PHP 7.4 - end of support - Umfrage bei diversen Hostern zur Verfügbarkeit über Januar 2023 hinaus

  • Wir haben in dieser Woche mehrere Provider angeschrieben und nachgehakt, wie lange bei shared Webspace PHP 7.4 über Januar 2023 hinaus noch bereitgestellt wird.

    Die Anworten waren ernüchternd und geben wenig Grund zu Optimismus.

    Die pauschalen Aussagen, dass über das genannte Datum hinaus eine Bereitstellung erfolgt, können nicht unbedingt bestätigt werden, denn sollte es eine schwere Sicherheitslücke in der PHP 7x-Version geben und diese nicht geschlossen werden, haben uns alle Provider die zeitnahe Abschaltung bestätigt.

    Wie lange das Zeitfenster für diese "zeitnahe Abschaltung" sein soll, hat uns kein Provider mitgeteilt.

  • Hoster Strato:

    Der Support endet am 28.11.2022 für PHP 7.4.

    Dann bietet Strato den Extendend Support an.

    Bedeutet: Bereitstellung weiterer Securityfixes für PHP 7.4.

    Dieser Support ist bei Strato bis zum 31.01.2023 kostenlos.

    Wer bis dahin seine Seite bei Strato nicht auf mind. PHP 8 upgedatet hat,

    zahlt für den Extended Support monatlich 7,81€.

    Wie lange dieser Support angeboten wird, ist mir nicht bekannt, und sollte bei Strato direkt erfragt werden!

  • Das hängt einzig und alleine vom Provider ab, ob er die, auch für ältere Versionen verfügbaren Sicherheitsfixes einspielt und/oder, ob er sie in einer Umgebung laufen lässt, die eben bzgl. Sicherheit geeignet ist.

    Bei manchen, kleineren Providern verstehe ich, wenn sie nur wenige ältere Versionen anbieten bzw. sich irgendwann des Arbeitsaufwandes wegen, gezwungen sehen, diese dann doch zu schließen oder vielleicht ein Entgelt dafür verlangen.

    Ich kenne auch größere Provider, die nach wie vor sichere PHP5.6 am Start haben und patchen, wenn nötig. Und das ohne Aufgeld.

    Es gibt sie also und Pessimismus ist nicht angebracht. Ein Providerwechsel vom Abzocker zum vielleicht monatlich etwas (Betonung auf "etwas") teureren ist ja heutzutage kein Problem mehr.

    Viel gravierender finde ich halbwegs bekannte Provider, aber auch 2 kleinere, die man darauf hinweisen muss, dass da immer noch nix höheres als PHP7.3 verfügbar ist und dann erst die Antwort ist, dass man sämtliche Installationen selbst auf einen neuen Serverplatz umziehen muss, also Webspaces, Emaileinrichtung, Datenbanken, FTP-Zugänge neu, etc. pp. Natürlich gegen Aufpreis, der neue Serverplatz.

    Viel zu viele fallen derzeit auf dumpfe, irreführende Werbung rein, von Providern, die sich lieber das leisten als ihre Kunden halbwegs zivilisiert zu versorgen ;)

  • Bei meinem Provider könnte ich zur Zeit noch alle PHP-Versionen zwischen 5.2 und 8.1 auswählen. Alles im Tarif unter 10 EUR enthalten. Probleme oder gehackte Seiten gab es noch nie. Heisst nicht, dass man alte PHP-Versionen nutzen sollte, zumal manche Drittanbieter-Erweiterungen und auch Joomla Mindestanforderungen an die PHP-Version haben.

    Über das Support-Ende von PHP 7.4 mache ich mir überhaupt keine Gedanken.

  • Ich kenne auch größere Provider, die nach wie vor sichere PHP5.6 am Start haben und patchen, wenn nötig. Und das ohne Aufgeld.

    Nichts für ungut, aber ich wäre grundsätzlich skeptisch, wenn derart alte Versionen als sicher und gepatched angeboten werden. Ob gegen Geld oder nicht. Das wäre dann tatsächlich mal konkret zu prüfen.

