„Never Change a Running System“ war schon immer das Motto der Faulen und Verzagten. In einer Analyse seiner Suchtreffer hat Google jetzt nachgewiesen, wie falsch es außerdem ist: 5% aller untersuchten Sites waren mit Schadsoftware infiziert. Der Grund oft: Veraltete Server.Auf dem Arbeitsplatz-Rechner muss es immer die neuste Version sein: Office, E‑mail, Mediaplayer. Hier vertraut man den Herstellern, dass die neue Version auch weiterhin Texte bearbeitet, Mails empfängt und MP3s abspielt. Bei Servern hat man sich aber irgendwie daran gewöhnt, dass die Apache-Version 2 Jahre alt ist und die PHP-Version noch aus dem letzten Branch stammt.
Erst neulich habe ich für eine Kundin einen Webspace gebucht und einen Server bekommen, auf dem Apache 1.3 und PHP 4.3 liefen. Gut – bei all-inkl.com reicht eine Mail und man ist am nächsten Tag auf einem Server mit aktueller Software. Aber offensichtlich vermieten die auch die alten Dinger noch. Und all-inkl.com ist da ja keine Ausnahme. Bei den meistens ist PHP5 – nicht die aktuelle PHP 5.2.5 sondern irgendeine PHP5 Version – noch eine Sonderausstattung.
Da fragt sich doch: Warum bringen die Hersteller eigentlich neue Versionen heraus? Bei kommerziellen Anbietern kann man zu Recht vermuten, dass das auch etwas damit zu tun hat, dass man die Kunden mal wieder abkassieren will. Nur fair. Aber warum bringen freie Entwickler neue Versionen von Apache, PHP & Co. heraus? Wegen der neuen, bunten Features, die offenbar niemand braucht? Auch. Aber vor allem werden mit jeder neuen Version Sicherheitslücken gestopft.
Sicher besteht immer das Risiko, dass mit einem Update ein Feature eingeführt oder abgeschafft wird, welches dann Probleme mit anderer Software nach sich zieht. Bei PHP aber zum Beispiel werden solche Aktionen nicht von heute auf morgen durchgeführt. Wenn da heute immer noch Programme mit register_globals laufen, ist das einfach die falsche Software.
Die großen Hoster leben alle von den kleinen privaten Webmastern, die selbst ihre Software nicht auf dem aktuellen Stand halten und so Probleme mit Server-Updates bekommen. Das ist eine ziemliche Innovationsbremse: Die Webhoster aktualisieren ihre Server nicht, um den Kunden keine Probleme zu bereiten – die Entwickler aber von PHP Software, die wiederum auf standard Webservern laufen soll muss deswegen auch immer noch die veralteten PHP-Versionen unterstützen.
Also: Bringt Eure Hoster dazu, Euren Server aktuell zu halten! „A system that can’t be changed shouldn’t be called ‚running’ “
Schreibe einen Kommentar