一、PHP5.6大限將至,安全問題首當其沖
2018年11月4日,中央網信辦發布了一篇名為“開啟網絡強國戰略新征程——黨的十八大以來我國網絡安全和信息化工作綜述”的文章,其中提出了“ 沒有網絡安全就沒有國家安全”的概念。這讓筆者不禁聯想近期PHP網站的一個事件,自2018年12月31日起,PHP官方組織即將停止對PHP5.6版本的支持,目前距這個時點只有不到1個月的時間,屆時將有數百萬個網站和用戶面臨潛在風險。
當然,停止更新是信息化時代所有IT相關產品的必然宿命,例如微軟會保持對Windows產品的有限時限的更新支持。在PHP每個語言版本發布之初,也明確說明了每個穩定版本發布后的2年里會得到完全支持,并于其后1年中提供有限支持。
事實上從18年前,即從2000年10月20日PHP組織第一次宣稱不支持PHP3.0開始,其間一共對12個版本的PHP宣布過不提供支撐。到2016年7月21日,最后一次顯示對PHP5.5不提供支持,而2018年12月31日,將正式停止對PHP5.6的安全支持。但考慮到受眾廣泛,PHP也一再延長對PHP5.6的支持時間。縱觀各個版本的PHP,PHP5.6版本支持時間在各個版本中相當長,已經超預期提供技術支持1年。
二、成也蕭何、敗也蕭何,最受歡迎的PHP也更容易產生風險
PHP5.6是各個版本中支持時間最長的一個,同時這里蘊含的風險也大。數據統計顯示,超過60%的網站用戶將面臨潛在風險。在數據占比方面,據W3Techs.com數據顯示,截止2018年11月,服務器端編程語言,PHP依然是一家獨大,占比達到了78.9%。
而令人感到不安的是,而整個PHP的后臺語言里,超過77.2%的版本依然是PHP5.0系列,僅有22.1%的版本升級到了PHP7.0。
即使是考慮到重要性程度而言,PHP依然是碾壓包括Java在內的眾多語言。不僅在市場占有率方面獨樹一幟,即使是最流行的網站里,PHP也并不過多的落后于Java等語言。
換句話說,按照目前的情況看,到了2018年之后,將有超過61.46%的網站脫離PHP的技術支持,存在安全漏洞風險。
三、PHP依然具有突出的健壯性,但專業的技術服務缺乏將是最大的安全風險
回顧PHP的誕生歷程,已經有20多年歷史。PHP經歷了Web1.0,Web2.0,移動互聯網3G、4G等各個時代,期間受到包括ASP等各種編程語言的挑戰,但除了在超大型企業和傳統軟件行業外,PHP依然處于絕對優勢。
而這一結果得益于PHP遵從實用主義,具有入門簡單、容易掌握、標準庫強大、各種功能函數非常便于使用、第三方類庫、工具、項目豐富等優點。憑借靈活、便捷、開發周期短的特點,PHP得到小規模開發公司和程序愛好者的青睞,在中低端網站開發市場占有絕對優勢地位。可以說,網站建設行業多年來形成數量龐大的“個體戶”,且水平良莠不齊。很容易看到,市面上大部分模板建站供應商都是使用PHP開發語言,大部分網站也是PHP語言開發或PHP模板系統生成。
但另一方面,PHP語言也是病毒、木馬的最愛。同時,考慮到PHP標準庫缺乏一致性,導致很多初學者不恰當使用導致開發出不良的架構系統。
為對于未來而言, PHP漏洞攻擊者主要目標不是在PHP本身,而是在PHP函式庫及CMS系統如果沒有專業的技術服務支持,網站有可能淪為色情賭博網站,由此產生的品牌受損甚至政治風險將無從估量。
四、主動應變,專業技術服務最為優勢
可以預見到的是,過了2018年底大限,黑客會更積極地在PHP 5.6以及以前版本中找到漏洞。但據計世資訊(CCW Research)對業內人士交流所知,大多數用戶均不以為然,認為可以“僥幸”在2019年繼續使用PHP 5.6以及之前版本,而這種“僥幸”也是最大的風險所在。也就是說,除非客戶意識到他們的PHP版本已經“不能使用”,否則很少有人會要求將其轉移到新的版本。
(1)針對性打補丁,修復系統漏洞
針對特定或主流的漏洞,推薦手工進行過濾和修復,通過代碼的安全加固來完善自身系統的安全性能,還可以通過使用安全攻擊防御產品或軟件。
(2)優化技術架構,采用云計算的模式保持技術先進性
通過優化后臺語言,借助最先進的云平臺集成化技術。云計算架構的優勢在于將服務層和基礎層、系統層,可以保持對PHP語言的實時更新,同時還可以保護客戶不受帶寬、存儲、計算能力的限制,此外,還可以增加負載均衡和安全策略保持系統安全。
(3)選擇專業的技術服務商保持最新的技術服務部署
對于優秀的專業技術服務商而言,會始終默認在新版本的PHP上部署新用戶,而不是讓客戶選擇、并且僅在請求時才將現有客戶端更新為新版本的PHP。目前行業內主流的IT技術服務商阿里云、騰訊云、中企動力等均有最新的安全策略。同時,專業的技術服務商也會幫組企業客戶在內部和外部兩方面進行安全提升,抵御攻擊者的進攻效果會更加顯著。
