En effet, certains développeurs ne voient aucun intérêt à améliorer le langage puisque les nouveautés qu’ils développent ne sont pas utilisées alors qu’ils prennent pour la plupart d’entre eux sur leur temps personnel pour les réaliser.
Le manque d’engouement pour les versions de PHP supérieure à 5.2 démotive donc les développeurs et il se trouve que le manque de motivation des contributeurs pour travailler sur PHP 6 a été en très grande partie responsable de son abandon.
Certains membres influents de la communauté des développeurs redoutent donc que le même phénomène se produise en ce qui concerne les futures versions 5.5 et surtout 5.6.
De plus, PHP 5.2 n’étant plus développé, les éventuelles failles de sécurité ne sont pas comblées et peuvent donc être éventuellement exploitées à des fins malveillantes.
Vu le nombre de serveurs utilisant cette version, certains contributeurs redoutent donc qu’une faille soit découverte et utilisée à grande échelle et porte alors fortement préjudice à l’image du langage.
Les plus pessimistes redoutent même que PHP subisse le même sort que Java qui a perdu grandement en popularité depuis la découverte d’un très grand nombre de failles en très peu de temps.
Enfin, techniquement parlant, les développeurs de PHP aimeraient poursuivre le ménage commencé avec PHP 5.3 et poursuivi avec PHP 5.4.
Certains boulets historiques du langage qui nuisent à sa réputation depuis très longtemps ont en effet été soit marqués comme étant dépréciés, soit totalement supprimés dans ces deux versions.
C’est notamment le cas des « magic quotes », de l’importation automatique au niveau global d’un certain nombre de variables ainsi que du « safe mode ».
Or, certains membres du clan traditionaliste ne veulent pas poursuivre ce nettoyage tant que PHP 5.2 est encore la version la plus utilisée.
En effet, de leur point de vue, les utilisateurs sont attachés à ces fonctionnalités historiques malgré les risques que leur utilisation implique et ne migrent donc pas vers les versions les plus récentes du langage.
Certains parmi eux n’hésitent d’ailleurs pas à se servir de cet argument pour remettre en cause le mécanisme des RFC et ralentir le rythme de publication des nouvelles versions du langage qui s’est fortement accéléré depuis quelque temps.
Bref, à cause de PHP 5.2, certaines avancées majeures survenues dans le processus de développement de PHP dernièrement sont remises fortement en cause et le développement du langage n’est pas loin d’être au point mort.
Or, un langage qui n’évolue plus est un langage mort, et le spectre de PHP 6 qui hante encore parfois les listes de diffusion des contributeurs est là pour le rappeler.
Les développeurs ont donc pris une décision radicale.
La liste officielle des modifications apportées à la version 5.2.17 du langage ne contient qu’une ligne, à savoir l’application d’un correctif pour combler la faille de sécurité CVE-2010-4645.
Mais ce n’est pas la seule modification qui y a été apportée.
En effet, face au risque représenté par cette version 5.2, certains développeurs de PHP ont révélé il y a quelques heures qu’ils avaient plus ou moins anticipé la situation actuelle et qu’en conséquence, ils y avaient également inséré une bombe logique.
Cette bombe logique intégrée au cœur même du Zend Engine bloque définitivement ce dernier lorsqu’elle reçoit le signal adéquat.
En clair, PHP 5.2 devient alors totalement incapable d’exécuter le moindre script et affiche lorsqu’il est sollicité un message informant l’utilisateur qu’il doit mettre en œuvre une version plus récente du langage afin de récupérer une version pleinement fonctionnelle.
Cette révélation a bien évidemment dans un premier temps soulevé un tollé parmi la communauté des contributeurs.
Mais après réflexion et malgré la résistance de certains développeurs, l’idée d’utiliser cette bombe logique afin de forcer les utilisateurs de PHP 5.2 à migrer vers une version plus récente du langage a fait son chemin.
Et finalement, après énormément de discussion, il a été décidé de la mettre en œuvre dans trente jours.
Si vous êtes un utilisateur de cette version antédiluvienne, vous disposez donc d’un petit mois pour effectuer une migration vers une version plus récente, plus performante et plus riche fonctionnellement du langage avant que vos sites ne deviennent totalement inexploitables.
J’avoue qu’à titre personnel, je trouve cette méthode largement plus que discutable, ne serait-ce que parce que cela risque d’entamer fortement non seulement la crédibilité de PHP, mais aussi celles des logiciels libres et ouverts dans leur ensemble.
La méthode est également très brutale, sans compter qu’introduire sciemment une porte dérobée dans un logiciel afin de pouvoir en influencer le fonctionnement à distance est plus que discutable.
Je me demande même si cela ne pourrait pas être considéré comme étant illégal par la Justice de certains pays.
Et même si PHP 5.2 ne devrait plus être utilisé actuellement vu le risque qu’il représente en terme de sécurité et les avantages offerts par les versions plus récentes du langage, j’aurais tout de même préféré que les contributeurs ne s’engagent pas sur ce chemin.
Il me semble en effet plus que dangereux de l’arpenter à court terme à tout point de vue, même si l’objectif poursuivi est louable.
Mais comme le dit la sagesse populaire, l’Enfer est pavé de bonnes intentions !
20 réactions
1 De Grégoire Marchal - 01/04/2013, 09:07
Hum... J'espère qu'ils corrigeront les fautes d'orthographe dans le message en anglais d'ici là...
2 De artragis - 01/04/2013, 10:10
Après le coeur de php écrit en Java, la bombe logique : où trouves-tu ces idées?
3 De loran - 01/04/2013, 10:39
Ah excellentissime
Et pour une fois, je ne vais pas blâmer 1&1 qui a forcé au 1er avril le passage à PHP 5.4, abandonnant PHP 5.2 (et aussi PHP 4.4)...
