wbb 4.1.x mit PHP 7.4

  • Hallo

    Wenn ich ein 4.1.x auf einen Server mit PHP 7.4 und 10.3 MariaDB kopiere, mit welchen Problemen muss ich dann rechnen?

    LG Patrick Popelka

    • Official Post

    Hallo,


    Burning Board 4.1 ist maximal mit PHP 7.2 kompatibel. Die Software ist viel zu alt und bekommt auch keine Sicherheitsupdates mehr, der Einsatz solcher Versionen ist bestenfalls fahrlässig.

  • Mit Fehlermeldungen

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

    • Official Post

    Immer wieder schön zu sehen, wie Woltlab seiner eigenen Software traut ...

    Das ist eine sehr unglückliche Sicht darauf und geht leider am Kern meiner Aussage vorbei. Alte Software einzusetzen ist und bleibt ein Risiko und es ist wichtig, ein Problembewusstsein dafür aufzubauen, um so etwas korrekt bewerten zu können.


    Eine derartig alte Version einzusetzen hat mehrere Probleme:

    • Man hängt zwangsweise auf alten PHP und MySQL-/MariaDB-Versionen fest.
    • Verwendete Drittbibliotheken (z. B. jQuery) können Fehler enthalten.
    • Die Software selbst kann bislang unbekannte Fehler enthalten.

    Das fiese an all diesen drei Vektoren ist, dass sich niemand dafür interessiert. Wenn Sicherheitsprobleme auftreten, gibt es i.d.R. keine Updates und du hast Glück, wenn sich überhaupt jemand die Mühe macht nachzuschauen, ob Problem XY auch in älteren Versionen der Fall ist.


    Dies erzeugt eine Scheinsicherheit, weil es ja keine "bekannten Sicherheitsprobleme" gibt, aber das kann auch einfach nur die Folge davon sein, dass sich niemand um diese alten Versionen scherrt.


    Und ja, es wird sich kaum einer die Mühe machen, penibel zu versuchen eine alte Software-Version anzugreifen. Das Hauptproblem entsteht durch automatisierte Software, die riesige Listen an Sicherheitslücken enthält und auf Knopfdruck ein Inferno loslassen kann. Es gibt sogar Bots, die einfach marodierend durchs Internet ziehen und feststellen: "PHP 7.2.irgendwas? Klasse, dafür habe ich was auf Lager" und dir dann einen dicken Böller in deine Installation werfen. Einfach so, weil sie es können.


    Bei unseren gepflegten Versionen überwachen wir aktiv alle Drittbibliotheken, um bei auftretenden Problemen zeitnah handeln zu können. Damit lässt sich das Risiko nicht eliminieren, aber zu mindestens bestmöglich minimieren.

  • Ich habe ja selbst bis Ende 2020 WBB 3.1.8 eingesetzt und die ganzen Jahre ganz einfach Glück gehabt, dass nichts passiert ist.


    Doch schließlich habe ich analog den zuvor genannten Anmerkungen von Alexander Ebert bemerkt, dass die Software insbesondere hinsichtlich PHP total veraltet ist und es selbst bei meinem sehr kulanten Webhoster nur noch eine Frage der Zeit ist, bis er PHP 5.6.x endgültig abschaltet.


    Zum Glück konnte ich mich dann letztendlich dazu entschließen das Upgrade auf die WoltLab Suite 5.3.x zu wagen und bin seitdem wesentlich beruhigter, was die Sicherheit anbelangt. Zudem überwiegen für mich die Vorteile der aktuellen Software, auch wenn es etliche Funktionen gibt, die ich nicht aktiviert habe.

    Gruß Markus


    WoltLab Suite 5.4.23

  • Das WBB 3.1 ist mit sehr wenigen Anpassungen übrigens voll kompatibel mit PHP 7.4.18. Also zumindest das ist kein Argument.

  • Doch, denn schließlich geht es hier um die von WoltLab zur Verfügung gestellte Software!

    Gruß Markus


    WoltLab Suite 5.4.23

  • King555 für die Sicherheit der Daten,auf deinem System,vor allem die deiner User, bist Du verantwortlich in vollem Umfang. Genauso um die Umsetzung gesetzlicher Bestimmungen, wie denen der Dsgvo. Dazu gibt Woltlab jedem Betreiber eine Software an die Hand, mit der das alles sehr gut und sicher umsetzbar ist.

    Warum sollte sich ein Softwarehersteller mit vollkommen veralteten System beschäftigen? Nur weil ein paar Sparfüchse an der falschen Ecke sparen wollen?


    Microsoft traut übrigens auch seinen früheren Betriebssystemen nicht, wenn Du es sehen willst. 8o^^:D

  • Eine Software, die keine Sicherheitsupdates mehr erhält, entspricht nicht mehr dem Stand der Technik und ist damit nicht DSVO konform. 4.1 konnte man ansonsten schon DSGVO konform betreiben, dank SoftCreatR und würde es sicher auch heute noch können.

    Liebe Grüße
    Susi

  • Eine Software, die keine Sicherheitsupdates mehr erhält, entspricht nicht mehr dem Stand der Technik und ist damit nicht DSVO konform.

    In diesem Punkt verstehe ich den von dir als Grundsatz ausgesprochenen Zusammenhang mit der DSGVO nicht?


