[Disc] Over de (on)veiligheid van PHP op Windows - Softwareontwikkeling

dinsdag 11 oktober 2016 01:55

Acties:

+4 Henk 'm!

Quia Ego Sic Dico.

Topicstarter

Topic afgesplitst vanuit "gevaarlijke" PHP tmp files in c:\windows\temp

Ventieldopje schreef op maandag 10 oktober 2016 @ 22:11:

offtopic:
Windows is nou niet echt een goed en veilig platform om PHP applicaties op te draaien. Misschien een idee om dit dmv. vagrant / docker onder te brengen in een virtuele omgeving? Dat is een stuk veiliger dan aparte schijven.

RobIII schreef op maandag 10 oktober 2016 @ 22:28:
[...]

Wat een onzin Kom met (recente, fatsoenlijke) bronnen of zeg gewoon niks.

Ventieldopje schreef op maandag 10 oktober 2016 @ 23:24:
[...]

Als dat de toon is hier..

Toon of niet: je maakte nogal een foute opmerking waarin je zonder bronvermelding een compleet OS afschreef als onveilig en ongeschikt terwijl dat domweg niet waar is. Ook een Windows-machine kan, zéker met recente versies van PHP, prima als server voor PHP-sites dienen. In combinatie met je rooie kleur word je sneller serieus genomen en dat is met een dergelijke post gewoon niet goed.

[ Voor 37% gewijzigd door .oisyn op 11-10-2016 10:56 . Reden: Even wat context toegevoegd :) ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 11 oktober 2016 07:20

Acties:

0 Henk 'm!

HollowGamer

NMe schreef op dinsdag 11 oktober 2016 @ 01:55:
[...]

Toon of niet: je maakte nogal een foute opmerking waarin je zonder bronvermelding een compleet OS afschreef als onveilig en ongeschikt terwijl dat domweg niet waar is. Ook een Windows-machine kan, zéker met recente versies van PHP, prima als server voor PHP-sites dienen. In combinatie met je rooie kleur word je sneller serieus genomen en dat is met een dergelijke post gewoon niet goed.

Er zit toch wel een kern van waarheid in; hoewel Windows de laatste jaren is verbeterd in veiligheid, zit er bijvoorbeeld geen package-manager in waardoor libs/apps kunnen achter lopen, iets dat je niet wilt met de lekken de laatste tijd. Met VM's/docker is het gewoon beter te managen, al zul je daar wel kennis van moeten hebben/opdoen.

Niet dat ik Windows wil afschrijven, maar het is misschien niet voor niks dat LAMP een populair begrip is.

Waar heb je die scanner gevonden? Ik vind niks door te googelen.

dinsdag 11 oktober 2016 09:15

Acties:

+1 Henk 'm!

Caelorum

HollowGamer schreef op dinsdag 11 oktober 2016 @ 07:20:
[...]
zit er bijvoorbeeld geen package-manager in waardoor libs/apps kunnen achter lopen, iets dat je niet wilt met de lekken de laatste tijd.[...]

*Kuch* Chocolatey. Er zit zelfs een manager voor package managers in tegenwoordig (OneGet, standaard geinstalleerd op W10 en Windows Server 2016). En als het je specifiek om libs gaat dan kan je daar NuGet voor gebruiken, al is dat meer voor tijdens je ontwikkelproces, maar kan ook daarna worden ingezet als je wil.

[ Voor 17% gewijzigd door Caelorum op 11-10-2016 09:15 ]

dinsdag 11 oktober 2016 10:21

Acties:

+1 Henk 'm!

Killah_Priest

HollowGamer schreef op dinsdag 11 oktober 2016 @ 07:20:
[...]
Niet dat ik Windows wil afschrijven, maar het is misschien niet voor niks dat LAMP een populair begrip is.

Misschien wel omdat LAMP "gratis" is qua licenties itt Windows waar je a) voor de serverlicentie moet betalen en b) ook voor de SQL licentie moet betalen (indien je geen SQL express gebruikt).

Ik irriteer mij echt aan de onwaarheden op dit gebied : als je niet weet waar je over praat, zeg dan niets (en dit is niet persoonlijk tegen jou bedoeld, dit is gewoon in het algemeen).

dinsdag 11 oktober 2016 10:29

Acties:

0 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

Killah_Priest schreef op dinsdag 11 oktober 2016 @ 10:21:
[...]

Misschien wel omdat LAMP "gratis" is qua licenties itt Windows waar je a) voor de serverlicentie moet betalen en b) ook voor de SQL licentie moet betalen (indien je geen SQL express gebruikt).

De populariteit zal voornamelijk komen door de brede beschikbaarheid van gratis/goedkope LAMP configuraties. Wat dan weer komt door wat jij zegt

.

Maar ik ben eigenlijk nog altijd wel benieuwd naar waarom Ventieldopje denkt dat Windows minder veilig is.

Ik irriteer mij echt aan de onwaarheden op dit gebied : als je niet weet waar je over praat, zeg dan niets (en dit is niet persoonlijk tegen jou bedoeld, dit is gewoon in het algemeen).

En wat mij irriteert is het wederkerend gebruiken van het werkwoord 'irriteren'

[ Voor 6% gewijzigd door .oisyn op 11-10-2016 10:30 ]

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

dinsdag 11 oktober 2016 10:29

Acties:

0 Henk 'm!

hackerhater

Killah_Priest schreef op dinsdag 11 oktober 2016 @ 10:21:
[...]

Misschien wel omdat LAMP "gratis" is qua licenties itt Windows waar je a) voor de serverlicentie moet betalen en b) ook voor de SQL licentie moet betalen (indien je geen SQL express gebruikt).

Ik irriteer mij echt aan de onwaarheden op dit gebied : als je niet weet waar je over praat, zeg dan niets (en dit is niet persoonlijk tegen jou bedoeld, dit is gewoon in het algemeen).

Hoewel de lagere kosten leuk is, heeft het daar niet veel mee te maken.
Kost simpelweg minder onderhoud en PHP is nu eenmaal primair een *nix-taal.
PHP op Windows is hetzelfde als ASP.net op Linux. Het kan, maar optimaal is anders.
Verschillende PHP-functies zijn helemaal niet beschikbaar onder Windows.

dinsdag 11 oktober 2016 10:32

Acties:

+1 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

hackerhater schreef op dinsdag 11 oktober 2016 @ 10:29:
Hoewel de lagere kosten leuk is, heeft het daar niet veel mee te maken.

Het heeft er natuurlijk alles mee te maken. De populariteit van PHP leent zich uit de beschikbaarheid. Niet uit of je bepaalde obscure functies al dan niet kunt gebruiken onder een bepaald platform, dat is natuurlijk quatsch

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

dinsdag 11 oktober 2016 10:37

Acties:

0 Henk 'm!

hackerhater

.oisyn schreef op dinsdag 11 oktober 2016 @ 10:32:
[...]

Het heeft er natuurlijk alles mee te maken. De populariteit van PHP leent zich uit de beschikbaarheid. Niet uit of je bepaalde obscure functies al dan niet kunt gebruiken onder een bepaald platform, dat is natuurlijk quatsch

En waarom kiezen de meeste hosters voor deze combinatie?
En commando's als https://secure.php.net/chmod en https://secure.php.net/manual/en/function.chgrp.php zou ik niet bepaald obscure noemen

Ik ben zelf een hoster. De licentie-kosten voor de server (redhat is ook niet bepaald gratis

) is peanuts vergeleken met de rest.

dinsdag 11 oktober 2016 10:40

Acties:

+1 Henk 'm!