    Grundsätzlich ist das auch nicht sonderlich schlau, denn damit holt man sich eine besondere Kunden-Clientel auf die Server - nämlich die, die nicht updaten wollen und altes unsicheres Zeugs betreiben. Schon klar, im Einzelfall kann es sein das man tatsächlich noch eine zeitlang von alten Scripten abhängig ist, aber das sind Ausnahmen. Meistens ist es doch so, das Webmaster schlicht und ergreifend eben nicht zeitnah updaten und sich im Laufe der Zeit bei Updates dann immer mehr Probleme ergeben und man es dann läßt. Dann freut man sich einen Hoster zu finden, der das auch noch unterstützt. Im Endeffekt leidet global die Sicherheit im Netz dann unter den gehackten Seiten und deren Auswirkungen, denn fast immer wird auf Basis unsicherer Website-Scripte gehackt.

    Wir überlegen auch immer sehr genau wie lange man alte PHP-Versionen anbietet. I.d.R. ja deutlich länger als der EOL-Termin. Sobald jedoch wirklich gefährliche Sicherheitslücken auftreten, ist man heutzutage doch sogar verpflichtet (Stichwort AV-Vertrag, Datenschutz, DSGO...) diese zu entfernen - und wenn nichts anderes geht, dann durch Entfernen betreffender Versionen.

  • Bei Zend und RHEL (RedHat Enterprise Linux) gibts verlängerten Support, RHEL will bis 2029 Security-Backports für nicht-triviale Lücken anbieten. Anbieter, die ihre PHP74-Pakete aus diesen Quellen beziehen, haben hier also mehr Optionen.


    Ich kenne aber auch Hoster, bei denen man auf eigene Gefahr ältere PHP-Versionen bis PHP5.6 bekommt, bei meinem ist das so.

  • Ich kenne aber auch Hoster, bei denen man auf eigene Gefahr ältere PHP-Versionen bis PHP5.6 bekommt, bei meinem ist das so.

    Ganz schlechte Idee und mit der DSGVO nicht vereinbar. Was steht denn im AV-Vertrag mit Deinem Hoster? Steht da drin das er unsichere Serversoftware bereitstellen darf? Würde mich wundern...

    Es ist ja nun nicht so das man das auf "eigene Gefahr" reduzieren kann. Ein gehacktes Web kann viel größere Auswirkungen haben, als nur auf den eigenen Hostingaccount begrenzt. Allein eine IP-Blockade aufgrund von Spamming/Phising (bei gehackten Accounts oft der Fall) ist schon Kunden-übergreifend.

    Ich möchte als Kunde auf keinem Server gehostet sein auf dem alle andere Kunden allein schon aufgrund veralteter Serversoftware offene Tore für Hacker bereitstellen. Es ist schon klar, das auch bei sicherer Serversoftware aufgrund der Kundenscripte gehackt werden kann, aber dann kann man den Kunden direkt in die Haftung/Verantwortung nehmen und es betrifft nicht gleich alle Kunden.

  • Welchen genauen Einwand bezüglich DSGVO und alter Software hast Du denn, ich würde da differenzieren.

    Der Hoster verarbeitet Daten ja im Auftrag, Owner der Daten ist immer noch der Auftraggeber und der entscheidet, welche PHP-Version er einstellt.

    Deswegen heisst es ja auch Datenverarbeitung im Auftrag.

    Das Ganze ist in Bezug auf verwundbare Software eher ein Informationsschutz-Thema, als ein Datenschutz-Thema, desweiteren kann man das auch in den Verträgen, in denen die Leistung beschrieben wird, vereinbaren, dass keine EOL-Software auf dem gesamten System benutzt wird, solche Klauseln schreibe ich schon mal in Ausschreibungen.

    Die von Dir ansonsten angesprochenen Themen sehe ich auch, ich mach das Ganze nun aber schon sein dem Fork von MOS zu Joomla! und das Spam-Problem hatten wir eher durch kompromittierte E-Mail-Zugangsdaten oder veraltete Joomla!-Extensions. Ansonsten kann man PHP Prozesse recht zuverlässig so betreiben, dass sie nur das können, was sie können sollen. Da finde ich Shared-Server, bei denen die Kundendaten in Ordnern wie /x/y/domainname liegen - und das darf der Webserver in der Regel sehen, deutlich prolematischer in Bezug auf die DSGVO.

