is ook end of life, maar ontvangt nog veiligheidsupdates dus is dit een mooie tussen sprong.

De enigste reden waarom je niet zou kunnen upgraden is Zend Encoder,
alles voor PHP5.3 is niet langer compatible met nieuwe versies en moet opnieuw gecodeerd worden.

t.bloo
12/08/13, 23:17
Vind het niet heel gek, heb wel meer klanten die graag nog een jaartje op oude software blijven zitten. Uiteindelijk moet iedereen over, maar soms komt het moment gewoon niet uit. Sommige software kan best complex zijn (denk dan aan iets anders dan websites) en zonder actieve ontwikkelaar nog in gebruik zijn.

SF-Jeroen
13/08/13, 00:07
Vind het niet heel gek, heb wel meer klanten die graag nog een jaartje op oude software blijven zitten. Uiteindelijk moet iedereen over, maar soms komt het moment gewoon niet uit. Sommige software kan best complex zijn (denk dan aan iets anders dan websites) en zonder actieve ontwikkelaar nog in gebruik zijn.

Natuurlijk, maar PHP 5.2 is al 949 dagen EOL. Het is qua veiligheid gewoon niet meer verantwoord om te blijven werken met 5.2. Als hoster zou je dat ook niet moeten willen ivm lekke websites waarvandaan spam wordt verstuurd, ddos aanvallen worden gedaan, malware verspreid, enzovoort.

SHQ
13/08/13, 08:36
Als hoster heb je een verantwoording om een veilige omgeving te bieden, 5.2 is simpelweg niet veilig.
Als het echt niet anders kan adviseren wij altijd een vps. Op een shared omgeving wordt dit lastige(re) taak en mocht een partij het toch aanbieden zou ik me vragen stellen bij de veiligheid van de servers.

t.bloo
13/08/13, 10:31
5.2 is simpelweg niet veilig.
Waarom is PHP 5.2 simpelweg niet veilig? Wat is er intrinsiek volkomen lek aan PHP 5.2?

NederHost
13/08/13, 10:51
Waarom is PHP 5.2 simpelweg niet veilig? Wat is er intrinsiek volkomen lek aan PHP 5.2?

Een heel aantal dingen, maar de belangrijkste niet gefixte kwetsbaarheden in PHP 5.2 zijn waarschijnlijk CVE-2012-0830 (mogelijk 'remote arbitrary code execution') en daar min of meer aan gekoppeld CVE-2011-4885 (crash, eventueel wel te voorkomen met de juiste Apache config). De laatste security patches dateren van december 2010, dus PHP 5.2 draaien is ongeveer net zo veilig als je systemen een kleine drie jaar niet updaten.

Als je veel moeite doet om PHP 5.2 draaiende te houden door de betreffende patches zelf te backporten dan is PHP 5.2 natuurlijk prima veilig te maken, maar je software aanpassen lijkt me in de meeste gevallen eenvoudiger.

SebastiaanStok
13/08/13, 10:56
Waarom is PHP 5.2 simpelweg niet veilig? Wat is er intrinsiek volkomen lek aan PHP 5.2?

Het feit dat er geen security updates meer voor verschijnen, en groot deel van de inmiddels opgeloste lekken nog steeds aanwezig zijn in de oudere versies.
http://www.cvedetails.com/vulnerability-list/vendor_id-74/product_id-128/version_id-106044/PHP-PHP-5.2.17.html

Het gebruik van niet langer ondersteunde software is op zich zelf al een veiligheidsrisico.
En het is maar net de vraag of je dit risico wilt nemen, in combinatie met Apache en een module als mod_ruid2 (geen verwijt) loop je al snel het risico dat door een lek in PHP Apache de instructie kan krijgen om naar een andere gebruiker over te gaan via mod_ruid2, resultaat is dat op deze manier de hele server kan worden gehackt. En de gevolge daarvan zijn alom bekend.

montero
13/08/13, 11:36
Hi,

Probleem is dat de site nog gebouwd is in een bepaalde Symfony versie, die draait op PHP 5.2.
Als het op een server moet worden geplaatst, dan moeten we de site ook omzetten naar een nieuwere versie van Symfony.
Daar hebben we momenteel niet de capaciteit voor om dat om te zetten, terwijl de site wel a.s.a.p. naar een andere host moet.

