Scriptcase + php 7.3 + LGPD

buhlerax · Janeiro 29, 2022, 4:55pm

@PedroLucas @yuri_esteves @marcia.scriptcase @HenriqueB @yuri.castro

Bom dia,
Eu sei que a licença do Scritpcase diz que se tiver problema você que assuma a responsabilidade.
Muitos clientes pedem pelo menos uma versão que esteja ativa do php, por causa da LGPD, para poderem dar continuidade no uso dos softwares que desenvolvemos com Scriptcase.
Versões mortas do php não tem correções de bugs ou vulnerabilidades.
Enquanto o licenciamento do Scriptcase diz o problema é seu.

Como já jogaram na minha cara.
Não podemos ficar perdendo contratos ou sob penalidades da LGPD que podem ser impostas por causa de uma versão morta do php.
Sinceramente fico com medo de colocar algo no mercado se tiver que arcar sozinho com as sanções da LGPD.
Se por contrato nem vocês se responsabilizam. Que segurança eu tenho de me responsabilizar por algo que já morreu?

luminatti · Janeiro 29, 2022, 5:50pm

Boa tarde a todos.

Eu estou sendo cobrado por um cliente para atualizar o PHP para pelo menos 8.0 já que é a regra deles tem ao menos uma versão abaixo da última.

O PHP essa semana foi para a 8.1.2 …

E sim me pediram isso em uma conversa com os times de LGPD e Security do cliente.

A Netmake precisa se mexer …

Jailton · Janeiro 29, 2022, 6:26pm

Essa semana passada mudei de uma hospedagem VPS para uma Revenda, e a revenda
veio configurada com PHP 7.4 default ai vi que os códigos gerado do Scriptcase nas minhas
aplicações geradas pelo Scriptcase ‘código dele’ estão cheio de comandos dando a mensagem ‘deprecated’ coisas simples de resolver se tiverem vontade.

Ai setei o PHP para 7.3 para retornar ao normal dos dominios da revenda.

E eles agora estão usando no gerador do Scriptcase 9.7.x o ionCube Encoder esse só consegue proteger as fontes deles até o PHP 7.4 mas o SourceGuardian já esta habilitado para PHP 8+

Mas a fonte final gerada pelo Scriptcase não precisa de proteção de código, essa poderia ser gerado
para a versão 8+ sem problemas com pequenas correções, ou eles adotarem o SourceGuardian novamente como nas versões anteriores do Scriptcase que usavam.

Eu mesmo nos meus php.ini e códigos php não uso nada ‘deprecated’ a anos.

lufeam · Janeiro 31, 2022, 10:47am

Bem complicado essa situação… tenho alguns projetos parados por que a empresa não aceita o sistema estar rodando numa versão morta do PHP… a netmake não considerar isso ou ignorar … acredito ter implicações jurídicas…

buhlerax · Janeiro 31, 2022, 3:38pm

Infelizmente devem fazer o que fizeram comigo no passado. Jogar na cara o termo de uso:

DA CLÁUSULA DÉCIMA TERCEIRA: DA LIMITAÇÃO DE DANOS CONSEQUENTES

Cláusula 13.1: Este Software é distribuído sem quaisquer garantias de nenhum tipo. O risco de usar este software é totalmente assumido pelo LICENCIADO.

Cláusula 13.2: Em nenhum momento a LICENCIANTE poderá ser acusada por danos indiretos, acidentais ou por consequência, incluindo perda de trabalho, renda, lucros, uso, dados ou outras vantagens econômicas, mesmo que seja avisada anteriormente da possibilidade do dano.

Jailton · Janeiro 31, 2022, 3:54pm

Esse ano eu tinha que fazer prospecção de ‘novos clientes’, mas há casos que já pedem um PHP mais atualizado.

InfinitusWeb · Janeiro 31, 2022, 6:01pm

Eu já investi na atualização com a expectativa do PHP8. Como tenho mix de ferramentas no mesmo projeto, acabo não podendo atualizar essas outras ferramentas por justamente estarem atreladas a versão do PHP.

buhlerax · Janeiro 31, 2022, 4:37pm

@PedroLucas @yuri_esteves @marcia.scriptcase @HenriqueB @yuri.castro
Netmake seus clientes estão perdendo clientes.
Sem clientes não temos como pagar vocês

lbhorta · Janeiro 31, 2022, 11:07pm

Coloquei esta questão ao suporte e a resposta foi a seguinte:
"Olá Luís,

Não temos uma data prevista para lhe informar, mas esse ano ainda possivelmente estamos fazendo uma migração do PHP"

É difícil manter uma ferramenta que não tem um roadmap, assim sendo, pode ser que seja ainda este ano.

