Fonte www.sicurezzarete.com.
Gli utenti chiedono sempre nuove features, gli sviluppatori aggiungono protocolli, interfacce, metodi, migliorano, ottimizzano e creano nuove versioni. Cosi’ inesorabilmente i software piu’ vecchi diventano obsoleti e su di essi, pur trattando di open-source, ben pochi ci mettono le mani. Nella fase terminale della loro vita i software ricevono per un po’ solo i “security update”, gli aggiornamenti di sicurezza, quelli senza i quali tali software diverrebbero un grave problema. Poi, i gruppi di sviluppatori piu’ corretti fissano una data di end-of-life, ovvero la fine di qualuque supporto per quella versione del software. Dopo tale data gli sviluppatori ufficiali non apportano piu’ modifiche, neanche quelle per rimediare alle falle di sicurezza piu’ gravi.
Gli sviluppatori corretti si e’ detto, si’ perche’ alcuni terminano completamente il supporto senza neanche renderlo ufficiale. No, non stiamo parlando di qualche solitario free-lance, dentro questa schiera ci sono colossi come APPLE! Si’ avete capito bene, il meraviglioso OSX, il sistema operativo che gira sui famosi “mac” non ha infatti una programmazione di ciclo di vita. Si riceve solo un “caldo” invito ad aggiornare, tanto poi, da alcuni anni il nuovo OS e’ gratis… Si’ ma qualcuno ha hardware non supportato, e per loro?
Tra i software estremamente diffusi che hanno invece un rapido e scandito ciclo di sviluppo, supporto ed end-of-life c’e’ il diffusissimo PHP, il linguaggio server-side usato da oltre l’81% di siti al mondo (1) nel 2016. In particolare la versione 5 domina la scena completamente (2) con il 98,7% rispetto a tutte le versioni da sempre sviluppate.
Delle varie minor-release della versione 5 si osserva inoltre la seguente diffusione (3):
PHP Versione 5.3 -> 34.0% (EOL 14 agosto 2014)
PHP Versione 5.4 -> 30.3% (EOL 2 settembre 2015)
PHP Versione 5.5 -> 16.2%
PHP Versione 5.2 -> 12.3% (EOL 6 gennaio 2011)
PHP Versione 5.6 -> 6.4%
PHP Versione 5.1 -> 0.8% (EOL 24 agosto 2006)
PHP Versione 5.0 -> meno dello 0.1% (EOL 5 settembre 2005)
PHP Versione 5.7 -> meno dello 0.1%
Ora pero’ osservando il ciclo di end-of-life di PHP (4) si nota una cosa importante:
le versioni precedenti alla 5.5 hanno terminato il loro ciclo di supporto alla sicurezza dal 2 settembre 2015. Facendo i calcoli il 77% dei siti web usano una versione di PHP che NON RICEVE SUPPORTO DI SICUREZZA pertanto, in alcuni casi, sono facilmente violabili. L’unica attenuante sono le distribuzioni di classe Enterprise le quali continuano ad applicare patch alle vecchie versioni di PHP per prolungarne la vita.
La soluzione efficace al problema e’ quella di affidarsi ad aziende di assistenza sistemistica che provvedano all’aggiornamento dei server linux e unix al fine di mantenere nel tempo un adeguato livello di sicurezza che possa garantire continuità dei servizi e protezione dei dati.
(1) http://w3techs.com/technologies/overview/programming_language/all
(2) http://w3techs.com/technologies/details/pl-php/all/all
(3) http://w3techs.com/technologies/details/pl-php/5/all
(4) http://php.net/supported-versions.php
Gennaio 2016