Killah_Priest

hackerhater schreef op dinsdag 11 oktober 2016 @ 10:29:
[...]

Hoewel de lagere kosten leuk is, heeft het daar niet veel mee te maken.
Kost simpelweg minder onderhoud en PHP is nu eenmaal primair een *nix-taal.
PHP op Windows is hetzelfde als ASP.net op Linux. Het kan, maar optimaal is anders.
Verschillende PHP-functies zijn helemaal niet beschikbaar onder Windows.

ASP.NET werkt tegenwoordig prima op Linux hoor sinds de komst van .NET Core (voorheen kon het ook met Mono maar met .NET core is gewoon volledig ondersteund).

Wederom onwaarheden dus...

(en nee, ik ben geen fanboy, ik hou er gewoon niet van als men onwaarheden loopt te verkondigen. De wereld staat niet stil en Microsoft heeft de afgelopen jaren ook niet stilgestaan op dit gebied).

En hoeveel onderhoud iets kost is ook weer niet helemaal gebonden aan het OS : op Windows kun je ook prima patchen en updates doorvoeren. In Linux is dit - evenals in Windows - ook niet altijd even simpel te doen).

dinsdag 11 oktober 2016 11:01

Acties:

+1 Henk 'm!

Caelorum

Ik heb ook nog niet echt een overtuigende reden gehoord waarom PHP *nu* minder veilig zou zijn draaiend op Windows dan *nix.
Overigens de populariteit van PHP onder *nix is eenvoudig te verklaren: vrijwel iedereen gebruikt die combinatie nu en daarom is *nix de goto voor PHP geworden. Windows wordt pas overwogen als er iets aan de hand is. Waarom het in het verleden juist *nix was kan ik niet zeggen, maar wellicht omdat het vroeger gewoon niet zo'n goede combinatie was .

hackerhater schreef op dinsdag 11 oktober 2016 @ 10:37:
[...]
Ik ben zelf een hoster. De licentie-kosten voor de server (redhat is ook niet bepaald gratis ) is peanuts vergeleken met de rest.

Een windows server licentie is en factor 3 hoger, dus tja.. En onderhoud *nix servers voor PHP is nu eenmaal goedkoper, omdat vrijwel niemand ervaring heeft met Windows servers in die hoek. Beetje kip-ei verhaal.

En nu weer terug naar de initiële vraag: waarom zou PHP op een Windows server onveiliger zijn dan een *nix server?

dinsdag 11 oktober 2016 11:08

Acties:

+1 Henk 'm!

chaoscontrol

Draai al jaren productie sites in IIS met PHP, nergens last van.

Inventaris - Koop mijn meuk!

dinsdag 11 oktober 2016 11:08

Acties:

+1 Henk 'm!

NMe

Quia Ego Sic Dico.

Topicstarter

hackerhater schreef op dinsdag 11 oktober 2016 @ 10:37:
[...]

En waarom kiezen de meeste hosters voor deze combinatie?

Goedkoop. Snel op te zetten. Meer documentatie. Specifieke business rules. Bevooroordeelde voorkeur. Er zijn talloze redenen, maar geen van allen zijn ze sluitend. Dezelde redenen kunnen namelijk net zo goed voor een Windows-bak gebruikt worden afhankelijk van waarom je hem gebruikt. Afhankelijkheid van MSSQL is daar een hele belangrijke van.

En commando's als https://secure.php.net/chmod en https://secure.php.net/manual/en/function.chgrp.php zou ik niet bepaald obscure noemen

Zo zijn er ook genoeg Windows-only functies. Al met al is het de schuld van de developer als 'ie daar niet mee overweg kan.

[ Voor 3% gewijzigd door NMe op 11-10-2016 11:09 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 11 oktober 2016 11:13

Acties:

+1 Henk 'm!

hackerhater

Onveiliger niet zolang je die machine maar bij houd.
Het is wel zo dat Windows lastiger te onderhouden is door het ontbreken van een centraal package-management systeem. Hierdoor kan het makkelijk gebeuren dat libs niet worden bijgewerkt.
En dat is uiteraard wel onveilig.

Minder handig door het ontbreken van sommige functies niet alles beschikbaar is. Maar het verschilt per site of dat een probleem is.
Wat veel sneller een probleem kan zijn is dat *nix hoofdletter gevoelig is en Windows niet. Daardoor kan het voorkomen dat het onder Windows wel werkt en onder *nix niet. Been there, done that.

Vroeger was inderdaad het hosten van PHP op Windows niet te doen. Te veel ellende en op een paar koppige na deed niemand het. PHP werd toen ook niet getest op Windows!
Het is niet dat het tegenwoordig niet zou werken, maar bijna niemand doet het. Mede omdat 99% van alle PHP systemen er vanuit gaat dat ze op een *nix draaien. Je kan dan tegen rare bugs aan lopen omdat de ontwikkelaars er geen rekening mee hebben gehouden.
Er zijn genoeg pakketen waar hard staat dat het niet onder Windows werkt.

Hetzelfde als ASP.net spul op Linux draaien. Het kan perfect werken of je loopt tegen rare bugs aan. Het hangt er maar net vanaf hoe goed de programmeurs er rekening mee hebben gehouden.

De licentie-kosten is wellicht 3 keer zo veel, maar dat is peanuts vergeleken met de onderhoudskosten.
Of je sysadmin 5 of 10 servers kan beheren, daar gaan de aantallen lopen.
De licentiekosten zijn niks vergeleken met de TCO.

dinsdag 11 oktober 2016 11:41

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

hackerhater schreef op dinsdag 11 oktober 2016 @ 11:13:
Onveiliger niet zolang je die machine maar bij houd.
Het is wel zo dat Windows lastiger te onderhouden is door het ontbreken van een centraal package-management systeem. Hierdoor kan het makkelijk gebeuren dat libs niet worden bijgewerkt.
En dat is uiteraard wel onveilig.

Je moet misschien iets meer moeite doen op Windows zonder centraal package-management systeem (al zijn die er tegenwoordig volgens mij ook wel), ook op Linux moet je moeite doen om de boel up-to-date te houden. Hoe vaak zijn er niet websites in het nieuws waarvan de forum-, cms- of libs niet up-to-date genoeg zijn? Dat zijn zéker niet alleen Windows installaties hoor.

Met goed serverbeheer is er op dit gebied gewoon geen verschil tussen Windows & Linux.

[...]
Hetzelfde als ASP.net spul op Linux draaien. Het kan perfect werken of je loopt tegen rare bugs aan. Het hangt er maar net vanaf hoe goed de programmeurs er rekening mee hebben gehouden.

Was inderdaad best wel waar, maar dat begint erg hard af te nemen. Ik draai nu al tijden Sonarr op een Synology en heb met mijn eigen ontwikkeling met .NET op Linux nog weinig gekkigheid gezien eigenlijk.