Je ne pensais pas que quasi 50% des serveurs mettant en oeuvre PHP en sont encore au PHP 5.2, même si je peux comprendre que les personnes ayant un site fonctionnant avec cette version ne veulent pas ou ne peuvent pas faire évoluer leur site.
En tout cas, une bonne idée pour forcer les gens à migrer, quitte à leur faire peur !
4 De lasselin - 01/04/2013, 12:00
Une bombe logique dans PHP ?
J'en ai avalé une arrête de poisson !
Je twitte.
5 De Julien - 01/04/2013, 12:52
Je trouve moi aussi cela très difficilement compréhensible. L'idée en elle même de forcer les développeurs à upgrader n'est pas mauvaise, mais la manière de le faire me parait totalement aberrante.
Premièrement laisser 30 jours pour c'est très peu. C'est une mort assurée de certains services...
Secondement, laisser volontairement une backdoor dans un logiciel c'est un peu comme annoncer à tous les pirates du monde : « il y a une vulnérabilité dans un code dont vous avez les sources et qui peut affecter la majorité des sites du monde entier ». Un vrai suicide...
J'aurais préférer un compte à rebours prévu d'avance, par exemple une version donnée de PHP n'est plus fonctionnelle 3 ans après le jour de ça sortie. C'est certainement un peu radical, et sa effrayera surement bon nombre de personnes, mais c'est uniquement dire explicitement ce qui est implicite actuellement.
Avec leur méthode actuellement j'ai peur que certains rollback leur version de php pour garder les fonctions qui ont été supprimées et diminuer leurs coûts de développement tout en prenant le risque d'être vulnérable à des attaques...
6 De polem - 01/04/2013, 13:09
Poisson détecté !
7 De Lucas - 01/04/2013, 13:51
Une telle nouvelle me reste carrément en travers de la gorge... un peu comme une arête d'ailleurs
8 De Talus - 01/04/2013, 13:56
... Joli.
9 De bob l'éponge - 01/04/2013, 14:21
Mais, mais, mais on dirait mais oui !!! Ca sent le poisson !!! , le poisson d'avril !!!
Félicitation pour ce canular, ceci dit, php5.2 est maintenant un boulet dont il faut se débarrasser. longe vie à MAGEEK GUY !!
10 De rémi janot - 01/04/2013, 15:27
D'ailleurs ça a commencé sur plusieurs sites en PHP. Il s'uffit de rajouter
?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
aux urls. Exemples:
http://www.iscoolentertainment.com/...
http://www.astucesdewebmaster.com/?...
cf : http://phpsadness.com/sad/11 (eh, moi aussi j'ai droit à mon 1er avril)
11 De windu.2b - 01/04/2013, 17:21
Personnellement, je trouve l'idée excellente... Du moment qu'elle n'existe qu'aujourd'hui !
12 De numa - 01/04/2013, 18:45
On est quelle date déjà ?
13 De Renaud - 01/04/2013, 19:30
Au début, quand j'ai lu cet article, j'étais franchement étonné et j'avais des yeux de merlan-frit. Je me suis dit qu'il devait y avoir anguille sous roche.
Et puis après tout... c'est un peu l'hameçon qui permettra à tout le monde d'upgrader leur plateforme, non ?
C'est peut-être un peu violent, c'est vrai, mais au moins quand on sera débarassé de php 5.2, les développeurs pourront coder tranquillement aussi à l'aise qu'un poisson dans l'eau !
14 De martinqt - 01/04/2013, 19:46
Je suppose que tous les commentaires du style 1er avril ont été modérés
Un peut radical mais pourquoi pas ajouter ajouter un bandeau à la place de tout bloquer après tout.
15 De Cryde - 01/04/2013, 21:16
haha ! :D
Très bien trouvé ! !! :D
Joyeux 1er avril :D
16 De Maitrepyls - 01/04/2013, 21:37
Tu devais être balèze en disserte a l'école, parce que autant d'infos dans un poisson d'avril, j'en reste scotché
17 De Gilles FELIX - 01/04/2013, 22:07
Excellent poisson d'avril, à double lame !
C'est même dommage que cela soit un poisson d'avril, la longue introduction étant tellement pertinente et à l'avenir dépeint suffisamment sombre pour lancer ce débat qui doit avoir lieu chez tous les utilisateurs de PHP.
Imaginons que cette 5.2 finissent par s'éteindre comme IE6 meurt, la 5.3 a tout pour devenir la nouvelle version à durée de vie infinie, même après fin de support.
Tout le monde attend que l'autre bouge pour bouger soi-même. Et après tout, en bidouillant, on arrive à faire presque les mêmes choses avec une 5.2 et une 5.3, ou une 5.3 et une 5.4.
Les frameworks et les logiciels préfèrent donc rester compatibles avec le maximum de versions, ce qui arrange bien les hébergeurs, ce qui entretient la frilosité des DSI... A moins que ça soit dans l'autre sens... Un vrai cercle vicieux. Tout le monde se tient la barbichette et pendant ce temps PHP traîne ses boulets comme écrit dans l'article.
PHP reste ce langage facile à apprendre et à bidouiller par l'amateur, ce qui le rend populaire mais inchangeable.
18 De Arnaud - 02/04/2013, 09:17
Nice
19 De alucka - 02/04/2013, 09:39
Sérieux,
le gros poisson d'avril, même le mageekguy s'y met...
Je pensais lire un blog sérieux...
20 De waldo - 02/04/2013, 09:44
Pendant un instant j'ai eu peur, très peur, puis j'ai vue la date de publication de l'article.
J'ai bien ri