[RÉSOLU]PHP 5.6 obligatoire pour une version 1.6.1.11?

[Ced17]

Bonsoir à tous,

Je viens de recevoir un mail de mon hébergeur sans donner de nom, ça commence par 1, je sais c'est pas terrible, mais suffit pour une petite boutique. Bref ce fameux mail et je ne dois pas être le seul, m'oblige à passer à partir du mois de mars, à upgrader ma version de PHP 5.6 à la dernière voir minimum 7.0.

Sous prétexte qu'il n'y aura plus de maj de sécurité par PHP. Néanmoins, moyennant 9,40€/mois, il se charge des maj. 

Comme j'ai pas envi de leur filer plus de rond que ça, est ce que je peux upgrader sans problème sur la boutique, sachant que j'ai toujours entendu que 5.6 était le max ?

Version de presta : 1.6 1.11

Version de PHP : 5.6

Merci, bonne soirée

Edited January 16, 2019 by Ced17 (see edit history)

[Manu-41]

Je suis en php 7, et aucun souci depuis plus d'un an

[Ced17]

Merci Manu je pense que de toute façon je vais pas avoir le choix, mais j'aurais voulu savoir si cela provoquerai des petits bugs ou autres bien chiants. Je suis sur un thème acheté sur addons qui fonctionne très bien comme ça. À voir par la suite donc...

[Eolia]

Si vous voulez passer en php 7, veuillez commencer par faire la maj vers la 1.6.1.23 qui est compatible à 98%

Cette pratique de la part de l'hébergeur est malhonnête, surtout que je ne vois pas de quelle maj il va s'occuper vu qu'il n'y en aura plus...

[Manu-41]

2 hours ago, Ced17 said:

Merci Manu je pense que de toute façon je vais pas avoir le choix, mais j'aurais voulu savoir si cela provoquerai des petits bugs ou autres bien chiants. Je suis sur un thème acheté sur addons qui fonctionne très bien comme ça. À voir par la suite donc...

'normalement' avec OVH tu peut changer de php, et revenir si cela ne va pas.

Si je ne dit pas de bêtises, Si tu à vieux module, il peuvent buguer.

[Eolia]

Il n'est pas chez OVH mais chez 1&1^^

[Ced17]

Merci pour vos réponses, comme dit Eolia je suis sur 1and1 et la pratique est je trouve également malhonnête et vicieuse. Je ne manquerai pas d'appeler le service client il l vont comprendre comment je m'appelle. 

Je voulais pas changer de version y compris pour la dernière 1.6, mais bon si je n'ai pas le choix donc tant pis. Je vais devoir m'y coller.

Il vaut mieux une version compatible à 98% que des bugs.

Manu, je ne pourrai pas revenir après le 01 /03, car il me facturerons 9,40€/mois pour faire eux-mêmes les maj de sécurité soi disant. 

Je vais les appeler, et le premier que je vais avoir va s'en prendre plein les niflettes.

Merci

[Eolia]

Il serait intéressant de lire les petites lignes de votre contrat initial pour savoir si cet hébergeur moisi peut imposer une version php^^

[Manu-41]

je n'avais pas vu ton hébergeur. Dsl.

je sais que chez ovh ont peut changer nous même, et c'est gratuit (pour le moment ).

de toute façon, tu devra certainement en changer prochainement, si tu as des bugs, il faudra demander à un prestataire surtout si c'est ton outils de travail.

 

[Ced17]

C'est vrai, on a toujours tendance à oublier ce détail. Je vais y regarder après le taf avant de gueuler. Merci Eolia.

[Ced17]

Pas grave Manu, ce n'est pas un revenu principal la boutique plutôt un complément. Mais la façon d'imposer de la part de l'hébergeur est vraiment énervante. Je vais faire ce qu'il faut plus tôt que prévu du coup. Je n'aime pas qu'on me force la main, ça m'énerve 😁. À plus tard les amis .

[Manu-41]

je pense qu'il n y a pas d'hébergeur parfait.

a+

[Eolia]

Disons qu'il y en a de meilleurs mais pas dans ces gammes de prix.

