Bye, Bye Php7.4, y ahora que va a pasar?, te lo explico

juanma386 · 13 Ene 2023

Bienvenidos a mi primer post en ForoBeta, quiero comentarles que muchos de ustedes que posean un website estarán actualmente ante un verdadero quebradero de cerebros debido a que php7 en todas las versiones no obtendrá soporte extendido, ahora queda mirar para delante y aceptar el presente, no es un dato menor, millones de sitios webs están en el horno debido a el fin de los parches de seguridad mantenido por el team de Rasmus Lerdorf.

Creo que no esta bueno quedar expuestos a una brecha de seguridad por no querer invertir en una actualización de versión a php8.2.

Enlaces referentes al asunto referido.

Es importante considerar que muchas veces no es posible de manera rápida actualizarlo, pero es algo que es importante considerar. Hasta aquí Bye, Bye Php7.4, migra es importante, pues llegó al final de su vida útil el 28 de noviembre de 2022

jacunamatata · 13 Ene 2023

Mi cerebro esta bien, no se quebró para nada. Aún tengo un par de clientes con scripts corriendo con PHP 5.6, no lo quieren actualizar, les gusta, les funciona, no tienen ningún problema de seguridad. Lo que quiero decir es que por supuesto siempre es recomendable tener las versiones más estables de cualquier tipo de software pero además depende del contexto, uso, funcionalidad, entre otros que tenga el sistema. Salu2

Hadrien Rivere · 13 Ene 2023

Bien agusto y despreocupado de no usar PHP. Suerte en la actualización.

jacunamatata · 13 Ene 2023

Hadrien Rivere dijo:
Bien agusto y despreocupado de no usar PHP

Cuál es el nombre de éste foro ? - PHP
De qué trata el título de éste post ? - PHP
Cuál es el aporte si no usas PHP ?
Hay un foro de JS más abajo.

Ricardogm · 13 Ene 2023

jacunamatata dijo:
Mi cerebro esta bien, no se quebró para nada. Aún tengo un par de clientes con scripts corriendo con PHP 5.6, no lo quieren actualizar, les gusta, les funciona, no tienen ningún problema de seguridad. Lo que quiero decir es que por supuesto siempre es recomendable tener las versiones más estables de cualquier tipo de software pero además depende del contexto, uso, funcionalidad, entre otros que tenga el sistema. Salu2

Difiero de esto, tienes huecos de seguridad en tus aplicaciones de php 5.6, si las públicas externamente no durarás ni un mes, más si eres una empresa reconocida mundialmente, lo mejor siempre actualizar y no tener aplicaciones legacy, algo que te puede ayudar es poner adelante un web application firewall.

Ricardogm · 13 Ene 2023

juanma386 dijo:
Bienvenidos a mi primer post en ForoBeta, quiero comentarles que muchos de ustedes que posean un website estarán actualmente ante un verdadero quebradero de cerebros debido a que php7 en todas las versiones no obtendrá soporte extendido, ahora queda mirar para delante y aceptar el presente, no es un dato menor, millones de sitios webs están en el horno debido a el fin de los parches de seguridad mantenido por el team de Rasmus Lerdorf.

Ver el archivo adjunto 932363

Creo que no esta bueno quedar expuestos a una brecha de seguridad por no querer invertir en una actualización de versión a php8.2.

Enlaces referentes al asunto referido.

Que Pasa Sino Actualizo La Versión Php74/80 A Una Superior?

Razones por las que debe actualizar las versiones de PHP

PHP 7.4 llegó al final de su vida útil el 28 de noviembre de 2022 - Wikipedia.

Es importante considerar que muchas veces no es posible de manera rápida actualizarlo, pero es algo que es importante considerar. Hasta aquí Bye, Bye Php7.4, migra es importante, pues llegó al final de su vida útil el 28 de noviembre de 2022

Yo tengo varias aplicaciones que hice con php 7.x y ya las he migrado a la 8.2, además tengo mi propio web application firewall que he venido desarrollando y me ayuda a fortalecer mi seguridad, hoy en día es mejor tener todo parchado y actualizado antes que llorar y ver tus datos que otro los esta vendiendo en la dark web.

jacunamatata · 13 Ene 2023

Ricardogm dijo:
Difiero de esto, tienes huecos de seguridad en tus aplicaciones de php 5.6, si las públicas externamente no durarás ni un mes, más si eres una empresa reconocida mundialmente, lo mejor siempre actualizar y no tenes aplicaciones legacy, algo que te puede ayudar es poner adelante un web application firewall.