De licentie-kosten is wellicht 3 keer zo veel, maar dat is peanuts vergeleken met de onderhoudskosten.
Of je sysadmin 5 of 10 servers kan beheren, daar gaan de aantallen lopen.
De licentiekosten zijn niks vergeleken met de TCO.

Nu ben ik geen serverbeheerder, dus misschien mis ik iets wat verschrikkelijk duidelijk is.. Maar waarom is dat onderhoud nu zoveel meer? Puur de php installatie up-to-date houden? Want Windows/IIS updates bedoel je vast niet. Er kan tegenwoordig zoveel gescript worden en dan heb je nog alle virtualisatie technieken daarbij.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 11 oktober 2016 11:49

Acties:

0 Henk 'm!

hackerhater

Cloud schreef op dinsdag 11 oktober 2016 @ 11:41:
[...]

Je moet misschien iets meer moeite doen op Windows zonder centraal package-management systeem (al zijn die er tegenwoordig volgens mij ook wel), ook op Linux moet je moeite doen om de boel up-to-date te houden. Hoe vaak zijn er niet websites in het nieuws waarvan de forum-, cms- of libs niet up-to-date genoeg zijn? Dat zijn zéker niet alleen Windows installaties hoor.

Qua websites klopt, maar dat heb je met een Windows-server net zo goed.
Mijn eigen servers kan ik letterlijk met 2 commando's bijwerken als ik wil :

code:

1 2	yum check-update yum update -y

Dit werkt alles bij op server niveau. De server zelf, de libs, de webserver, de mailserver, de database, etc.

Cloud schreef op dinsdag 11 oktober 2016 @ 11:41:
Nu ben ik geen serverbeheerder, dus misschien mis ik iets wat verschrikkelijk duidelijk is.. Maar waarom is dat onderhoud nu zoveel meer? Puur de php installatie up-to-date houden? Want Windows/IIS updates bedoel je vast niet. Er kan tegenwoordig zoveel gescript worden en dan heb je nog alle virtualisatie technieken daarbij.

Het gaat om het totale plaatje

Server onderhoud, antivirus (mallware is veel groter probleem onder Windows dan onder Linux), dingen kunnen automatiseren met scripts. Ja dat laatste kan tegenwoordig grotendeels ook onder Windows, maar dat was vroeger wel anders.

Maar nog steeds een groot verschil : Linux machines blijven rustig doordraaien en je hoeft ze eigenlijk nooit te herstarten (enkele keer een kernel update). Op dat gebied loopt Windows nog steeds achter.
Natuurlijk kan je dit in clusters en zo op vangen, maar dat legt wel een extra last op je beheerders wat het aantal servers per beheerder limiteerd.

En of je voor 30 servers 3 of 2 beheerders nodig hebt. Dat scheelt nogal in de kosten. Uiteraard heb je wel een bepaalde schaalgrootte nodig voor dit een issue wordt.

dinsdag 11 oktober 2016 11:54

Acties:

0 Henk 'm!

chaoscontrol

hackerhater schreef op dinsdag 11 oktober 2016 @ 11:49:
Het gaat om het totale plaatje Server onderhoud, antivirus (mallware is veel groter probleem onder Windows dan onder Linux), dingen kunnen automatiseren met scripts. Ja dat laatste kan tegenwoordig grotendeels ook onder Windows, maar dat was vroeger wel anders.

Onzin, je kon altijd alles al automatiseren. Nu met powershell is er alleen wat meer eenheid. Met batch en vbs (eventueel wat kixtart) kwam je net zo ver.

De rest van je post klopt ook niet zoveel maar als ik daar op reageer dan ben ik een boek aan het schrijven.

Inventaris - Koop mijn meuk!

dinsdag 11 oktober 2016 12:00

Acties:

0 Henk 'm!

hackerhater

Alles?
Inclusief updaten, block level backups, gebruikersbeheer ed? Zo ver ik weet kan dat pas sinds MS powershell geintroduceerd heeft. Powershell, wat een direct antwoord is op Bash.

Evengoed. De totale TCO is het belangrijkste om voor A of B te kiezen. Maar de verschillen zijn zelden zo groot dat het loont om over te stappen. Zeker als je ook nog je beheerders moet omscholen.
Zeker de low-buget hosters (het gros van alle hosters) wil servers die zo min mogelijk aandacht nodig hebben en dan valt Windows simpelweg af.

Voor de high performance : wat heb je nodig en waar ligt je voorkeur?

dinsdag 11 oktober 2016 12:02

Acties:

0 Henk 'm!

chaoscontrol

hackerhater schreef op dinsdag 11 oktober 2016 @ 12:00:
Alles?
Inclusief updaten, block level backups, gebruikersbeheer ed? Zo ver ik weet kan dat pas sinds MS powershell geintroduceerd heeft. Powershell, wat een direct antwoord is op Bash.

Dat kon allemaal al.

Inventaris - Koop mijn meuk!

dinsdag 11 oktober 2016 12:06

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

NMe schreef op dinsdag 11 oktober 2016 @ 01:55:
Topic afgesplitst vanuit "gevaarlijke" PHP tmp files in c:\windows\temp
[...]

Toon of niet: je maakte nogal een foute opmerking waarin je zonder bronvermelding een compleet OS afschreef als onveilig en ongeschikt terwijl dat domweg niet waar is. Ook een Windows-machine kan, zéker met recente versies van PHP, prima als server voor PHP-sites dienen. In combinatie met je rooie kleur word je sneller serieus genomen en dat is met een dergelijke post gewoon niet goed.

Dat is leuk, maar ik ben ook gewoon een lid van de community en ook ik heb een mening. Mijn intentie was niet (zoals het blijkbaar opgevat werd) een heel OS weg te zetten als ongeschikt en de linux fanboy uit te hangen dus ik snap het probleem niet zo

Ik geef alleen aan dat er ook alternatieven zijn die de beveiliging wat op kunnen krikken, ook op Windows. Heeft het zin? Hangt er van af wat voor website je draait en voor wie.

chaoscontrol schreef op dinsdag 11 oktober 2016 @ 11:08:
Draai al jaren productie sites in IIS met PHP, nergens last van.

Dat kan ook gewoon, is ook niks mis mee. Kon het niet dan zou Plesk waarschijnlijk niet eens bestaan.

Ik denk dat als je veel ervaring hebt met Microsoft dat je wellicht niet anders wil, en vice versa. Maar laten we wel wezen, het overgrote deel van de websites wordt op Linux gehost.

hackerhater schreef op dinsdag 11 oktober 2016 @ 12:00:
Alles?
Inclusief updaten, block level backups, gebruikersbeheer ed? Zo ver ik weet kan dat pas sinds MS powershell geintroduceerd heeft. Powershell, wat een direct antwoord is op Bash.

Evengoed. De totale TCO is het belangrijkste om voor A of B te kiezen. Maar de verschillen zijn zelden zo groot dat het loont om over te stappen. Zeker als je ook nog je beheerders moet omscholen.
Zeker de low-buget hosters (het gros van alle hosters) wil servers die zo min mogelijk aandacht nodig hebben en dan valt Windows simpelweg af.

Voor de high performance : wat heb je nodig en waar ligt je voorkeur?

Dat had me ook wel stug geleken als dat voorheen niet kon. Voordat powershell er was kon je al veel scripten

Updaten, backups en gebruikersbeheer is niet eens het voornaamste punt, dat is op beide systemen prima mogelijk.