Il faut bien avoir conscience que les mutus c'est le hard discount de l'hébergement et qu'on à des prestations à la hauteur de ces prix.

[Manu-41]

le mutualisé c'est bien quand ont ne sait pas configurer un serveur.

moi je suis sur l'offre performance 1, j'ai changé l'année dernière afin d'avoir lus de performance par rapport à l'offre pro, mais je n'ai rien vu.

Donc j'essai d'optimisé. D’ailleurs Eolia, je t'ai envoyé un mail depuis ton site il y a 2 semaines à ce sujet . L'as tu reçu?

[ksaan]

11 hours ago, Ced17 said:

Sous prétexte qu'il n'y aura plus de maj de sécurité par PHP. Néanmoins, moyennant 9,40€/mois, il se charge des maj. 

Bonjour, je ne connais pas les détails de votre relation avec cet hébergeur mais ce prétexte me semble vraiment cohérent.
PHP 5.6 n'est plus une version de php sécurisée. Ceci signifie que si demain une faille est découverte dedans qui peut être exploitée pour voler vos données ou prendre le contrôle de votre boutique, rien ne sera fait pour la corriger. Votre hébergeur a raison de vous demander de passer sur php7.1 : en faisant cela il vous protège de ce danger.

C'est pénible, ça demande du temps et de l'argent mais il faut se mettre à sa place. Imaginez que demain vous vendez des voitures. Un de vos constructeurs vous appelle et vous dit que l'un de vos modèles les plus vendus embarque une ceinture de sécurité mal fichue qui peut étrangler les gens en cas d'accident au lieu de leur sauver la vie. Vous êtes obligé de rappeler les clients qui l'ont acheté et leur proposer de changer leur voiture ou au moins la ceinture, parce que vous savez très bien que au 1er accident ça va vous retomber dessus. Les clients voient le côté pénible: je dois passer au garage, leur laisser ma voiture pour X heures ... mais ils seront en sécurité derrière.

Bref, le fond est bon. Après il faut voir comment ils vous l'amènent, comment se passe la migration, le détail de votre contrat ... mais sur le principe je trouve ça positif. Et ils vous laissent jusqu'à Mars : PHP 5.6 n'est déjà plus maintenu  vous êtes déjà non sécurisé. 3 mois ça me paraît pertinent comme délai pour vous préparer, non ?

[Eolia]

Pas ok.

Si cette version n'est plus maintenue, il n'y a plus de maj donc 1&1 prend 9€ pour ne s'occuper de rien.

Concernant la sécurité, il faut arrêter avec ces "failles" potentielles. La dernière corrigée concernait un cas très particulier, nécessitait un bruteforce et avait une chance sur 100 000 d'obtenir les clés du cookie avec un pc super performant.

Les hébergeurs de mutu poussent à passer en php 7 parce que plus rapide et plus strict donc plus simple pour eux et consommant moins de puissance, c'est aussi simple que cela.

D'autre part, le risque ne concerne que celui qui l'utilise et la liberté doit rester gratuite.

@Manu1238 Oui j'ai reçu ton mail au milieu de 250 autres donc le traitement se fait dans l'ordre d'urgence  

[doekia]

Et en quoi payer 9,40€ protègerait-il d'un vol de données si une faille de ce type étaient découverte?

Nous sommes en 2019 où presque plus personne (et surtout pas les revendeur d'hébergement discount) ne maitrisent rien, ni n'ont de volonté sur ce sujet. On fait dans le charter, donc on veut toutes nos fermes de serveur avec la même version, peu importe que ça ne réponde pas aux besoins métiers. Ils vendent pour la masse d'ignorant dont 75% n'ont même pas de site fonctionnel ou un trafic tellement ridicule qu'une pile de 1.5v suffirait à faire fonctionner pendant 1 an. C'est 99% bénef. Et quand dans la masse se dégage de vrais utilisateurs alors là vite vite offre plus plus, premium, platinium, bérylium, uranium, ... plus cher avec moins de  2% d'amélioration par level.