Difieres con mis clientes, yo no tengo nada con versiones antiguas. Si mi empresa sería reconocida a nivel mundial seguro que no tendría clientes que no quieren actualizar, las recomendaciones y explicaciones fueron enviadas pero no puedo hacer más.

Ricardogm · 13 Ene 2023

jacunamatata dijo:
Difieres con mis clientes, yo no tengo nada con versiones antiguas. Si mi empresa sería reconocida a nivel mundial seguro que no tendría clientes que no quieren actualizar, las recomendaciones y explicaciones fueron enviadas pero no puedo hacer más.

Me gustaría encontrarme clientes como los tuyos, no he tenido suerte así, de hecho en mis contratos es una de las cláusulas si no se preocupan x actualizar, que no vengan a decir que fue un error mio de programación, en este mundo hay gente más inteligente que nosotros.

jacunamatata · 13 Ene 2023

Ricardogm dijo:
Me gustaría encontrarme clientes como los tuyos, no he tenido suerte así, de hecho en mis contratos es una de las cláusulas si no se preocupan x actualizar, que no vengan a decir que fue un error mio de programación, en este mundo hay gente más inteligente que nosotros.

En todas partes hay todo tipo de clientes, yo sólo tengo 2 de esos. Ah y los perros ladran y los gatos maúllan.

juanma386 · 14 Ene 2023

No todos comparten la misma visión de un usuario o el dueño de negocio en lo general.
Cada quien cuida como mejor le parece la seguridad de sus aplicaciones, ustedes se sentirían seguros en una web que no tenga actualizado su versión de php?.

Si sus clientes no actualizan es porque no tienen la capacidad de mostrarle la importancia que significa ello, pero un buen equipo de pentest podría hacer que cambien de opinión. Saludos.

elexonic · 14 Ene 2023

Aprenden más cuando les tumban o les hackean las webs y son "negocios serios".
Solo quedaría decirles: te lo dije

Ricardogm · 14 Ene 2023

juanma386 dijo:
No todos comparten la misma visión de un usuario o el dueño de negocio en lo general.
Cada quien cuida como mejor le parece la seguridad de sus aplicaciones, ustedes se sentirían seguros en una web que no tenga actualizado su versión de php?.

Si sus clientes no actualizan es porque no tienen la capacidad de mostrarle la importancia que significa ello, pero un buen equipo de pentest podría hacer que cambien de opinión. Saludos.

Muy cierto, hoy en día la gente todavía habla mal de php, que es inseguro etc,etc, pero no dicen que son aplicaciones legacy las hackeada, muchas de ellas en la versión 5.x, hoy x hoy php a avanzado mucho el que hable mal de ello es xq no lo conoce, siempre les doy a mis clientes opciones, te desarrollo lo que necesitas en la última versión de php, si deseas que la mantengamos actualizada, y le agregamos otra capa de seguridad que les mencione arriba en el post.

moiseseccam · 14 Ene 2023

Aprenderán a la mala si es que llega el caso de un hackeo en sus aplicaciones.

juanma386 · 14 Ene 2023

moiseseccam dijo:
Aprenderán a la mala si es que llega el caso de un hackeo en sus aplicaciones.

Hay mucho trabajo para los hackers, creo que es parte de la profesión, el deber de hacer saber a los idiotas que deben invertir antes que gasta la plata en joda.

Seria una buena idea mostrarles los motivos del porque es imperante actualizar, claro previo pago en cuatro dígitos de dolares

Carlos Frias · 15 Ene 2023

Ricardogm dijo:
Me gustaría encontrarme clientes como los tuyos, no he tenido suerte así, de hecho en mis contratos es una de las cláusulas si no se preocupan x actualizar, que no vengan a decir que fue un error mio de programación, en este mundo hay gente más inteligente que nosotros.

Lamento decir que tengo muchos y pues no tienen dinero/presupuesto para hacer el cambio, es decir, saben que están muy expuestos y a nivel de los servidores y de firewall se les ha hecho de todo para que no les vulneren, se verán obligados con el tiempo cuando sean hackeados como es de costumbre y ya no se puedan mantener estables con toda la seguridad del mundo que se le ponga.

juanma386 · 15 Ene 2023

Carlos Frias dijo:
Lamento decir que tengo muchos y pues no tienen dinero/presupuesto para hacer el cambio, es decir, saben que están muy expuestos y a nivel de los servidores y de firewall se les ha hecho de todo para que no les vulneren, se verán obligados con el tiempo cuando sean hackeados como es de costumbre y ya no se puedan mantener estables con toda la seguridad del mundo que se le ponga.

