コードをまったく変更せずにPHPインタプリタのバージョンを更新すると、セキュリティが本当に向上しますか?
ホスティングプロバイダーは、レガシーアプリケーションサーバー(Plesk)を更新したいと考えています。
私たちは通常、古いPHPプロジェクト(PHP 5.3-5.6)をそこに配置するので、未知のEOLまで安定した環境に置くことができます。
さて、私たちのプロバイダーはこれらの古いPHPバージョンを「セキュリティ上の理由」から削除したいと考えています。しかし、利用可能なPHPバージョンを削除すると、セキュリティがどのように向上するか(実際のシナリオでは)わかりません。
プロジェクトのコードベースを変更するとセキュリティが向上するか、またはPHPの新しいバージョンでOS(環境)関連のセキュリティ問題が修正される可能性があることを理解していますが、HTTPから基礎となるPHPインタプリタ。
それでは、更新されたサーバーで古いPHPバージョンを実行することは「かなり安全」と言えるでしょうか。
PHP v5.3とv5.6はしばらくの間サポートが終了しているため、セキュリティの問題が発見されたとしても、パッチ、(セキュリティ)修正、更新は利用できなくなります。
あなたのホスティングプロバイダーは、これらのPHPバージョン5.6が2018年12月31日でサポート終了となることを考慮して、これらを削除するのがかなり遅れています。
それで、古い更新されたサーバーで古いバージョンのPHP=バージョンを実行することは「かなり安全」であると言えるでしょうか?
いいえ、できません。古いソフトウェアを使い続ける理由はありません。 PHP <v5.6で記述されたソフトウェアは、より新しいPHP v7.3標準にアップグレードする必要があります。
あなたは設計上セキュリティとプライバシーを備えたコードを開発しましたが、結果を監査し、継続的に 監視されたCVE あなたに影響を与える(既知の)問題はありません。それは、他のすべての人にも影響があるという意味ではありません。おそらく、あなたは共有ホスティングまたはVPS環境にいると思います。ホスティング会社は、他の人のコードを監査するのではなく、安全なOS、帯域幅、およびディスク容量を提供するビジネスを行っています。 PHPの古いバージョンを削除することにより、サーバー上の他の誰かが誤ってまたは安全にその古いバージョンを使用してサーバー全体が危険にさらされるのを防ぎ、yourセキュリティ(および稼働時間)。
古いバージョンのPHPが本当に必要な場合は、専用サーバーにアップグレードして、サーバーを自分で保護する責任を負ってください(追加のサポート契約があれば、プロバイダーが喜んでお手伝いします)。または、そのバージョンのPHP locally をインストールします(そして、doサーバーを危険にさらす脆弱性があります)。