Comment pensez-vous qu'ils puissent afficher  des hébergements à 1€/mois ? Faut être logique - même à la maison avec un arduino, on dépasse ce montant en électricité. Je ne parle même pas du coût de l'arduino, et du FAI

 

 

[ksaan]

18 minutes ago, Eolia said:

D'autre part, le risque ne concerne que celui qui l'utilise et la liberté doit rester gratuite.

Il faudrait être avocat spécialisé pour être sûr, mais bon est-ce que les hébergeurs ont vraiment envie de prendre le risque de vérifier qu'en effet ils sont couverts ?

21 minutes ago, Eolia said:

Concernant la sécurité, il faut arrêter avec ces "failles" potentielles. La dernière corrigée concernait un cas très particulier, nécessitait un bruteforce et avait une chance sur 100 000 d'obtenir les clés du cookie avec un pc super performant.

Alors si vous avez plus d'infos sur cette dernière faille je suis intéressé  mais est-ce que ça vous protège vraiment ? C'est un peu comme dire "je ne mets pas ma ceinture de sécurité depuis 12 ans, j'ai jamais eu d'accident donc ça sert à rien": la première peut être "la bonne". Après ce principe je l'applique à tout: être à jour niveau php, apache, mysql, la distribution ...

Et au-delà de la sécurité vient le manque à gagner de ne pas être sur les dernières versions maintenues (features + gains de performance), la difficulté croissante de trouver des prestataires puisque les prestas préfèrent bosser sur des technos récentes, etc ...

[ksaan]

6 minutes ago, doekia said:

Et en quoi payer 9,40€ protègerait-il d'un vol de données si une faille de ce type étaient découverte?

Nous sommes en 2019 où presque plus personne (et surtout pas les revendeur d'hébergement discount) ne maitrisent rien, ni n'ont de volonté sur ce sujet. On fait dans le charter, donc on veut toutes nos fermes de serveur avec la même version, peu importe que ça ne réponde pas aux besoins métiers. Ils vendent pour la masse d'ignorant dont 75% n'ont même pas de site fonctionnel ou un trafic tellement ridicule qu'une pile de 1.5v suffirait à faire fonctionner pendant 1 an. C'est 99% bénef. Et quand dans la masse se dégage de vrais utilisateurs alors là vite vite offre plus plus, premium, platinium, bérylium, uranium, ... plus cher avec moins de  2% d'amélioration par level.

Comment pensez-vous qu'ils puissent afficher  des hébergements à 1€/mois ? Faut être logique - même à la maison avec un arduino, on dépasse ce montant en électricité. Je ne parle même pas du coût de l'arduino, et du FAI

 

 

Vous marquez un point ^^ effectivement faut pas être trop optimiste sur le service fourni pour ce prix

[Eolia]

Mise à jour du 10 janvier, il suffit de lire le changelog et les commentaires: http://www.php.net/ChangeLog-5.php#5.6.40

Ne comparez pas conduire sans ceinture et risquer une faille potentielle qui n'existe pas encore svp, c'est une mauvaise manière de présenter les choses.

[Eolia]

Et la migration n'est pas anodine non plus http://php.net/manual/fr/migration70.incompatible.php

[ksaan]

1 hour ago, Eolia said:

Mise à jour du 10 janvier, il suffit de lire le changelog et les commentaires: http://www.php.net/ChangeLog-5.php#5.6.40

Ne comparez pas conduire sans ceinture et risquer une faille potentielle qui n'existe pas encore svp, c'est une mauvaise manière de présenter les choses.

Techniquement ces failles existent, elles n'ont juste pas encore été trouvées.

La comparaison est certes violente ^^ mais quand on regarde l'actualité sécurité sur le web depuis 1 ou 2 ans avec des leaks de base de données partout même chez les plus grand (Facebook, Quora, Aadhaar ...) on en vient à penser "la question n'est pas de savoir si on va être hacké mais quand et avec quel impact". C'est parano certes mais je crois qu'être parano c'est une qualité de développeur, non  ? avoir des backups réguliers, avoir un serveur de backup si le serveur principal tombe, chiffrer ses données sensibles afin que même si la database est volée, elle est inexploitable ...

