alexa-tracking

[ASK] Kenapa kebanyakan hosting mematikan ekstensi PHP fileinfo pada server mereka.

Main Content

1024
1024
KASKUS
51
244
https://www.kaskus.co.id/thread/5567e3e9d89b0972508b4568/ask-kenapa-kebanyakan-hosting-mematikan-ekstensi-php-fileinfo-pada-server-mereka
[ASK] Kenapa kebanyakan hosting mematikan ekstensi PHP fileinfo pada server mereka.
Selamat pagi menjelang siang agan-agan sekalian.

Sesuai dengan judul thread, ane pengen nanya soal ekstensi PHP fileinfo yang oleh kebanyakan hosting dimatikan karena alasan keamanan. Apakah benar ekstensi tersebut berbahaya sehingga harus dimatikan atau hanya trik mereka saja supaya customer membeli layanan VPS mereka?

Terima kasih sebelumnya.
hae mas gan,

pertama :
cius kebanyakan hosting? ato satu-dua biji hosting aja? ato hanya satu hosting aja?

kedua :
bukannya vps = root?
root kan install php ndiri?
jadi bahkan ndak berhubungan tar antara php di hostingan ama instalasi php di vps nya.
image-url-apps
Quote:


Sejauh ini ada tiga hosting gan, salah satunya ini http://prntscr.com/7an6bb (yang ini sudah ane bayar). Yang lainnya gak ane SS soalnya pihak Technical Support jawabannya kurang profesional gitu, kayak nggak ngerti, beda sama yang di SS, soalnya responnya lumayan cepat namun sampe sekarang belum dibalas.

Quote:


Bukan, maksudnya pihak hosting "menyarankan" untuk menggunakan VPS. Ane tahu kalo VPS kita yang ngurus sendiri, tapi kan agak overkill gara-gara satu ekstensi bawaan PHP dimatikan harus pake VPS.
KASKUS Ads
tengs info nya mas gan.
dari URL stackoverflow.com yang di kepceran tiket, disebutken vuln fungsi fileinfo() hanja sampe di php 5.4.16 aja :

>>>> http://prntscr.com/7anj8t

brati mas gan bisa cek php versi brapa yg dipake di hostingan.
nah kalo ternjata mreka pake dibauah (ato sama dengan) 5.4.16, minta apgret aja php nya.
sbap skarang (hari ini) cpanel default php 5.4 nya dah sampe ke versi 5.4.41 kok
Quote:


Server mereka udah pake PHP 5.4 yang terbaru loh (http://prntscr.com/7aexno). Ane udah jelasin kalo ekstensi itu sah-sah aja diaktifkan karena ane lihat di CVE fileinfo bermasalah ada di PHP < 5.4.37, malah dapet respon kayak gini emoticon-Cape d... (S)

http://prntscr.com/7anu7b

waw... refund....
no komen deh saia mas gan, memang hak masing² hostingan sih soal mau ndak mau pasang fileinfo
muskipun dah ada penjelasan umum kalo vuln hanya berlaku di versi php yg sblun 5.4.16 mopun 5.4.37
Quote:


gue jg wktu itu minta aktifin remote database tp ngga bole sm pihak hosting .. krn alasan vulnerability ddos ..
ya mau ngga mau beli vps aja gan, atau pindah hosting yg support fileinfo .. emoticon-Malu (S)
Akun ane malah disuspend oleh mereka emoticon-Cape d... (S)

http://prntscr.com/7apw0p

...dan situs mereka tidak bisa diakses. (Sertifikat ditolak?)

http://prntscr.com/7apvjm

Benar-benar "profesional" [ASK] Kenapa kebanyakan hosting mematikan ekstensi PHP fileinfo pada server mereka.
1. Saya ada jalan2 kebeberapa rumah tetangga dari 8 rumah berbeda yang saya singgahi untuk fileinfo statusnya enabled dgn versi php terbaru,
2. Untuk Mas cobacoba.coba2 beberapa Hoster emang ada yg tdk mengallow remote database secara default kecuali ada request dari client sehingga mereka allow berdasarkan IP yang digunakan oleh client, namun ada juga sebagian yg mengizinkannya secara defaultnya,
3. Namun seperti yang telah diinfo oleh mastah DraCoola, yaitu kembali kekebijakan hoster masing2 perihal mereka managed servernya. Oleh sebab itu lah teman2 hoster banyak dan mereka memberikan varian layanan berbeda2 walaupun secara umum sama tapi pasti ada sedikit yang membedakannya sebagai opsi bagi kita2 end user, yang mana hoster yang sesuai dengan kebutuhkan kita dan dapat melayani kita dengan yang kita butuhkan di situlah kita berlabuh.
Jadi jika saya boleh saran tidak ada salahnya mencoba yang lain ketika tidak sesuai dengan kebutuhan kita demi kanyamanan dan terpenuhinya kebutuhan kita.