Op linux kun je overigens ook zonder te rebooten je kernel updaten, daar zijn al wel oplossingen voor

[ Voor 25% gewijzigd door Ventieldopje op 11-10-2016 12:10 ]

dinsdag 11 oktober 2016 12:14

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Ventieldopje schreef op dinsdag 11 oktober 2016 @ 12:06:
[...]
Mijn intentie was niet (zoals het blijkbaar opgevat werd) een heel OS weg te zetten als ongeschikt
[...]
Ik geef alleen aan dat er ook alternatieven zijn die de beveiliging wat op kunnen krikken, ook op Windows.
[...]

Het kan - en zal - vast niet zo bedoeld zijn, maar je zei letterlijk:

offtopic:
Windows is nou niet echt een goed en veilig platform om PHP applicaties op te draaien.

En dat is niet het bieden van een alternatief, dat is een compleet OS wegzetten als onhandig/onveilig voor het draaien van PHP. Althans ik zie niet een manier waarop ik dat anders kan lezen

Je brengt daarna wel virtualisatie aan de orde en dat is absoluut goed maar neemt die openingsstatement niet weg. Het was net wat te kort door de bocht en dat is waar NMe over viel.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 11 oktober 2016 12:19

Acties:

0 Henk 'm!

Killah_Priest

hackerhater schreef op dinsdag 11 oktober 2016 @ 12:00: Powershell, wat een direct antwoord is op Bash.

Powershell is GEEN antwoord op Bash, Powershell is eigenlijk ook totaal niet te vergelijken met Bash.
Powershell is Object Oriented, Bash = tekst.

In powershell heb je ook directe toegang tot het volledige .Net framework.
Overigens draait ASP.NET Core prima op Linux, zonder rare foutmeldingen (hier is ASP.NET core namelijk voor gemaakt, om cross platform te werken).

Je mening geven over zaken is goed : je argumenten met zaken die pertinent onwaar zijn vind ik echter niet kunnen.

dinsdag 11 oktober 2016 12:27

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

Als PS een antwoord was op Bash, waarom is het dan nu ook beschikbaar voor Windows? En dan heb ik het niet over cygwin of mingw

dinsdag 11 oktober 2016 12:37

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Topicstarter

Ventieldopje schreef op dinsdag 11 oktober 2016 @ 12:06:
[...]

Dat is leuk, maar ik ben ook gewoon een lid van de community en ook ik heb een mening. Mijn intentie was niet (zoals het blijkbaar opgevat werd) een heel OS weg te zetten als ongeschikt en de linux fanboy uit te hangen dus ik snap het probleem niet zo Ik geef alleen aan dat er ook alternatieven zijn die de beveiliging wat op kunnen krikken, ook op Windows. Heeft het zin? Hangt er van af wat voor website je draait en voor wie.

Die nuance stond niet in je bericht. Je zei dat het niet goed en niet veilig was.

Ventieldopje schreef op dinsdag 11 oktober 2016 @ 12:27:
Als PS een antwoord was op Bash, waarom is het dan nu ook beschikbaar voor Windows? En dan heb ik het niet over cygwin of mingw

Bash is voornamelijk beschikbaar op Windows op dit moment omdat dat een belangrijke voorwaarde is voor het draaien van crossplatform software. Vooral Docker wordt hiermee ook op Windows een stuk relevanter.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 11 oktober 2016 12:40

Acties:

0 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

Ventieldopje schreef op dinsdag 11 oktober 2016 @ 12:27:
Als PS een antwoord was op Bash, waarom is het dan nu ook beschikbaar voor Windows? En dan heb ik het niet over cygwin of mingw

De focus wordt vaak gelegd op Bash, maar eigenlijk snap ik dat niet. Het is verdorie de complete Ubuntu user space die gewoon werkt op Windows, bash is slechts een binary die je in die space kunt runnen. Maar dus ook alle andere tools

. x86 binaries werken gewoon out of the box, ze hoeven niet gecrosscompiled te worden.

Ze hebben heus niet de ondersteuning voor het complete subsystem toegevoegd om alleen maar bash te kunnen runnen

[ Voor 8% gewijzigd door .oisyn op 11-10-2016 12:45 . Reden: Woordje 'niet' vergeten :S ]

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

dinsdag 11 oktober 2016 12:44

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

.oisyn schreef op dinsdag 11 oktober 2016 @ 12:40:
[...]

De focus wordt vaak gelegd op Bash, maar eigenlijk snap ik dat niet. Het is verdorie de complete Ubuntu user space die gewoon werkt op Windows, bash is slechts een binary die je in die space kunt runnen. Maar dus ook alle andere tools . x86 binaries werken gewoon out of the box, ze hoeven niet gecrosscompiled te worden.

Ze hebben heus de ondersteuning voor het complete subsystem toegevoegd om alleen maar bash te kunnen runnen

Het is wel aardig van de zotte ja

En dan heb je bash en niet eens een fancy shell als ZSH

dinsdag 11 oktober 2016 12:46

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Ventieldopje schreef op dinsdag 11 oktober 2016 @ 12:44:
[...]

Het is wel aardig van de zotte ja En dan heb je bash en niet eens een fancy shell als ZSH

Je kunt ook prima ZSH (of een alternatief) installeren...

[ Voor 13% gewijzigd door RobIII op 11-10-2016 12:46 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 11 oktober 2016 12:49

Acties:

0 Henk 'm!

hackerhater

Killah_Priest schreef op dinsdag 11 oktober 2016 @ 12:19:
[...]

Powershell is GEEN antwoord op Bash, Powershell is eigenlijk ook totaal niet te vergelijken met Bash.
Powershell is Object Oriented, Bash = tekst.

In powershell heb je ook directe toegang tot het volledige .Net framework.
Overigens draait ASP.NET Core prima op Linux, zonder rare foutmeldingen (hier is ASP.NET core namelijk voor gemaakt, om cross platform te werken).

Je mening geven over zaken is goed : je argumenten met zaken die pertinent onwaar zijn vind ik echter niet kunnen.

Evengoed is het MS's versie van een krachtige cli-taal voor Windows. De voorganger is een lachertje vergeleken met wat je met Bash kan. Ik heb nergens beweerd dat ze gelijk aan elkaar zijn.

Nu kan dat core-framework wel goed geport zijn, maar applicaties die hardcoded van een Windows-omgeving uit gaan, gaan keihard op hun gat onder Linux.
Visa versa ook. Een applicatie die hard Linux-paden aan roept zal never nooit werken onder Windows.

Echt zet je fanboy hoed eens af en lees wat ik schrijf ipv te denken wat ik schrijf.

dinsdag 11 oktober 2016 12:54

Acties:

0 Henk 'm!

Killah_Priest

hackerhater schreef op dinsdag 11 oktober 2016 @ 12:49:
[...]

Evengoed is het MS's versie van een krachtige cli-taal voor Windows. De voorganger is een lachertje vergeleken met wat je met Bash kan. Ik heb nergens beweerd dat ze gelijk aan elkaar zijn.

Nu kan dat core-framework wel goed geport zijn, maar applicaties die hardcoded van een Windows-omgeving uit gaan, gaan keihard op hun gat onder Linux.
Visa versa ook. Een applicatie die hard Linux-paden aan roept zal never nooit werken onder Windows.