[Eolia]

Ces failles n'ont rien à voir avec des failles php, il ne faut pas tout mélanger.

Un serveur c'est toute une batterie d'outils de protection. La version php est un élément mais ce n'est pas le plus vulnérable loin de là. Le hack majeur Prestashop de juillet 2016 provenait d'un module mal écrit.

Nous subissons tous les jours des tentatives d'attaques sur nos serveurs donc je connais le sujet un minimum et je vous assure que la sécurité de nos boutiques est notre priorité n°1.

Pourtant, aucune n'est en php7^^

[ttoine]

Le truc c'est que sur un serveur mutualisé, un site hacké à cause d'une faille dans Apache ou PHP peut mettre en danger tout le serveur, et donc les autres sites qui sont sur le même serveur mutualisé. Le risque est faible, mais il existe, particulièrement avec des logiciels qui ne sont plus supportés. Il y a aussi, donc, un aspect strictement "risque juridique", à prendre en compte vis à vis des conditions d'utilisation du service: qui est responsable de la panne si d'autres sites sont impactés par la suite. Il faudrait effectivement relire la section du contrat qui y est consacrée. Mais pour le coup, c'est compréhensible que vu le prix ras le plancher, le risque doivent être limité.

Enfin, si le mutualisé "haut de gamme" ne convient pas pour les performances, mais qu'on a pas les compétences de passer sur un vpn ou un dédié, il existe une autre solution: les serveurs infogérés. De nombreux prestataires de service font ça, c'est certes plus cher que le mutualisé, mais ça marche vraiment bien. 

Les hébergeurs de mutu poussent à passer en php 7 parce que plus rapide et plus strict donc plus simple pour eux et consommant moins de puissance, c'est aussi simple que cela.

@Eolia du coup j'ai du mal à comprendre pourquoi vous ne passez pas à PHP 7.x pour avoir plus de performances ???

[Eolia]

J'ai optimisé un Presta 1.6 pour php7 et oui j'ai constaté un léger gain de performances. Je dis léger car dans Presta ce n'est pas vraiment php qui est sollicité dans ses retranchements mais surtout le serveur SQL.

La majorité de mes clients 1.6 ayant des versions maison ou avec des modules développés sur mesure il faudrait corriger toutes les lignes non compatibles avant de passer en 1.7 ce qui représente pas mal de taf pour le gain obtenu.

Par contre, oui, je pousse les nouveaux à utiliser les dernières 1.6 avec PHP7

[ttoine]

donc les problèmes  potentiels sont plutôt liés aux modules et aux développement sur mesure, du coup.

[Eolia]

On est d'accord mais agiter le spectre de la faille majeure sur la 5.6 (qui est quand même une version sacrément éprouvée) me semble bien exagéré.

Combien de sites ont été hackés grâce à une faille sur cette version ?

[ttoine]

Pour ma part, je n'agite pas le spectre de la faille majeure, j'ai un autre point de vue:

• Pour un blog, ou un site vitrine ya pas un gros enjeux: au pire le site est pété quelques heures, rien de bien grave.
• Mais pour une boutique en ligne, ya des infos ultra critiques, comme les comptes des clients, les solutions de paiement, etc.. Et si c'est en panne, ça a un impact sur le chiffre d'affaire: le client ira acheter ailleurs. Pire, si le site est "defaced", il ne reviendra pas, par peur d'utiliser son moyen de paiement sur un site hacké...

C'est comme quand je vois un distributeur de billet de banque qui redémarre sous Windows xp ou bloqué sur un BSOD, je m'en vais tout de suite et je n'y reviens plus jamais.

J'ai une autre question: combien de hackers vont se passionner pour cette version de PHP encore largement utilisée par plein de sites webs histoire de pouvoir tranquillement faire leur beurre en étant certain que ça sera pas corrigé.

[Soyons Solidaire]

Oui certains modules j'ai eu un soucis avec Mega-menu, il fallait le modifier.. 