Groeten,
Roy

vDong
13/08/13, 11:45
Een heel aantal dingen, maar de belangrijkste niet gefixte kwetsbaarheden in PHP 5.2 zijn waarschijnlijk CVE-2012-0830 (mogelijk 'remote arbitrary code execution') en daar min of meer aan gekoppeld CVE-2011-4885 (crash, eventueel wel te voorkomen met de juiste Apache config). De laatste security patches dateren van december 2010, dus PHP 5.2 draaien is ongeveer net zo veilig als je systemen een kleine drie jaar niet updaten.
Dat valt wel mee, er wordt nog steeds door een grote groep mensen patches gebackport voor 5.2 (de laatste is van 17 juli 2013)


Als je veel moeite doet om PHP 5.2 draaiende te houden door de betreffende patches zelf te backporten dan is PHP 5.2 natuurlijk prima veilig te maken, maar je software aanpassen lijkt me in de meeste gevallen eenvoudiger.

Dat is een kwestie van 2 efforts vergelijken en de kosten te bekijken. Wellicht is de software aanpassen duurder of duurt het te lang.

vDong
13/08/13, 11:48
Ik zoek een host voor een website van een klant.
Deze moet draaien op PHP 5.2, en we moeten de mogelijkheid hebben om de virtual host settings te beheren/managen?
Het gaat om documentRoot en somige aliases.

In dit onderdeel van het forum mag niemand aanbiedingen doen. Echter voordat je een aanvraag doet in het forum dat daar voor bedoeld is zou ik de wensen qua settings beheren duidelijk maken.
Het is erg onwaarschijnlijk dat de hosts die php 5.2 aanbieden dat doen met controlpanels.

Mark17
13/08/13, 21:41
In dit onderdeel van het forum mag niemand aanbiedingen doen. Echter voordat je een aanvraag doet in het forum dat daar voor bedoeld is zou ik de wensen qua settings beheren duidelijk maken.
Het is erg onwaarschijnlijk dat de hosts die php 5.2 aanbieden dat doen met controlpanels.

Voor een klant (een hostingbedrijf) heb ik vandaag nog een VPS met PHP4 en mod_frontpage opgeleverd. Daarnaast gisteren nog een server met PHP 5.2 opgeleverd. Ik weet zeker dat als de TS een aanvraag in het juiste forum onderdeel doet er nog hosters zijn die aan de wensen kunnen voldoen incl. controlpanel (bv DirectAdmin) als alle overige wensen ook duidelijk aangegeven worden.

Zelf draaien we overigens PHP 5.4 met apache 2.4 voor shared hosting. De ervaring die we tot nu toe hebben is dat we alles (ook Symfony) hier over het algemeen simpel op kunnen laten draaien.

SebastiaanStok
14/08/13, 10:23
TS heeft het over een oude versie van Symfony :) dus waarschijnlijk 1.4.
De nieuwste versie 2.x werkt alleen op PHP 5.3 en hoger, dus is PHP 5.2 erg onwaarschijnlijk.

Oude versies van Symfony werken inderdaad niet altijd op de nieuwste PHP versie,
zo is mij bekend dat de Inflector component niet compatible is met PHP 5.5 omdat de 'e' flag (eval) voor preg_replace() is verwijderd/deprecated.

Tussen Symfony 1.4 en 2.x zit een wereld van verschil dus overstappen is dan inderdaad geen makkelijke optie.

litmarketing
15/08/13, 14:14
<knip>
Niet meer doen aub.

uwhosting
17/08/13, 00:17
Er zijn vast aanbieders met oudere shared servers waar je prima je website naartoe kunt migreren. Dus even naar in het juiste deel een topic openen en het komt vast in orde.

Hostinger
19/08/13, 18:19
Er zijn tegenwoordig ook veel hosters die je de keuze geven tussen verschillende PHP versies, waarbij je de versie op elk moment kunt veranderen. Meestal zijn PHP 5.2, 5.3 en 5.4 de opties. <knip>