1. Про «стабильно работает». PHP 5.1.2 не «работает» - он существует. Его поддержка прекращена в 2009-2010 году. Это означает, что все уязвимости, найденные с 2010 по 2026 годы (включая критические RCE), в нём не исправлены. Система «стабильно уязвима» для любого автоматического сканера. Это не вопрос «старого кода», а вопрос гарантированной дыры в безопасности, которую нельзя закрыть легально.
2. Про «решение - пикосервисы». Я согласен, слепой фанатизм к микросервисам - это болезнь. Но я не предлагаю «всё порубить в микросервисы». Я предлагаю метод, при котором вы не трогаете старый работающий код. Вы строите новый модуль рядом и постепенно переключаете на него нагрузку, оставляя старый как fallback. Это снижает риск, а не увеличивает его. Именно для того, чтобы не было «рестартов раз в час».
3. Про «логику и инженерный подход». Инженерный подход - это управление рисками, а не поклонение стабильности до последнего. Когда регулятор (ЦБ РФ, ФСТЭК) требует соответствия стандартам киберустойчивости, а ваш стек (PHP 5.1, jQuery 1.x) физически не может им соответствовать, - это уже не инженерная, а бизнес-проблема. Штрафы, приостановка лицензии, утечка данных клиентов — вот цена «стабильности».
Сбер прекратил поддержку Android ниже 8 версии, потому что старые операционные системы не обеспечивают должный уровень безопасности, не поддерживают современные технологии шифрования и новые функции приложения.
К сожалению я не разработчик в Сбере и не могу сказать точную причину :(
Да, но в данной статье мы рассматривали только веб-сайты. К сожалению даже крупные технологические гиганты, по типу Сбера не дают возможность установить своё приложение на версию Android ниже 6. Это обусловенно, погоней за новыми функциями, которые на телефоне ниже это версии могут работать некорректно.
Как правило в таком случае можно пользоваться веб версией. Она должна быть идеально защищена и не иметь таких "долгов" как в примерах указанных выше.
Мы сами разрабатываем приложения, и тестируем их на Android от версии 7.0, поддержка приложений для старых версий может стоить определенных средств, а учитывая что доля пользователей Android <7.0 минимальная, компании просто отказываются от этого
Сервис изначально был запущен с правами root, потому что на том сервере не было выделенного системного пользователя для этого приложения. Это была среда для тестового показа кейсов, развернутая на скорую руку.
Согласен, централизованное логирование существенно упростило бы расследование. Это один из выводов, который мы сделали из этой ситуации. Планируем внедрить систему сбора логов на отдельный сервер с достаточным периодом хранения.
Да были, их много
https://cxsecurity.com/issue/WLB-2006040011 - например вот. Ещё можно на сайте https://nvd.nist.gov/ вбить php 5.1.2. и там посмотреть
Спасибо за комментарий,
1. Про «стабильно работает».
PHP 5.1.2не «работает» - он существует. Его поддержка прекращена в 2009-2010 году. Это означает, что все уязвимости, найденные с 2010 по 2026 годы (включая критические RCE), в нём не исправлены. Система «стабильно уязвима» для любого автоматического сканера. Это не вопрос «старого кода», а вопрос гарантированной дыры в безопасности, которую нельзя закрыть легально.2. Про «решение - пикосервисы».
Я согласен, слепой фанатизм к микросервисам - это болезнь. Но я не предлагаю «всё порубить в микросервисы». Я предлагаю метод, при котором вы не трогаете старый работающий код. Вы строите новый модуль рядом и постепенно переключаете на него нагрузку, оставляя старый как fallback. Это снижает риск, а не увеличивает его. Именно для того, чтобы не было «рестартов раз в час».
3. Про «логику и инженерный подход».
Инженерный подход - это управление рисками, а не поклонение стабильности до последнего. Когда регулятор (ЦБ РФ, ФСТЭК) требует соответствия стандартам киберустойчивости, а ваш стек (
PHP 5.1,jQuery 1.x) физически не может им соответствовать, - это уже не инженерная, а бизнес-проблема. Штрафы, приостановка лицензии, утечка данных клиентов — вот цена «стабильности».Ну когда используется php 5.1.2 для личного кабинета банка, это немного неправильно будто
Немного неправильно поняли, я общался с лпром одного из банков насчёт сайта в ответ получил: "У нас же работает, клиенты не жалуются"
Мы проверили только 10 банков, у восьми из них php очень старой версии как минимум)
Браузер работает иначе, чем мобильное приложение. И даже если у человека Android 3.0, Сбер в нём должен хорошо работать.
Процитирую с сайта, нашел вот
К сожалению я не разработчик в Сбере и не могу сказать точную причину :(
Главное нанимать правильных разработчиков и всё будет хорошо), а то наберут людей которые не знают как компьютером пользоваться
Да, но в данной статье мы рассматривали только веб-сайты. К сожалению даже крупные технологические гиганты, по типу Сбера не дают возможность установить своё приложение на версию Android ниже 6. Это обусловенно, погоней за новыми функциями, которые на телефоне ниже это версии могут работать некорректно.
Как правило в таком случае можно пользоваться веб версией. Она должна быть идеально защищена и не иметь таких "долгов" как в примерах указанных выше.
Мы сами разрабатываем приложения, и тестируем их на Android от версии 7.0, поддержка приложений для старых версий может стоить определенных средств, а учитывая что доля пользователей Android <7.0 минимальная, компании просто отказываются от этого
Уже занимаемся этим, спасибо!
Сервис изначально был запущен с правами root, потому что на том сервере не было выделенного системного пользователя для этого приложения. Это была среда для тестового показа кейсов, развернутая на скорую руку.
тоже верно
По сути да, одни и те же паттерны уязвимостей в разных стеках. Главное теперь научиться их не повторять)
Согласен, централизованное логирование существенно упростило бы расследование. Это один из выводов, который мы сделали из этой ситуации. Планируем внедрить систему сбора логов на отдельный сервер с достаточным периодом хранения.