[ksaan]

32 minutes ago, okom3pom said:

Je croyais qu'il n'y avait plus de MAJ depuis le 1er janvier on m'aurait menti.

Je suis aussi surpris que vous (quoique agréablement 😁)

C'est ce qui avait été annoncé : http://php.net/supported-versions.php plus de support sécu après le 1er Janvier.

Plus de détail sur cette release ici: http://php.net/archive/2019.php#id2019-01-10-4
"Please note that according to the PHP version support timelines, PHP 5.6.40 is the last scheduled release of PHP 5.6 branch. There may be additional release if we discover important security issues that warrant it, otherwise this release will be the final one in the PHP 5.6 branch. If your PHP installation is based on PHP 5.6, it may be a good time to start making the plans for the upgrade to PHP 7.1, PHP 7.2 or PHP 7.3."

Il semblerait donc que php5.6 soit viable encore un peu mais sans garanties.

[doekia]

Quand en 2014, a été découvert (publié) la faille SSL3 POODLE, même les versions "figées" ont été envisagés par l'industrie et toutes ont reçu des patch, ou des réglages d'évasion de la faille

[doekia]

2 hours ago, ttoine said:

donc les problèmes  potentiels sont plutôt liés aux modules et aux développement sur mesure, du coup.

On va dire ça quand il faut 2 ans pour mettre 2 champs honeypot dans le formulaire de contact

[Ced17]

Ksaan, 

"Bonjour, je ne connais pas les détails de votre relation avec cet hébergeur "

euh comment dire on est pas très intime en ce moment, non sérieusement  je ne les contact jamais, et je rejoins Eolia sur le fait que c'est pas cher c'est tout et que pour l'instant c'est suffisant. C'est sûr que pour le prix, faut pas s'attendre à du luxe.

effectivement il se dise que de toute façon sur les mutu, les 3/4 connaisse que dal. Donc aller, facturons en plus des maj qu'il ne feront jamais. 

Mais je vais potasser un peu mon contrat là pour voir si je peux rester en 5.6 . 

merci

[Ced17]

Re,

Rien sur le contrat, du coup j'ai téléphoné tout de même c'est pas possible d'imposer Au client.

Donc le gars m'a bien certifié qu'effectivement il n'y aura plus de maj de sécurité, ça on le sait déjà. Mais aussi que le mail est mal tourné bien sûr, nous ne sommes pas obligés de payer les 9€en plus par mois. C'est une option à souscrire et ce n'est pas imposé.

Après je peux rester en 5.6, à ma guise et à ma responsabilité. Je vais quand même réfléchir pour migrer au moins vers la dernière version 1.6 mais je transpire déjà rien que d'en parler.

Merci à tous pour vos réponses dans tous les cas.

[Eolia]

Excellent le coup du mail "mal tourné", je suis sur qu'il a été bien étudié pour pigeonner 99% des abonnés^^

[ksaan]

31 minutes ago, Ced17 said:

Après je peux rester en 5.6, à ma guise et à ma responsabilité. Je vais quand même réfléchir pour migrer au moins vers la dernière version 1.6 mais je transpire déjà rien que d'en parler.

Eyh pas de panique  si vous faites les choses bien (backup de vos données, backup de vos fichiers, tests sur un autre serveur, analyse des modules installés et de leur compatibilité avec la nouvelle version, de même le thème ...) c'est un processus où il faut passer du temps mais on y arrive (je dis ça je l'ai jamais fait mais j'ai des collègues qui l'ont fait sans gros souci).

Et je crois que sur ce forum vous trouverez beaucoup de gens compétents (prêt à aider contre rémunération bien sûr, mais c'est normal: un garagiste ne travaille pas gratuitement non plus).

[Ced17]

Merci oui je sais je vais le faire moi-même je pense, je prendrai mon temps, et je sais que si besoin, la communaute est là. Le forum est riche en tuto, conseils et Expert à chacun son niveau. Merci

Effectivement Eolia, le mal tourné m'a bien fait rire, car si on dit rien, on prend l'option sans broncher.