    Der Umstand, dass eine veraltete Software keine Sicherheitsupdates mehr erhält, bedeutet doch nicht zwangsläufig, dass sie nicht mehr DSGVO konform ist.

    Gruß Markus


    WoltLab Suite 5.4.23

  • Zusammenhang mit der DSGVO

    Du bist nach der DSGVO gesetzlich dazu verpflichtet eine Software einzusetzen, die dem "Stand der Technik" entspricht, um die Sicherheit der Daten zu gewährleisten.

  • Doch, das denke ich schon, weil du eine Software nach dem Stand der Technik einsetzen musst und als solche keine Software angesehen wird, die nicht mehr gewartet wird. Man kanns natürlich drauf ankommen lassen oder seine Datenschutzbehörde fragen oder auch seinen Anwalt. Letzteres könnte aber teurer sein als ein Upgrade für 50 Euro zu kaufen.

    Liebe Grüße
    Susi

  • Es hat ja schon seinen Sinn, aktuelle Software zu betreiben :)

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

  • Welch ein Wahnsinn. Datenschutz um jeden Preis wird also höher gewichtet als Gesundheit oder gar Leben von Menschen.


    Quote

    Anschnallpflicht in Oldtimern

    Oldtimer, die vor dem 01.04.1970 erstmals zugelassen sind, müssen nicht mit Sicherheitsgurten ausgestattet sein (Übergangsvorschriften zu § 35a StVZO).


    Somit besteht auch keine Anschnallpflicht, da nach § 21a StVO nur vorgeschriebene Sicherheitsgurte angelegt sein müssen.





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

  • Wo ist der Bezug zu deinem Zitat, norse?


    Ich denke zudem, dass „Stand der Technik“ nicht die Software per se beschreibt, sondern wie die Daten geschützt und verarbeitet werden. Andernfalls würde da beispielsweise WordPress komplett durchfallen. Zwar wird die Software gepflegt (was mit dem Stand der Technik erst einmal nichts zu tun hat), allerdings sind große Teile des Quellcodes sehr alt und entsprechen nicht dem heutigen Stand der Technik. Da ist selbst Burning Board 3 bzw. Community Framework 1 technisch auf einem besseren Stand.


    Ergo denke ich, dass manche hier zu viel in diesen Teil des Gesetzes interpretieren.

  • Die Ansprüche an den Datenschutz entwickeln sich ja immer weiter und damit muss natürlich die Sorftware Schritt halten . Uns sind jetzt bei einen Großen Lebensmittelgeschäft persönliche Daten geklaut worden, die man jetzt im Darknet kaufen kann. Zum Glück ohne Kontodaten weswegen ich solchen Paysystemen unterdessen misstraue. Je nach dem was für Daten in einem Forum gepeichert werden kann das schon brisant sein. :(

  • Ergo denke ich, dass manche hier zu viel in diesen Teil des Gesetzes interpretieren.

    Na ja, möchtest du, dass im Fall des Falles ein Gericht das klärt? Eine Software, die nicht mehr gewartet wird und wo auch die Basissoftware nicht mehr gewartet wird, entspricht nicht dem Stand der Technik. Wenn man sie selber regelmäßig an diesen anpasst und man Sicherheitslöcher schließen kann, mag das vielleicht anders aussehen. Das trifft aber wohl auf die meisten Nutzer der Software nicht zu.


    Stand der Technik
    Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und…
    www.teletrust.de



    Nichts anderes macht doch auch Sinn, wenn man Daten schützen will. Dass dazu noch einiges mehr gehört ist wohl so. Es ist nicht nur die Software, aber ohne sie ist es nicht gegeben. Es geht ja eben darum, das erkannte Sicherheitslöcher schnell geschlossen werden können und das ist bei einer Software, die nicht mehr gewartet wird eben nicht möglich. Wenn man nun findig ist, könnte man noch jemanden suchen, der einem bestätigt, dass er gefundene Sicherheitslöcher schnell per Einzelentwicklungsauftrag schließt. Aber da müsste man erst einmal einen Entwickler finden, der einem dies bescheinigt.


    Ich glaube, das einzige, was das womöglich nicht so dramatisch macht ist, dass es ja vom Gewinn (oder Umsatz?) abhängt, wie groß eine Strafe der Datenschutzbehörden ggf. ist und wo kein Umsatz/Gewinn, da vielleicht auch keine oder nur eine geringe Strafe. Aber ich weiß nicht, ob es dazu schon Präzedenzfälle gibt.

    Liebe Grüße
    Susi

  • Susi


    Mir ging es innerhalb dieses Themas nur darum zu verdeutlichen, dass eine Software die keine Sicherheitsupdates mehr erhält, dennoch weiterhin Datenschutzkonform sein kann.


    Selbstverständlich sollte man natürlich davon ausgehen können, dass eine aktiv unterstützte Software mehr Sicherheit bietet, aber ist dies auch tatsächlich immer so?


    Info: Diese Aussage bezieht sich auf Software im Allgemeinen.

    Gruß Markus


    WoltLab Suite 5.4.23

    Edited 2 times, last by Webmark ().

  • Susi Die Version ist zu jeder Zeit updatefähig. Das heißt nicht, dass du sie zwingend updaten musst. Zumindest steht das so nicht dort, auch nicht in deinem hervorgehobenen Absatz.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!