Zastareli PHP kod naših provajdera?

[mp3police]

Uplatio sam hosting kod našeg provajdera (da ne imenujem) i nakon nekoliko dana sam odlučio da se rastanemo u miru ko Beatles-i, jer su totalna ladovina. Naravno, oni su mi rekli da imaju stotine zadovoljnih korisnika, pa shodno tome, problem je u meni. Odmah pređem kod našeg drugog (koji nije ladovina, odmah mi setovali šta treba da mogu da radim u Wordpress-u). Međutim, kada sam instalirao plugin Woocommerce izbaci mi upozorenje da mi je PHP i MySQL zastareo. Odem na sajt PHP-a i stvarno vidim da nema više podrške za tu verziju PHP-a. Ne budem lenj, pa se ulogujem kod starog provajdera (molio sam ih da to sve pogase, da neko ne hakuje i posle da se pravdam kako nisam ja, ali nisu me udostojili) u Wordpress, pokrenem isti plugin, kad tamo još starija verzija PHP-a, kome je podrška istekla polovinom 2015. godine. Znam da tih 10e za godišnji hosting nije neki novac, ali ima i u svetu za isti novac, pa mu to dođe tržište, te se pitam, da li ja umišljam da treba naši provajderi da imaju PHP za koji postoje zakrpe i podrška?

[mikikg]

Hehe, budi srecan da ne naletis na problem kao ja trenutno, strani provajder koji iskljucivo vozi PHP7, ne radi mi neka moja (matora) CRM amplikacija ... Odprilike bi trebao da napravim izmene u code-u na preko 5000 mesta da bi proradilo ...

Nema nista dok se ne uzme VPS ili Dedicated Server, ovi shared hosting provajderi su uglavnom problematicni sa raznim limitima i zaglupima koji poticu od Cpanel, Plesk i slicnih platformi ...

Hetzner je dobar i sa uslugom i sa cenom ... pa ovaj forum se tu vozi

[vsavic]

Slazem se sa Mikijem, ja presao kod ovih pre jedno godinu dana:
https://www.digitalocean.com

Za sad, nemam nikakve probleme, tako da bas zbog toga i zbog podrske koja im je fenomenalna preporucujem ih svima

[Ubledeli]

https://eev.ee/blog/2012/04/09/php-a-fra...ad-design/
vredi citanja svakako

[1van]

@mp3police

Zastareli PHP stoji tu iz vise razloga: OS distribucija jos uvek nema zvanicnu podrsku (faze testiranja paketa traju mnogo duze kod nekih Linuxa), Control Panel aplikacija nije azurirana (istekle licence kod manjih provajdera a kod vecih problemi sa integracijom sa drugim servisima), virtuelni hosting provajderi koji preprodaju usluge, ...
Postoji i gomila slucajeva gde provajderi nece da menjaju verzije zbog svojih custom security resenja.

Uglavnom vidim da koristis gotove PHP aplikacije i u tom slucaju najbolje je da uvek na osnovu zahteva aplikacije biras i hosting. Druga opcija je da uzmes dedicated hosting i podesavas i instaliras sve sam kako zelis (ali u tom slucaju moras da se bavis i administracijom servera sto sa sobom vuce puno odgovornosti).

Moja preporuka je da trazis hosting u EU koji obavezno ima 24x7 telefonsku podrsku.

[vsavic]

Moja preporuka je da trazis hosting u EU koji obavezno ima 24x7 telefonsku podrsku.

Ako nije toll free number jedan call i ode vise no mali cloud host za godinu dana

[1van]

Profesionalna usluga kosta

[mp3police]

Da ne odgovaram svakom po na osob, sažeću koliko mogu.
Tačno je, koristim PHP gotove aplikacije, shodno tome mora hosting da bude prilagođen aplikacijama. Iskreno nisam ni gledao zahteve za Woocommerce, tek sam posle otkrio Za sad radi OK, a da li će i kako će to je znak pitanja. Mene konkretno zanima bezbednost, odnosno, da li ovi administratori smatraju da su sigurni sa tim verzijama? Ja ne volim da policajišem, odnosno polazim od pretpostavke da onaj sa druge strane zna šta radi. Naravno, to je prosto nemoguće danas u Srbiji, odnosno ljudi traže preporuke, traže savete na forumima i slično, ali ipak mislim da treba da postoji neki minimum koji bi zadovoljio i taj Woocommerce u mom slučaju. Možda sam ja preveliki optimista. Najteže mi pada kad mi neko kaže, imamo xy zadovoljnih korisnika ili niko se nije žalio do sada. Pre jedno pet godina sam tražio sponzorstvo za roman (više iz radoznalosti, da vidim da li hoće neko da izdvoji novac na kulturu, a imao sam i interesantan model za reklamiranje, ne ono na prvoj ili poslednjoj strani ko je sponzor) i zaredio sam po nekom poslovnom imeniku. Nisam matematički tačno izračunao, ali negde grubo između 20-25% mejlova mi se vratilo sa porukom quota exceeded. Da sam slao onima što im na prezentaciji stoji u mejlu 'co.yu' bilo bi sigurno 30%. Hteo sam reći da taj zadovoljni korisnik angažuje nekog da mu napravi prezentaciju i tako mu stoji do smaka sveta, pri tome se uopšte ne pita, kako nije dobio mejl godinu dana. Tada sam naišao na jednog malog provajdera u Vojvodini kome su albanski hakeri na svim prezentacijama koje hostuju istakli albansku zastavu. Pisao sam im (reko možda ne znaju, desilo se skoro, pa da reaguju) i nikad mi nisu odgovorili, a zastava je na prezentacijama stajala sigurno naredna dva meseca.
Očigledno treba da stavim na papir šta mi treba i onda ako na sajtu ne piše sve, mejl, koji PHP imate...
Koliko mogu da vidim ovi Hetzner odlično voze, jer kod mene forum leti!
Digitalocean ima stvarno nizak ping, verovatno zahvaljujući Cloudflare koji je vezan na SOX.