Rascunho · Fevereiro 1, 2022, 1:02am

Esse ano… amanhã começa fevereiro…
Tenho acompanhado o fórum do ioncube… nada animador o ambiente por lá…
Por que não ir para Source Guardian?

Isso em 03/10/2020…

And now…

Nem um oi da equipe… complicado hein… vão morrer abraçados? Na boa vontade do pessoal do IonCube?

Att.

buhlerax · Fevereiro 1, 2022, 1:50am

Pelo menos para o php 7.4 não tem desculpa.
PHP 7.4 ainda esta ativa.

buhlerax · Fevereiro 3, 2022, 1:58pm

Não sei o que é pior: A falta de Roadmap ou ficar sem respostas.

Kleyber · Fevereiro 3, 2022, 3:49pm

Ainda tem outra, que é igualmente pior: Dar respostas evasivas.

norberto.gimenez · Fevereiro 3, 2022, 8:58pm

Norberto sou tecnólogo em Si e pós graduado em segurança da informação.
Eu utilizo o Scriptcase para desenvolver e o PHP está para ter um outro impulso pois empresas se reuniram para dar força e continuidade.
A LGPD diz rapidamente sobre sua responsabilidade sobre os dados do cliente, seja pelo seu mal uso de compartilhar e vender entre outras empresas. E outro lado seria o roubo dessas informações. Bom o Scriptcase já adicionou alguns recursos, duas etapas, sql injection e aí chega o ponto, vamos cuidar do banco de dados, senha do root, aumentando a Crypto e joga na nuvem AWS ou Azure tem a segurança deles pra trabalhar também e elasticidade. Falar é fácil porque python é agora ou Java , mas ele não programa só fala, fácil voce quebra ele em mil argumentos. E outra podemos definir manter dados sensíveis e ou não muito sensíveis tipo, simples cadastro e ou dados de cartão. Hoje podemos jogar na nuvem e fazer boa segurança por lá e ter alta disponibilidade e elasticidade. Fiz pós em segurança justamente para avaliar e pensar na segurança e quebrar esses caras que irão ser PNC … RS tecnicamente. Abraço

buhlerax · Fevereiro 3, 2022, 10:12pm

@norberto.gimenez Entendi tudo. Mas isto não vai trazer o cliente que exige um php que esteja ativo, ou seja em desenvolvimento, para nós. Alguns clientes simplesmente não querem ouvir falar de php 5.6, 7.0, 7.1, 7.2 ou 7.3. Estas versões rodando por ai são puros zumbis.
Veja por exemplo no changelog: Version 7.3.32

28 Oct 2021

FPM:
- Fixed bug #81026 (PHP-FPM oob R/W in root process leading to privilege escalation). (CVE-2021-21703)

Se na 7.3.32 teve este bug de elevação de privilégio corrigido.
Eu imagino agora que não tem mais desenvolvimento ativo ao que eu posso ser exposto.
A última versão foi a 7.3.33 em 18/11/2021.
Então a quais furos de segurança posso ser submetido de lá para cá.
Sem falar que todo mundo sabe que tem bugs e furos de vulnerabilidade que nem são registrados. Mas vendidos no meio Hacker.
Não adianta proteger o banco / código gerado pelo Scriptcase. Se o meio (php) onde o software roda. Pode comprometer tudo. E nos somos reféns destas versões zumbis porque o Scriptcase / Netmake nos obriga.

buhlerax · Fevereiro 8, 2022, 12:07am

@PedroLucas @yuri_esteves @marcia.scriptcase @HenriqueB @yuri.castro
No fórum internacional também estão descontentes.

lucasmatsumoto · Fevereiro 9, 2022, 7:33pm

Eles poderiam pelo menos falar que estão trabalhando nisso e passar uma data para a atualização…

buhlerax · Fevereiro 11, 2022, 7:21pm

Espero que venha novidades logo.

luminatti · Fevereiro 14, 2022, 2:44pm

Na verdade esse contrato deles é bem Leonino, um bom advogado resolve isto e sim eles são co-responsáveis.
A questão é que não queremos brigar juridicamente, queremos solução.

A solução do problema é o que é bom para todos.

buhlerax · Fevereiro 16, 2022, 11:26am

@PedroLucas @yuri_esteves @marcia.scriptcase @HenriqueB @yuri.castro
O que tem solução se solucionará e o que não tem solução solucionado está.
O que é necessário agora não são novidades e sim concordância com LGPD
Logo, como eu preciso de uma solução agora.
O jeito será procurar em outros lugares.