nicht angemeldet
Offline-Wiki mit PHP 7.4
Ryuno-Ki
Offline-Wiki mit PHP 7.4
Ryuno-Ki
Julius
Rolf BMoin,
ich war neugierig, ob ich ein Offline-Wiki an den Start bekomme:
Hab es mit Podman zum Laufen bekommen. Allerdings mit PHP 7.4 (älter wird von Debian nicht mehr unterstützt - es sei denn, eins zahlt).
Jetzt hat die Version auch noch ein gerüttelt Mass an Sicherheitslücken. Ist also wirklich nur für den Eigenbedarf zu empfehlen.
Vorteil von dem Container-Ansatz: Migrationen lassen sich bequemer testen :-) Details gerne per Privater Nachricht (nur für Vereinsmitglieder wegen erwähnter Sicherheitslücken).
Gruß
--
a.k.a. André
a.k.a. André
-
Hallo Ryuno-Ki,
Allerdings mit PHP 7.4 (älter wird von Debian nicht mehr unterstützt - es sei denn, eins zahlt).
Ja, PHP hatte in der letzten Zeit einiges an Breaking Changes. Interessant ist auch, dass – zumindest ich – bei MediaWiki nur eine Mindest-PHP-Version finden konnte, aber keine höhere Version, mit der MediaWiki getestet wurde. Normalerweise kenne ich es so, dass Projekte einen Bereich an explizit unterstützten PHP-Versionen angeben.
Jetzt hat die Version auch noch ein gerüttelt Mass an Sicherheitslücken. Ist also wirklich nur für den Eigenbedarf zu empfehlen.
Für alles andere ist das offline-Wiki auch nicht gedacht (Ok, vielleicht noch das Bereitstellen in einem isolierten Netzwerk). Aber natürlich sollte es aktualisiert werden. Wir kümmern uns darum!
Viele Grüße
Julius -
Hallo André,
das Offline-Wiki ist für den lokalen Eigenbedarf gedacht und stellt keine für's Rehosting erstellte Instanz von wiki.selfhtml.org dar. Deswegen sind die Ports, auf die der installierte nginx bzw. das PHP FCGI lauscht, auch keine öffentlichen.
Generell hast Du Glück, wenn Du das Wiki mit PHP 7.4 zum Laufen bekommen hast. Die von uns noch verwendete Version ist die erste, die überhaupt PHP 7 unterstützt, weshalb wir sie unter PHP 7.0 betreiben. Ja, ist alt. Ja, ist nicht unterstützt.
Wenn Du Schwachstellen erkannt hast, die für ein öffentlich gehostetes Wiki relevant sind, kannst Du die gerne an vorstand@selfhtml.org oder projekt@selfhtml.org melden; ich weiß nicht, wie weit Julius da schon in Kontakt mit Dir ist.
Wenn das aber ähnliche Schwachstellen sind wie die, die Heise im April angesprochen hat (Achtung, Keksflut), dann sind sie für uns irrelevant. Man muss dabei immer sehen:
- bei wiki.selfhtml.org sind wir der einzige Nutzer der PHP Installation. Integer-Overflows in der php.ini oder Heap-Dataleaks sind Probleme, die eine Inbetriebnahme stören können oder in einer shared installation zu Datenabfluss führen können.
- das Offline-Wiki ist lokal und nicht öffentlich. Man kann es angreifen, sich dabei aber maximal in den eigenen Fuß schießen. Es sei denn, man repaketiert es, haut Schadcode hinein und bietet es zum Download ab - aber dagegen hilft auch die beste PHP Versionspflege nichts.
Ein kritischer Fehler für uns wäre beispielsweise, wenn man durch fabrizierte Uploads oder Webrequests ausführbaren Code auf unseren Server hochladen könnte oder sich zum Wiki-Admin machen könnte.
Rolf
--
sumpsi - posui - obstruxi-
Moin Rolf,
Hallo André,
das Offline-Wiki ist für den lokalen Eigenbedarf gedacht und stellt keine für's Rehosting erstellte Instanz von wiki.selfhtml.org dar. Deswegen sind die Ports, auf die der installierte nginx bzw. das PHP FCGI lauscht, auch keine öffentlichen.
Jo. Steht auch so deutlich im Artikel (+ Lizenzhinweise).
Generell hast Du Glück, wenn Du das Wiki mit PHP 7.4 zum Laufen bekommen hast. Die von uns noch verwendete Version ist die erste, die überhaupt PHP 7 unterstützt, weshalb wir sie unter PHP 7.0 betreiben. Ja, ist alt. Ja, ist nicht unterstützt.
Ja, ist mir bewusst :-) Ich habe es hier im Forum aus zwei Gründen veröffentlicht:
- Die Angaben im Wiki sind veraltet (Talk-Seiten sollen ja zugunsten des Forums vermieden werden)
- Ich mag den Erneuerungswillen unterstützen.
Wenn Du Schwachstellen erkannt hast, die für ein öffentlich gehostetes Wiki relevant sind, kannst Du die gerne an vorstand@selfhtml.org oder projekt@selfhtml.org melden; ich weiß nicht, wie weit Julius da schon in Kontakt mit Dir ist.
Kontakt ist hergestellt. Ich tippe gerade eine Antwort mit mehr Details. Gut, jetzt hab ich auch einen Namen :)
Abklopfen auf Sicherheitslücken ist ja in Deutschland unerwünscht. Da müsste der Vorstand schon wen beauftragen (ich habe keine Zertifizierung in dem Bereich, aber kenne zumindest die üblichen Verdächtigen während der Entwicklung von Web-Anwendungen).
Wenn das aber ähnliche Schwachstellen sind wie die, die Heise im April angesprochen hat (Achtung, Keksflut), dann sind sie für uns irrelevant. Man muss dabei immer sehen:
- bei wiki.selfhtml.org sind wir der einzige Nutzer der PHP Installation. Integer-Overflows in der php.ini oder Heap-Dataleaks sind Probleme, die eine Inbetriebnahme stören können oder in einer shared installation zu Datenabfluss führen können.
- das Offline-Wiki ist lokal und nicht öffentlich. Man kann es angreifen, sich dabei aber maximal in den eigenen Fuß schießen. Es sei denn, man repaketiert es, haut Schadcode hinein und bietet es zum Download ab - aber dagegen hilft auch die beste PHP Versionspflege nichts.
Nein, ich hatte an den Weihnachtsbaum auf Docker Hub gedacht.
Ein kritischer Fehler für uns wäre beispielsweise, wenn man durch fabrizierte Uploads oder Webrequests ausführbaren Code auf unseren Server hochladen könnte oder sich zum Wiki-Admin machen könnte.
Hab mich bisher zurückhalten können, mal mit Formularfeldern herumzuspielen (siehe oben, §202c StGB)
Gruß
--
a.k.a. André