[mikikg]

Prvu deceniju u IT-u sam proveo u firmi koja se izmedju ostalog bavila Hostingom, ja sam im odrzavao sve te servere i naloge.
Tada su Deicated Serveri bili skromnih perfomansi i relativno skupi, bili su skupi resursi i onda smo vozili po 80-100 domena/naloga na jednom serveru, taj jedan server je gurao i hosting, i e-mail i DNS i MySQL i FTP ...
U sustini je sve bilo OK dok smo vozili uskljucivo nas neki CMS sistem za korisnike, to je bilo pre pojave Wordpress, Joomla, ModX i ostalih slicnih aplikacija ... Jedno vreme smo imali i svoj custom Hosting Control Panel ... 

Problemi su poceli da nastaju kada smo poceli da iznajmljujemo "prazan" hosting gde su korisnici poceli da postavljaju Joomla, Wordpress i slicne framework-ove i posto to sve dolazi iz Open Source (za razliku od naseg CMS koji je bio closed-source) i svako moze da vidi izvorni code od aplikacije, tako su poceli i da nas hakuju, neke nebulozne opcije iz Joomla koji korisnici i neznaju cemu sluze, hakeri su to iskoristili i pravili nam raznih problema po serveru ...

Jedno vreme smo bili cak i zabranili da se koristi Joomla jer nismo mogli da postignemo da pokrpimo sve rupe koje su dolazile iz te aplikacije ... Ja krenem da krpim rupu globalno na nivou servera onda pocne nas CMS da nesto brljavi ... I tako smo stvarno bojkotovali instalaciju bilo cega sto nije bio nas CMS

Kasnije je to malo sve "sleglo", Joomla i Wordpress su postali relativno korektni/stabilni bar u osnovnim verzijama bez Pluginova ... Onda su poceli problemi sa tim Pluginovima ... i tako u krug ... ja licno nisam mogao vise da radim na administraciji servera, to je kolega poceo da radi, ja sam se bavio samo razvojem CMS-a ...

[mikikg]

PS: Da me ne shvatis pogresno, samo ti prenosim stvari iz dugogodisnjeh iskustva, za mene su "neozbiljne" aplikacije (webshop i slicno) koje nisu pisane na nekom od klot frejmworkova poput Symfony, CodeIgniter, Zend, Laravel, YII i slicne, to su ozbiljne platforme za razvoj WEB aplikacija i gde se strogo vodi racuna o sigurnosti code-a i gde sami autori tih frejmworkova daju korisne preporuke kako neke kriticne stvari resavati tj prakticno napisati u code-u. Cim se odstupi od tih preporuka i tu onda pocnu da iskacu problemi ...

[1van]

Mene konkretno zanima bezbednost, odnosno, da li ovi administratori smatraju da su sigurni sa tim verzijama?

Dobro pitanje i ima par odgovora:

1. Da, misle da su sigurni ili iz ne znanja ili zbog toga sto imaju neko drugo resenje za bezbednost (waf, av, ids, ips, ..., cak postoji i XML firewall). I to su obicno "velike" firme, koje imaju komplikovane procedure za deploy novih verzija i sl.

2. Ne, ne smatraju da su sigurni ali i gomila automobila nije sigurna pa se i dalje voze. I to su obicno "manje" firme, preprodavci, koje zele svima da izadju u susret (tako sto ce svima dati mogucnost da pokrenu bilo koju, busnu, ne testiranu skriptu).

Dalje, administratori nisu tu da se brinu za upade hakera, oni su tu da se pobrinu da posao "tece" (business continuity), da je sve zakrpljeno od kriticnih ranjivosti (update/upgrade), da su sve biblioteke na broju, da su resoursi adekvatno rasporedjeni (stress testing), itd ...
U danasnje vreme, za bezbednost, svaka firma mora da ima osobu ili tim koja se bavi samo analizom logova (i pracenjem security scene) a zatim i dizajnom resenja za svaki pronadjeni problem. A sto moramo priznati je tesko pronaci i obicno administratori rade po vise poslova.