Echt zet je fanboy hoed eens af en lees wat ik schrijf ipv te denken wat ik schrijf.

Ik wijs jou op onwaarheden en nu ben ik ineens een fanboy?

Je kunt het blijkbaar niet "winnen" met normale (goed onderbouwde) argumenten dus moet je het blijkbaar "op de man" spelen met dit soort kansloze opmerkingen.

Edit : graag zou ik discussie ook weer gewoon ontopic willen houden ipv deze persoonlijke aanvallen.

[ Voor 5% gewijzigd door Killah_Priest op 11-10-2016 13:00 ]

dinsdag 11 oktober 2016 12:56

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

hackerhater schreef op dinsdag 11 oktober 2016 @ 12:49:
[...]
Nu kan dat core-framework wel goed geport zijn, maar applicaties die hardcoded van een Windows-omgeving uit gaan, gaan keihard op hun gat onder Linux.
Visa versa ook. Een applicatie die hard Linux-paden aan roept zal never nooit werken onder Windows.

Dat is absoluut waar maar dat zegt eigenlijk alleen wat over de kwaliteit van de applicatie toch?

Er zal ongetwijfeld software zijn die vanwege dat soort aannames onderuit gaat op Linux of Windows. Maar als je gewoon goede software schrijft, dan hoeft dat helemaal geen probleem te zijn.

Ik snap niet helemaal wat dat uitmaakt voor de huidige discussie; is het vanwege beschikbaarheid/compatibiliteit? Zijn er nog steeds veel php applicaties die daar last van hebben dan? Want ik ga ervan uit dat dat toch echt wel iets van het verleden is, de meer obscure software pakketjes daar gelaten.

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 11 oktober 2016 12:57

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Ventieldopje schreef op dinsdag 11 oktober 2016 @ 12:27:
Als PS een antwoord was op Bash, waarom is het dan nu ook beschikbaar voor Windows? En dan heb ik het niet over cygwin of mingw

Bash was al jaren bescjhikbaar op Windows. Alleen wordt er nu aandacht aan geschonken. *Nix tools voor Windows was een standaard product van Microsoft en gratis ook nog. En wanneer je Posix standaard gebruikte kon je hier ook gewoon tegenaan programmeren op basis van C.

Maar on topic.
*nix of Windows maakt geen moer uit qua veiligheid voor PHP. Ik heb 10-tallen *nix installaties gezien welke helemaal naar de binaire hemel werden gehacked en Windows installaties met PHP gezien die nooit werden gehacked. En ook weer visa versa.

Alles bestaat bij de gratie van de persoon welke het in richt en de software welke op PHP draait en de configuratie van PHP. Wanneer je zorgt voor patching en een beetje de security meldingen in de gaten houdt dan weet je wat je moet doen en waar je moet ingrijpen.

Er zijn namelijk te veel zaken die PHP op zowel *nix als Windows onveilig maken mits verkeerd gebruikt of gebruikt.

Overigens zijn er nog genoeg servers welke Wordpress draaien boven op PHP, en dan is onderliggend OS al helemaal irrelevant. En het is schrikbarend om te zien hoe veel *nix implementaties nog Apache hebben draaien onder 'root' omdat dat makkelijk werkt.

Overigens gaat mijn voorkeur uit naar PHP onder Windows omdat ik dat snel heb draaien, zeker in combinatie met IIS. Al moet ik na ontdekken van Sentora ik nu ook terug grijp op CentOS met Sentora.

[ Voor 7% gewijzigd door Wim-Bart op 11-10-2016 13:03 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

dinsdag 11 oktober 2016 13:08

Acties:

0 Henk 'm!

hackerhater

Onwaarheden? Waar dan buiten dat je blijkbaar onder Windows al de boel kon scripten.
I stand corrected op dat.

Jij bent diegene beweerd dat ik onwaarden spreek, diegene die het beter denkt te weten dan een profi hoster over wat er belangrijk is voor de de keuze.
Met zo'n gedrag noem ik je een fanboy ja

Cloud schreef op dinsdag 11 oktober 2016 @ 12:56:
[...]

Dat is absoluut waar maar dat zegt eigenlijk alleen wat over de kwaliteit van de applicatie toch? Er zal ongetwijfeld software zijn die vanwege dat soort aannames onderuit gaat op Linux of Windows. Maar als je gewoon goede software schrijft, dan hoeft dat helemaal geen probleem te zijn.

Ik snap niet helemaal wat dat uitmaakt voor de huidige discussie; is het vanwege beschikbaarheid/compatibiliteit? Zijn er nog steeds veel php applicaties die daar last van hebben dan? Want ik ga ervan uit dat dat toch echt wel iets van het verleden is, de meer obscure software pakketjes daar gelaten.

Klopt, dat ligt ook aan de applicaties. Sommige zijn simpelweg niet getest op iets anders dan hun doelplatform. Het kan werken op wat anders, het kan ook van niet.
Als je niet explisiet rekening houd met cross platform kan het goed dat de boel onbedoeld niet werkt.
Het is nu eenmaal een feit dat 99% van de PHP sites op Linux/BSD draait en de devs hier dan ook op testen.
Je kan dan ook tegen rare bugs op lopen onder Windows.
Bijvoorbeeld wat ik zei over hoofdlettergevoeligheid. De bestanden Database.php en database.php zijn onder *nix verschillende bestanden. Onder Windows niet.
Mocht een systeem dit toepassen heb je dan onder Windows doodleuk een fatal error te pakken omdat ie code mist.

ASP.net applicaties die hard com-calls doen zullen onderuit gaan op Linux. Nu kan dat framework wel geport zijn, maar com is niet beschikbaar. Een aanroep daarheen kan een crash van de applicatie veroorzaken.
Laat staan harde aanroepen naar iets als IE of Office. Dat gaat ook niet werken.

Maar volledig eens met Wim-Bart.
Elke server (whatever het OS) valt of staat met de beheerder. Een slechte beheerder (Apache als root) kan zelfs van openBSD een lek vergiet maken.
In ieder geval moet je Windows beheerders geen Linux machines laten beheren en visa versa. Dat is vragen om problemen.

dinsdag 11 oktober 2016 13:12

Acties:

0 Henk 'm!

AlphaRomeo

FP PowerMod

hackerhater schreef op dinsdag 11 oktober 2016 @ 13:08
Elke server (whatever het OS) valt of staat met de beheerder. Een slechte beheerder (Apache als root) kan zelfs van openBSD een lek vergiet maken.
In ieder geval moet je Windows beheerders geen Linux machines laten beheren en visa versa. Dat is vragen om problemen.

Maar dan is dus de conclusie zoals geopperd door TS dat Windows per definitie niet veilig is om PHP op te draaien onjuist en zijn jullie het daar eigenlijk wel over eens.

dinsdag 11 oktober 2016 13:15

Acties:

0 Henk 'm!

hackerhater

AlphaRomeo schreef op dinsdag 11 oktober 2016 @ 13:12:
Maar dan is dus de conclusie zoals geopperd door TS dat Windows per definitie niet veilig is om PHP op te draaien onjuist en zijn jullie het daar eigenlijk wel over eens.