Yo tengo malos recuerdos, entre ellos una falla en un disco y comence a aplicar protocolos DRP para equiparar situaciones, eh perdido varios años de mi vida en trabajo y la verdad no recuperas el tiempo es vida.

banco_comunal · 15 Ene 2023

Aplica a los sitios wordpress?

XxMarkxX · 15 Ene 2023

Ricardogm dijo:
Difiero de esto, tienes huecos de seguridad en tus aplicaciones de php 5.6, si las públicas externamente no durarás ni un mes, más si eres una empresa reconocida mundialmente, lo mejor siempre actualizar y no tener aplicaciones legacy, algo que te puede ayudar es poner adelante un web application firewall.

Y yo difiero en tu comentario, no es bueno ser paranoico.

Quiero decir que en PHP5 tener un script con echo 'hola mundo'; NO ES VULNERABLE, hay muchos scripts que no realizan logica de negocios, solo realizan calculos simples, envio de formularios, etc, no importa que estén en PHP4, eso no significa que va ser juakeado, no sean paraonicos a menos que desconozcan de seguridad informatica

Ricardogm · 15 Ene 2023

XxMarkxX dijo:
Y yo difiero en tu comentario, no es bueno ser paranoico.

Quiero decir que en PHP5 tener un script con echo 'hola mundo'; NO ES VULNERABLE, hay muchos scripts que no realizan logica de negocios, solo realizan calculos simples, envio de formularios, etc, no importa que estén en PHP4, eso no significa que va ser juakeado, no sean paraonicos a menos que desconozcan de seguridad informatica

Hola, no quiero comenzar un debate, pero ya con 18 años de ser sysadmin/devops, y programando los últimos 6 años, si soy paranoico y mi trabajo me obliga a hacerlo xq he tenido varios hacking con clientes, más de 3 DDOS,el que menos tardó fueron dos días tumbados - máximo 3, en esos tiempos no existía cloudfare etc etc, así que te las tenias que ingeniar con script bash, los ips en los firewalles apenas estaban saliendo, así que porque no esforzarte a realizar buenas prácticas en tus desarrollos o infraestructura, y no estamos hablando de formularios, que le puedo hacer a un formulario más que robar el correo o hacer spam con el, así que no viene al caso tu comentario, lo primero para evitar un hacking mantener la plataforma actualizada sea interna o externa.

Comparto el siguiente link:

PHP PHP : Security vulnerabilities, CVEs

Security vulnerabilities of PHP PHP : List of vulnerabilities affecting any version of this product

www.cvedetails.com

Nota: pasale openvas a una plataforma desarrollada en php 5.x y 7.x, a ver si no te tira varias de esas, es una de las herramientas que uso después de hacer una aplicación.

juanma386 · 15 Ene 2023

no hablamos del código interpretado, hablamos de las inyecciones de código a un lenguaje vulnerable, sin importar si hay un archivo con hola mundo, donde hay un html, un sitio con php antiguo es mas que suficiente para crear un problema. Pero esto no lo entienden los todas las partes. Si comprendes ingresas al mundo del pentesting avanzado reconocerás el peligro de una ves y para siempre, aclaro que no todos usan el mismo sistema, no todos los sistemas son seguros, pero si cabe destacar que dado la ocación sugerir actualizar para acaparar una brecha de seguridad es importante. Aparte de todo lo anteriormente dicho hay mucho de que hablar del capa de sistemas.

También entender que no todos los problemas de seguridad son evidenciados en su periodo de cobertura, muchas veces los peores backdoors se presentan luego que nadie brinde asistencia para parchar.

Bye, Bye Php7.4, y ahora que va a pasar?, te lo explico

¿Como prefieres aprender a migrar?

Una buena lección a las malas

Prefiero pagar a que perder mis clientes

juanma386

jacunamatata

Hadrien Rivere

jacunamatata

Ricardogm

Ricardogm

jacunamatata

Ricardogm

jacunamatata

juanma386

elexonic

Ricardogm

moiseseccam

juanma386

Carlos Frias

juanma386

banco_comunal

XxMarkxX

Ricardogm

PHP PHP : Security vulnerabilities, CVEs

juanma386