    Ein guter Hoster hat außerdem eine Mailq-Überwachung, bei der er alarmiert wird, wenn zu viel Emails versendet werden.

  • Am einfachsten ist doch, seine Seite aktuell zu halten.

    J3 wird ja noch bis 08/23 supportet. PHP 7.4 läuft aus, aber manche Hoster haben ja Extended Support (Kostenpflichtig).

    Ich weiß, ich habe auch noch Seiten mit J3, die aber mit PHP 8 laufen.

    2 Seiten noch mit PHP 7.4 (Warp-Framework).

    Eine Seite ist fast fertig zum EOL 7.4.

    Die andere Seite läuft bei Strato. Also noch kostenlosen Support bis 02/23.

    Bis dahin ist sie auch fertig.

    Was ich damit sagen will:

    Kümmert euch um eure Seiten, macht zeinah das Update/Migration.

    Dann muss auch keiner veraltete PHP-Versionen nutzen.

    Ist aber hier nur nebenbei meine Meinung! ;):!:

  • Es gibt die Pflicht für Personen die Daten verarbeiten, dies mit einer Software zu machen, die dem Stand der Technik entspricht. Das ist mit PHP, welches keine Sicherheitsupdates mehr bekommt, nicht mehr der Fall.

    Kann ich dazu mal entsprechende Nachweise, Gesetzestexte oder Urteile sehen? Angenommen eine mit PHP basierte Webseite würde gar keine personenbezogenen Daten verarbeiten, weil es z.B kein Kontaktformular gibt, und lediglich der Webserver, der den PHP ja vorgeschaltet ist, wird die IP-Adresse im Speicher verarbeiten, um das Datenpaket zurückzusenden, wie wäre denn dann dein Argumentationsansatz?

  • Kann ich dazu mal entsprechende Nachweise, Gesetzestexte oder Urteile sehen? Angenommen eine mit PHP basierte Webseite würde gar keine personenbezogenen Daten verarbeiten, weil es z.B kein Kontaktformular gibt, und lediglich der Webserver, der den PHP ja vorgeschaltet ist, wird die IP-Adresse im Speicher verarbeiten, um das Datenpaket zurückzusenden, wie wäre denn dann dein Argumentationsansatz?

    Wir sind ein Forum für Hilfe und Selbsthilfe.

    Rechtsberatung können wir leider nicht leisten.

  • @OngaBongaFritz Ich werde dir keine Vorschriften, Urteile u.ä. nennen.

    Wenn es auf deiner Webseite einen Hack gibt und dir Nutzer nachweisen sich auf deiner Seite dadurch Schadsoftware eingefangen zu haben und das ganze darauf beruht, das du veraltete Software einsetzt, wirst du wahrscheinlich Schadenserstpflichtig.

    Aber weg vom Rechtlichen ist deine Vorstellung, dass es nicht schlimm ist, wenn man veraltete Software betreibt und damit andere gefährdet, für mich nicht tragbar und absolut verantwortungslos.

  • @OngaBongaFritz: Ich bitte dich in dem von mir eröffneten Thema bei der Sache zu bleiben.

    Hier geht es um Hoster und die dortige Verfügbarkeit von PHP 7 nach End of Support.

    Du kannst hier gerne dir vorliegende Informationen von deinem oder weiteren Providern einbringen aber nicht mit rechtlichen Themen verknüpfen, die klar geregelt und definiert sind.

    Falls du Gesetzeslücken oder Spielräume suchst, kannst du diese auch googeln oder in anderen Foren aktiv werden.

    Vielen Dank für dein Verständnis.

  • Schon seltsam, dass ich hier kritisiert werde, alle anderen ähnlichen Beiträge werden aber ignoriert.

    Kann ich bei dir hier beantragen, dass mein Account wieder gelöscht wird? Falls ja, dann tue ich dies hiermit.