Klopt, de reden waarom ik mijn bedenkingen heb over test- of ontwikkel-servers op Windows te draaien is omdat ik van mening ben dat je op hetzelfde platform moet ontwikkelen als het doelplatform.
In geval van PHP sites betekend dat meestal op Linux.

Een groot voordeel van Linux-servers is ook dat 99,9% van alle mallware er geen vat op heeft

Maar goed zo ver zouden aanvallers al niet mogen komen.

[ Voor 12% gewijzigd door hackerhater op 11-10-2016 13:16 ]

dinsdag 11 oktober 2016 13:23

Acties:

0 Henk 'm!

Killah_Priest

hackerhater schreef op dinsdag 11 oktober 2016 @ 13:08:

ASP.net applicaties die hard com-calls doen zullen onderuit gaan op Linux. Nu kan dat framework wel geport zijn, maar com is niet beschikbaar. Een aanroep daarheen kan een crash van de applicatie veroorzaken.
Laat staan harde aanroepen naar iets als IE of Office. Dat gaat ook niet werken.

ASP.NET Core != ASP.NET, wellicht dat hier verwarring ontstaat, maar beide staan in feite volledig los van elkaar.
ASP.NET Core is open source, cross platform, ASP.NET (de reguliere) is dat niet.
ASP.NET Core heeft ook geen ondersteuning voor bv Office of IE dmv COM Objecten.

(en nee, ik ben geen fanboy. Ik werk zowel met Windows als met Linux servers. Als jij zaken zou zeggen over Linux die naar mijn idee niet zouden kloppen dan zou ik jou daar ook in corrigeren).

[ Voor 6% gewijzigd door Killah_Priest op 11-10-2016 13:26 ]

dinsdag 11 oktober 2016 13:28

Acties:

0 Henk 'm!

hackerhater

Killah_Priest schreef op dinsdag 11 oktober 2016 @ 13:23:
[...]

ASP.NET Core != ASP.NET, wellicht dat hier verwarring ontstaat, maar beide staan in feite volledig los van elkaar.
ASP.NET Core is open source, cross platform, ASP.NET (de reguliere) is dat niet.
ASP.NET Core heeft ook geen ondersteuning voor bv Office of IE dmv COM Objecten.

(en nee, ik ben geen fanboy. Ik werk zowel met Windows als met Linux servers).

Combineer nu wat jij zegt met wat ik zei :
Als je een willekeurige ASP.net applicatie gaat draaien op dat ASP.net Core kan de boel crashen, agreed?
Hetzelfde kan optreden Als je een willekeurige PHP site, geschreven voor Linux, gaat draaien onder Windows.
Het kan werken, het kan niet werken.

Die paar 100 euro aan licentie-kosten zijn niks vergeleken met de rest. Je beheerder is al like een factor 100 duurder. Je wilt zeker weten dat het werkt voor je klanten, daarom pak je normaal voor ASP.net een Windows-bak en voor PHP-sites een Linux-bak.
Simpelweg omdat dit de default platformen zijn voor die talen. Niet dat iets anders niet kan, maar omdat het het minste gedoe geeft.

Het laatste dat je wilt is dat je beheerders of programmeurs zitten te zoeken naar rare bugs die platform gebonden zijn. Daar zijn die veel te duur voor a 50 a 150 per uur werkgevers-kosten.

[ Voor 7% gewijzigd door hackerhater op 11-10-2016 13:32 ]

dinsdag 11 oktober 2016 13:44

Acties:

0 Henk 'm!

Killah_Priest

hackerhater schreef op dinsdag 11 oktober 2016 @ 13:28:
[...]

Combineer nu wat jij zegt met wat ik zei :
Als je een willekeurige ASP.net applicatie gaat draaien op dat ASP.net Core kan de boel crashen, agreed?
Hetzelfde kan optreden Als je een willekeurige PHP site, geschreven voor Linux, gaat draaien onder Windows.
Het kan werken, het kan niet werken.

Die paar 100 euro aan licentie-kosten zijn niks vergeleken met de rest. Je beheerder is al like een factor 100 duurder. Je wilt zeker weten dat het werkt voor je klanten, daarom pak je normaal voor ASP.net een Windows-bak en voor PHP-sites een Linux-bak.
Simpelweg omdat dit de default platformen zijn voor die talen. Niet dat iets anders niet kan, maar omdat het het minste gedoe geeft.

Het laatste dat je wilt is dat je beheerders of programmeurs zitten te zoeken naar rare bugs die platform gebonden zijn. Daar zijn die veel te duur voor a 50 a 150 per uur werkgevers-kosten.

Een reguliere ASP.NET applicatie KAN als het goed is niet eens draaien op .NET Core (dit is wat ik bedoel met dat het in feite gewoon 2 verschillende platformen zijn), in ieder geval niet zonder de boel te porten : er zitten namelijk nogal wat verschillen tussen beiden.

Dat je voor ASP.NET (dus niet .NET Core) normaal gesproken Windows gebruikt en voor PHP Linux ben ik met je eens ; In het geval van .NET Core ligt dat echter wel even anders (maar .NET core is nog erg nieuw).

dinsdag 11 oktober 2016 13:47

Acties:

0 Henk 'm!

hackerhater

In the long end :
Wat probeer je te doen met de server en kies daar het meest optimale platform bij.

Die licentie-kosten care voor een bedrijf. Die gelden pas als 2 mogelijkheden volledig aan elkaar gelijk zijn.
Bijvoorbeeld red hat vs cent-OS. Heb je de support nodig of niet?

In Windows vs Linux : Wat wil je doen?
Waar is de rest op ingericht? Waar zijn je beheerders in opgeleid?
"Use the right tool for the job"

[ Voor 20% gewijzigd door hackerhater op 11-10-2016 13:49 ]

dinsdag 11 oktober 2016 15:05

Acties:

0 Henk 'm!

DJMaze

hackerhater schreef op dinsdag 11 oktober 2016 @ 11:49:
Mijn eigen servers kan ik letterlijk met 2 commando's bijwerken als ik wil :
code:
1
2
yum check-update
yum update -y

Het kan ook automatisch hoor met yum-cron
https://linuxaria.com/pil...in-centos-6-and-red-hat-6

Maak je niet druk, dat doet de compressor maar

dinsdag 11 oktober 2016 17:01

Acties:

0 Henk 'm!

hackerhater

DJMaze schreef op dinsdag 11 oktober 2016 @ 15:05:
[...]

Het kan ook automatisch hoor met yum-cron
https://linuxaria.com/pil...in-centos-6-and-red-hat-6

I know, maar ik wil toch graag zien wat ie doet

dinsdag 11 oktober 2016 17:19

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

Alleen checken op updates en ze desnoods binnen halen scheelt al een hoop via cron. Wil je updaten dan hoef je dat al niet meer te doen.

dinsdag 11 oktober 2016 17:20

Acties:

+3 Henk 'm!

johnkeates

Als PHP op Windows minder veilig is dan PHP op Linux of Unix of BSD of TempleOS, dan komt dat waarschijnlijk niet door Windows zelf, maar door dat PHP-op-Windows op een andere manier gebouwd of onderhouden wordt. Stel dat de developers achter de windows port van PHP minder goed zijn in defensive coding om even iets willekeurigs uit de lucht te plukken, dan zou het zomaar kunnen zijn dat werkende code op Windows makkelijker te misbruiken is. Dat betekent niet dat PHP of Windows slecht zijn, maar dat een specifieke runtime port voor een specifiek OS niet goed is.