CMIIW
Tergantung hostingnya, mungkin host tersebut pernah ngalamin masalah keamanan karena hal tersebut, jadinya kapok untuk menyalakannya lagi..
setuju, umumnya ekstensi di disable untuk alasan keamanan dan/atau pelajaran dari trouble sebelumnya gara2 ekstensi tertentu

remote db apalagi pake port default termasuk riskan
cek aja log mysql login kalo remotenya aktif, biasanya banyak probe yg 'ngetest'

lagian kalo emang butuh banget kan tinggal pindah aja
cari hosting yg nyediain ekstensinya
gitu aja kok repot emoticon-Ngakak (S)
Quote:


Wakakakak, itu ga kuat skrinsut yang terakhir, dengan ketusnya "silahkan sertakan rekening Anda, kami refund aja" ='))
Itu memang untuk versi php yang baru defaultnya off gan, cuman kalo di tempat ane sih mau di on-in silahkan. Karena udah pake sistem cloud linux emoticon-Big Grin

Emang kebutuhannya untuk apa gan sampai itu mau diaktifin? Soalnya memang rawan kena DDoS, kalo sistem hostingnya masih tradisional bisa kena ke customer yang lain. Webnya bikin sendiri atau pake CMS macam wordpress?
Terima kasih agan-agan yang sudah membantu.. (y)
Client ini memang meminta fileinfo diaktifkan, dan memang pada saat itu sudah dijelaskan mengapa kami menolak mengaktifkannya.
Client sudah diinfokan bahwa extension tersebut tidak dapat diaktifkan di hosting kami, tetapi kami juga sudah memberi alasannya, dan memberi solusi..

Alasan: Mengenai security, walaupun sudah php5.4 terbaru, apa ada yang berani jamin bahwa sudah 100% fixed vuln nya jika masih di angka 5.4? Mungkin bisa lebih yakin jika sudah 5.5, jika masih sama dalam angka 5.4, mohon maaf kita masih tidak bisa mengaktifkannya. Selain itu sudah diinfokan juga bahwa hanya mas Rocky ini seorang and the only one yang membutuhkannya diantara ratusan client dalam server.

Solusi: Solusi sudah kami berikan dengan cara menyarankan menggunakan VPS agar lebih leluasa mengatur server sesuai keinginan. Solusi lainnya tentu saja "Pindah Hosting" atau "Refund". Apakah ada solusi lain jika dari hostingnya tidak bisa memenuhi kebutuhan client baru ini? Refund dan pindah hosting adalah hal terbaik. Bukannya kami mengusir, tetapi memberi anda solusi dan kesempatan untuk mencari yang lain yang bisa memenuhi kebutuhannya.
It's a Win Win Solution.. Anda tidak rugi uang, kami juga tidak rugi (lalu kenapa anda kesal?)
Kalau uang anda tidak dikembalikan, sementara kami tidak bisa memenuhi kemauan anda dan tidak memberi solusi, rasanya itu masuk akal jika anda kesal.

"Akun ane malah disuspend oleh mereka "
Anda sedang dalam proses refund, apakah anda berharap jika uang dikembalikan, hostingnya tetap online?

Silahkan jika ada hosting lain yang bisa memenuhi kebutuhan agan ini.. Kalau di sini tidak bisa emoticon-Smilie
image-url-apps
Simple gan, alasannya cuma 1 yaitu security.

Misal pada suatu hari muncul kabar kalo php 5.4.1 ada bug berbahaya, maka hacker akan melakukan scanning ke internet mencari siapa aja yg masih menginstall php 5.4.1 lalu kalo sudah ketemu baru diserang dgn memanfaatkan bug tsn - itulah sebabnya fileinfo dinonaktifkan

Ane aja punya vps ane nonaktifkan kok bbrp fungsi phpnya
×