Generalan savet je da ako hoces da se ozbiljno bavis ovim poslom predjes na ozbiljnija okruzenja i krenes sa edukacijom u oblasti bezbednosti web servera i web aplikacija.

I da se nadovezem na @mikikg, dao je par popularnih scenarija sa kojima smo se tada borili svakog dana i gde bi posle postavljanja mnogo prepreka za hakere uspeli i da ih odbijemo. Danas je to skoro nemoguce! Ako pogledate logove na vasim serverima, a imate popularne servise poput ssh, ftp, email, rdp videcete napade koji se verovatno desavaju cesce nego na dnevnom nivou. Roboti su svuda oko nas

[mp3police]

Ma kakvi pogrešno shvatanje, daleko od toga (to je uvek moguće, ali bar na ovom forumu niko ne postuje da drugog 'ubije u pojam')!! Lepo je što ste preneli znanja i savete. Ja nisam mislio uopšte da se bavim ovim, već da koristim na nivou korisnika, pa sam postavio pitanje sigurnosti (zaintrigiralo me). Kad pogledam ono što pišu sitnim slovima (retko ko i daje uslove) ispada da provajder ništa nije odgovoran, ali ti ne smeš da širiš nacionalnu mržnju i još trista stvari... uopšte nisam predvideo da pravim nešto sa korisničkim logovanjem, poput foruma i slično, a i za prodavnicu (minijaturnu) nisam zamislio opciju za kreiranje naloga, već bi bila samo kao instrument da lakše neko skocka varijacije (ubaci u korpu).
A, to poređenje automobila i sigurnosti - pa kud milion Woocommerce, tu i moja Opet na sajtu Wordpress-a ima objašnjenje, kako WP može da radi i na dosta nižim PHP verzijama, ali se preporučuju nove zbog sigurnosti.
Nisam mislio na totalnu sigurnost, već samo smanjenje verovatnoće nesigurnosti (kao i u celoj interakciji sa spoljnim svetom gde vreba neka opasnost).

[mikikg]

Vrlo je nezgodno pitanje sigurnosti, imas srece ako neces imati ove komercialne opcije jer recimo u NL (nisam siguran za ostatak EU) je donet zakon da ako ti "procuri" nesto od podataka sa tvojih servera ili servisa i pri tome nastane neka steta, svi koju su u tom informacionom sistemu ukljuceni, od hosting provajdera, preko menadzera do programera snose odgovornost! ... Hosting provajderi uzimaju osiguranja za takve situacije ...

[Alex]

Godinama sam na Godaddy, imaju svoje falinke ali ne mari.
Ne umem da nabrojim jedan domaći hosting a da je ok :S
Džaba što su 3 x jeftiniji, ne može i kraj.

[mikikg]

Sve ima svoju cenu, shared hosting je najjeftinija opcija od svih, ima daleko boljih i naravno skupljih opcija, zavisi sta se i kako radi, jedan i7 server moze da tera milion I/O zahteva ko od sale, ali gde je tu UP-link, gde je FW, rutiranje, ovo-ono, 300 cuda ima, pogledaj samo sta radi nama dragi Mirkosoft sa Azure, da vidis kako je to spakovano unutra, SVE sto pomislis od servisa ima kao opcija, od free Linux zezalica do Oracla sa izuvanjem od cifre za licencu koja se naplacuje na sekunde ... i to sve dostupno na klik, nema koga da zoves nista da ti "Mile ukljuci opciju" ... Mozes celu infrakstrukturu bilo da je 1 ili 1000 servera u pitanju, da izklikces i konfigurises kroz njihov panel ... i da biras verzije PHP-a, da rade paralelno, da menjas kako hoces, pa onda imas samo instance razne, oces PHP, oces NodeJS, oces Python, Java, pa onda storage ovakav-onakav ... ima da nabrajam do prekosutra

[mp3police]

Od 2001 do 2007 sam hostovao prezentaciju opet kod našeg provajdera Zakupio sam domen co.yu (preko neke firme) i to tako ostalo kod njih, jer bio čist html. Nekoliko godina nisam ni znao da postoje administratori (nikad problem), sve dok jednog dana nije osvanula prezentacija sa matorim sadržajem. Šta je bilo? Imali su neku havariju i najsvežiji back up koji su imali je od pre nekoliko meseci. Elem, nije to problem, nego je problem, što nisu poslali mejl klijentima da postave valjan sadržaj. Hteli su da poture kao kukavica jaje, mnogo ružan osećaj...
Ovo sam se nadovezao na Alex-ovu izjavu da nema kod nas provajdera koji valja.
(najpošteniji provajder mi je bio RCUB, tamo sam otvorio nalog '97 i imao ličnu prezentaciju na tesla.rcub... do pre neku godinu, dok nisu iznenada ugasili nalog, a i vreme je bilo )