Er is geen perfect OS of een perfecte taal, en er zijn wel 'betere' combinaties voor hosting en 'slechtere'. Als je nu een .NET site wil houden kan dat in theorie via mono en apache, of via .NET Core op Linux, maar in de praktijk ga je dat natuurlijk gewoon op Windows doen. En hoewel je waarschijnlijk vast wel een Lua-REST app op Windows kan laten draaien is het een stuk makkelijker te doen op een willekeurige Linux bak met nginx.

Er zijn altijd wel edge cases te vinden die een bepaalde taal, een bepaald framework of een specifiek OS nodig hebben, en hoewel er allerlei bewegingen zijn om zaken meer platform onafhankelijk te maken zal je dat altijd wel houden. SQL Server van MS op Linux zal best prima draaien, maar ik kan me niet voorstellen dat mensen die in een Windows wereld leven dat dan daadwerkelijk zullen doen. Met diezelfde reden lijkt het me sterk dat iemand die graag Linux gebruikt opeens Windows zal gebruiken om z'n applicaties op te hosten.

Het eindresultaat maakt niet heel veel verschil, en je zal voornamelijk met kennis en Ops-tijd te maken hebben die bepalend zijn voor je TCO, veilheid en performance.

dinsdag 11 oktober 2016 17:21

Acties:

0 Henk 'm!

8088

NaN

hackerhater schreef op dinsdag 11 oktober 2016 @ 17:01:
I know, maar ik wil toch graag zien wat ie doet

Daar is de MAILTO setting voor. Ingrijpen doe je gezien de -y flag toch al niet.

Do you seek to engage in or have you ever engaged in terrorist activities, espionage, sabotage, or genocide?

dinsdag 11 oktober 2016 17:26

Acties:

0 Henk 'm!

hackerhater

8088 schreef op dinsdag 11 oktober 2016 @ 17:21:
[...]

Daar is de MAILTO setting voor. Ingrijpen doe je gezien de -y flag toch al niet.

check-update toont je wat ie gaat doen

dinsdag 11 oktober 2016 17:54

Acties:

0 Henk 'm!

8088

NaN

offtopic:
Dat is zo, maar eventuele warnings (gpg checks, onvoltooide transacties, etc.) krijg je toch pas bij de daadwerkelijke update te zien?

Do you seek to engage in or have you ever engaged in terrorist activities, espionage, sabotage, or genocide?

dinsdag 11 oktober 2016 18:15

Acties:

0 Henk 'm!

hackerhater

Klopt.
Ik wil vooral zien wat ie wilt gaan updaten

woensdag 12 oktober 2016 09:15

Acties:

0 Henk 'm!

Spinal

johnkeates schreef op dinsdag 11 oktober 2016 @ 17:20:
Als PHP op Windows minder veilig is dan PHP op Linux of Unix of BSD of TempleOS, dan komt dat waarschijnlijk niet door Windows zelf, maar door dat PHP-op-Windows op een andere manier gebouwd of onderhouden wordt. Stel dat de developers achter de windows port van PHP minder goed zijn in defensive coding om even iets willekeurigs uit de lucht te plukken, dan zou het zomaar kunnen zijn dat werkende code op Windows makkelijker te misbruiken is. Dat betekent niet dat PHP of Windows slecht zijn, maar dat een specifieke runtime port voor een specifiek OS niet goed is.

Toevallig weet ik dat het Nederlandse SoHosted de hosting van windows.php.net voor zijn rekening neemt en ook actief bijdraagt aan de Windows-versie van PHP.
Ik weet niet hoe het nu is, maar 3-4 jaar geleden zat een groot Nederlands meubelbedrijf met een Engelse naam bij deze partij. Best wel een doelwit voor hackers, maar in de tijd dat ik daar aan werkte hebben we nooit last gehad van eventuele onveiligheden van PHP onder Windows.

Full-stack webdeveloper in Groningen

woensdag 12 oktober 2016 09:28

Acties:

+1 Henk 'm!

Caelorum

johnkeates schreef op dinsdag 11 oktober 2016 @ 17:20:
[...] SQL Server van MS op Linux zal best prima draaien, [...]

Dat wil ik nog wel eens zien. Ik denk alleen niet dat MS dit mogelijk gaat maken in de komende 10 jaar.

offtopic:
Deze discussie is trouwens hopeloos. De trigger ervan was dat PHP onveilig zou zijn op Windows. Ondertussen hebben we twee kampen:
De 1) ik ben profi-hoster en dus heb ik gelijk kamp
en de 2) je spreekt onwaarheden
De discussie gaat niet eens meer over het originele onderwerp en dat zowel kamp 1) als 2) eigenlijk elkaars mening delen hebben ze zelf niet eens door. Kamp 1) zit lekker ingegraven en kamp 2) begint zich ondertussen te ergeren.
Heerlijk...!

woensdag 12 oktober 2016 10:24

Acties:

0 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

johnkeates schreef op dinsdag 11 oktober 2016 @ 17:20:
Als PHP op Windows minder veilig is dan PHP op Linux of Unix of BSD of TempleOS, dan komt dat waarschijnlijk niet door Windows zelf, maar door dat PHP-op-Windows op een andere manier gebouwd of onderhouden wordt. Stel dat de developers achter de windows port van PHP minder goed zijn in defensive coding om even iets willekeurigs uit de lucht te plukken, dan zou het zomaar kunnen zijn dat werkende code op Windows makkelijker te misbruiken is.

Maar PHP voor Windows is geen complete fork. Het overgrote deel van de codebase is gewoon cross platform. Het heeft nauwelijks dependencies naar het OS.

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

woensdag 12 oktober 2016 12:21

Acties:

+1 Henk 'm!

johnkeates

Caelorum schreef op woensdag 12 oktober 2016 @ 09:28:
[...]

Dat wil ik nog wel eens zien. Ik denk alleen niet dat MS dit mogelijk gaat maken in de komende 10 jaar.

Het is al mogelijk, daarom noem ik het ;-)

Aankondiging van een tijd geleden: https://blogs.microsoft.c...7glhf36g2fs5plu28sqi1yszq

Preview versie: https://www.microsoft.com...tform/sql-server-on-linux

Caelorum schreef op woensdag 12 oktober 2016 @ 09:28:
[...]

offtopic:
Deze discussie is trouwens hopeloos. De trigger ervan was dat PHP onveilig zou zijn op Windows. Ondertussen hebben we twee kampen:
De 1) ik ben profi-hoster en dus heb ik gelijk kamp
en de 2) je spreekt onwaarheden
De discussie gaat niet eens meer over het originele onderwerp en dat zowel kamp 1) als 2) eigenlijk elkaars mening delen hebben ze zelf niet eens door. Kamp 1) zit lekker ingegraven en kamp 2) begint zich ondertussen te ergeren.
Heerlijk...!

offtopic:
Uiteraard. Maar zo nu en dan een post tussendoor waar geen onzin in staat helpt wel eens ;-)

.oisyn schreef op woensdag 12 oktober 2016 @ 10:24:
[...]

Maar PHP voor Windows is geen complete fork. Het overgrote deel van de codebase is gewoon cross platform. Het heeft nauwelijks dependencies naar het OS.

En daarom schreef ik dus ook dat het een port is.

[ Voor 12% gewijzigd door johnkeates op 12-10-2016 12:22 ]

woensdag 12 oktober 2016 12:27

Acties:

0 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

Dat doet niets af aan het punt dat ik maak, namelijk dat er niets speciaals is aan de Windows versie waardoor het onveiliger zou zijn. De code is hetzeflde.

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

woensdag 12 oktober 2016 15:09

Acties:

0 Henk 'm!

johnkeates

.oisyn schreef op woensdag 12 oktober 2016 @ 12:27:
Dat doet niets af aan het punt dat ik maak, namelijk dat er niets speciaals is aan de Windows versie waardoor het onveiliger zou zijn. De code is hetzeflde.

Nou, nee dus. Voor win32 is een complete compatibiliteitslaag nodig. Je vergeet voor het gemak dat Windows niet dezelfde API's als een Unix-achtig OS aanbiedt. Kijk bijvoorbeeld naar https://github.com/php/php-src/tree/master/win32 en dan de glob.c implementatie. Die is voor Windows geschreven, en stel dat je in glob dus een foutje hebt kan je misschien wel buiten je chroot komen om maar even wat uit m'n duim te zuigen.

Fouten in PHP zelf kan je overal misbruiken, fouten in PHP-op-Windows alleen als je PHP-op-Windows gebruikt. Daarnaast zijn er natuurlijk ook dingen die in Linux of Unix of embedded omgevingen met beperkte resources te misbruiken zijn en juist in Windows weer niet. Een beetje doen alsof alles overal hetzelfde is en daarom nul verschil zal hebben slaat nergens op.

woensdag 12 oktober 2016 15:21

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

Fouten in PHP zullen op beide platformen te misbruiken zijn maar de impact die het heeft hangt af van hoe de hosting omgeving is ingericht. Als de gene die het uitvoert geen rechten heeft kan hij weinig beginnen. Als hij ook nog eens in een virtuele/jail omgeving zit kan hij helemaal weinig schade aanrichten behalve aan het account zelf.

woensdag 12 oktober 2016 15:28

Acties:

0 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

johnkeates schreef op woensdag 12 oktober 2016 @ 15:09:
[...]

Nou, nee dus. Voor win32 is een complete compatibiliteitslaag nodig. Je vergeet voor het gemak dat Windows niet dezelfde API's als een Unix-achtig OS aanbiedt.

Een "complete" compatibiliteitslaag nog wel, toe maar

. Natuurlijk zijn er bepaalde dingen anders, maar 99% van de PHP code is niet afhankelijk van OS calls. Voor veel randzaken kom je weg met libc, en daarnaast heeft Windows best wel een aantal POSIX functies.

Kijk bijvoorbeeld naar https://github.com/php/php-src/tree/master/win32 en dan de glob.c implementatie.

Kijk zelf eens en realiseer hoe weinig files er eigenlijk in staan

Een beetje doen alsof alles overal hetzelfde is en daarom nul verschil zal hebben slaat nergens op.

Ik zei nergens dat er "nul" verschil in zit. Ik denk alleen dat je schromelijk overdrijft.

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

woensdag 12 oktober 2016 16:02

Acties:

0 Henk 'm!

johnkeates

.oisyn schreef op woensdag 12 oktober 2016 @ 15:28:
[...]
Ik zei nergens dat er "nul" verschil in zit. Ik denk alleen dat je schromelijk overdrijft.
[...]

Ook jij mag een mening hebben. Dat is waar het op neer komt.

woensdag 12 oktober 2016 16:36

Acties:

0 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

Wow thanks!

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

woensdag 12 oktober 2016 17:17

Acties:

0 Henk 'm!

DJMaze

Ik vind dit een leuk coffee corner topic.
Totdat de senior zegt dat iedereen weer aan het werk moet om de (on)veilige php scripts (die ze onderhouden) te fixen, omdat anders de server via een Joomla/Drupal/WordPress/Etc (extensie) gehackt wordt en de server beheerders moeten overwerken.

Maak je niet druk, dat doet de compressor maar

donderdag 13 oktober 2016 22:55

Acties:

0 Henk 'm!

HansvDr

Ik heb een aantal windows servers in gebruik omdat ik dan .net php klassieke asp, mysql, sql server, postgres door elkaar kan gebruiken. Command line .net applicaties die zaken in de mysql regelen, old school vbs scriptjes. Het is soms een ratjetoe maar het werkt prima en klanten hebben soms nu eenmaal verschillende applicaties die wel moeten samenwerken.

Op sommige servers draait CentOs met php mysql en of postgres en dat gaat ook prima.

donderdag 13 oktober 2016 23:02

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

HansvDr schreef op donderdag 13 oktober 2016 @ 22:55:
Het is soms een ratjetoe maar het werkt prima
[...]
Op sommige servers draait CentOs met php mysql en of postgres en dat gaat ook prima.

Niet dat ik je reactie niet op prijs stel, maar eigenlijk voegt 't nul komma nul toe aan de discussie. Dat iets voor jou op manier A of manier B "prima werkt" wil niet zeggen dat 't een veiliger is dan 't ander (onderwerp van de discussie). Sterker: misschien heb je gewoon geluk of ben je niet zo'n 'target'. Je sample size is 1 en dat zegt, al met al, niets. Ik ben blij voor je met je positieve ervaringen op Linux én Windows, maar de discussie ontstond door de (redelijk ongefundeerde IMHO) opmerking "Windows is nou niet echt een goed en veilig platform om PHP applicaties op te draaien."

Bovenstaand is overigens niet specifiek tegen jou gericht; ik zie (van beide kampen) meer van dit soort reacties

Ventieldopje schreef op woensdag 12 oktober 2016 @ 15:21:
Fouten in PHP zullen op beide platformen te misbruiken zijn maar de impact die het heeft hangt af van hoe de hosting omgeving is ingericht. Als de gene die het uitvoert geen rechten heeft kan hij weinig beginnen. Als hij ook nog eens in een virtuele/jail omgeving zit kan hij helemaal weinig schade aanrichten behalve aan het account zelf.

Maar daarmee is Windows nog stééds geen beter/slechter platform dan eender welk ander platform. Zoals in de discussie al vaker aangehaald is: natuurlijk dien je je spul fatsoenlijk in te richten en te beheren en updaten en whatnot. Maar dat geldt op, en voor, alle platformen.

[ Voor 33% gewijzigd door RobIII op 14-10-2016 01:32 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

vrijdag 14 oktober 2016 09:17

Acties:

0 Henk 'm!

HansvDr

Je hebt helemaal gelijk. Naar mijn mening is php in elk geval ook op Windows prima veilig te krijgen. Een apppool gebruiker zodat elke site alleen over de eigen site rechten heeft, updates voor php via web platforminstaller. Nou ja ik merk in elk geval weinig verschil tussen windows en Linux. En ik gaf mijn ratjetoe aan om aan te geven dat het soms ook gewoon het makkelijkst is om alles op 1 systeem, dus windows te draaien.