osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> lire la F.A.Q!, que de temps perdu.... et de risques pris!
badcape
posté 2 Apr 2010, 10:56
Message #1


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 1071
Inscrit : 28-September 07
Lieu : Saint paul - REUNION
Membre no 19202



Bonjour à tous! happy.gif
ce post sera peut-être effacé par les modos pour cause de "redondance" et dans ce cas, je ne leur en voudrai pas.
je tenais simplement à rappeler qu'il existe une FAQ sur ce site, pleine de conseils éclairés par les essais, tests et expériences divers des osCiens qui veulent bien donner de leur temps pour soutenir à leur façon notre communauté, et que leur investissement n'est pas anodin ni sans raison!
J'ai passé mon après-midi d'hier à "sauver les meubles", à aider quelqu'un pour qui une "équipe de bricolos" à installé, modifié un site oscommerce: rien! rien! rien! n'a été pris en compte pour la sécurité des répertoires! absolument rien! admin accessible, htaccess d'origine.... je garde la suite pour moi: mais le résultat, c'est que les fichiers étaient infestés d'injections!!!!!
ma colère.... quand des étudiants ont la possibilité de travailler sur un outil mis à disposition pour se faire la main et maîtriser de nouvelles connaissances, qu'ils ne le fassent pas au détriment de celui qui leurs rend service!
voilà, j'me sens mieux! tongue.gif
cool.gif


--------------------
Thierry
En prod Server: Percona Server via UNIX socket Percona Server version:10.1.20-MariaDB - Percona Server (GPL),
PHP 5.5.30 phpMyAdmin 4.0.10.6 Database version: MySQL 5.5.5-10.1.20 extension: mysqli
version Oscommerce-2.3.4 bootstrap avec un tas comme ça de contributions ...... et bien d'autres dont je me suis inspiré à grand renfort de café !
Un grand merci à tous !(pour votre aide et votre patience....)
En local:
1) Pour suivre mon site en prod - EasyPHP DevServer 14.1 VC9 "Minakami" avec oscom 2.3.4 Bootstrap Gold + KissIT_image thumbnailer, Product fields group, Products Extra Fields, margin report, account_create_in_admin, easy populate, FAQ desk, MATC, SPPC, quick updates for SPPC, slick reCaptcha, modular front page module, Select Product Image Directory, Edit page (page control), Message box, Horizontal categories menu BS, Edit order, Edit invoice, Hide categories with category cache, Related products BS, Ultimate Seo Urls, Withdrawal form for BS... modifiées et d'autre contrib que je teste avant de mettre en prod.
2) Pour dev Phoenix 1.0.2.0, Devserver sous PHP 7.1.3 et Database MySQL 5.7.17
Go to the top of the page
 
xaglo
posté 2 Apr 2010, 13:21
Message #2


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



on ne va pas l'effacer et au contraire l'épingler!!! pour une fois que le conseil ne vient pas de nous biggrin.gif

Comment finaliser l'installation, régler les chmods et sécuriser OsCommerce?


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
Rogers
posté 2 Apr 2010, 14:29
Message #3


Ceinture marron OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1819
Inscrit : 14-March 03
Lieu : Beaune (21200)
Membre no 961



Qu'il est plaisant de voir ce type de message qui coule tellement sous le bon sens qu'il n'est jamais mauvais de rappeler toutes ces règles élémentaires.

Je vais en rajouter une couche :

- Changer le nom du répertoire admin (pas obligatoire, pendant 5 ans j'ai eut une boutique qui était avec l'admin par défaut, jamais aucune attaque n'y est passé car d'autres sécurités). Toutefois, c'est un classique, il est donc INDISPENSABLE de le changer.
- Ajouter un système de mot de passe/login (oui, je suis déjà tombé sur des boutique sur lesquelles on pouvait se trimballer tranquillement dans le backoffice)
- Ajouter le couple htaccess/htpassword c'est INDISPENSABLE
- Ne mettez pas le nom du répertoire de l'admin dans le robots.txt (déjà vu. A quoi sert de changer le nom du répertoire si c'est pour dire aux robots où il se trouvent en leur ajoutant de ne pas le référencer : c'est idiot, si il y a un htaccess c'est inutile et croyez bien qu'un fichier robots.txt n'est pas utilisé que par les robots. Perso, je regarde souvent ce qu'il y a dedans)
- Si vous avez accès à vos logs, n'hésitez pas à jeter un coup d'oeil de temps en temps, ça ne fait pas de mal et ça pourrait vous permettre de détecter des comportements suspects.

Je conclurai que faire de la vente en ligne ce n'est pas changer le CSS et rajouter quelques contribs. Cela demande beaucoup plus de travail, de la documentation et de la vigilance.


--------------------
The hardest thing in this world is to live in it.

Force jaune devant, marron derrière

J'ai touché le fond de la piscine
Dans ton petit pull marine...
Go to the top of the page
 
NoZic
posté 2 Apr 2010, 14:39
Message #4


Ceinture noire OSC
Icône de groupe

Groupe : Membres
Messages : 2872
Inscrit : 27-June 07
Lieu : Elancourt (78)
Membre no 18127



Bonjour,

Boooaaarrrhhh, les gars, comme vous y aller... smile.gif

Ce n'est pas si exceptionnel que ça ce genre de message, je le répète presque tous les jours (et c'est lourd d'ailleurs).
J'ai linké la même FaQ pas plus tard qu'hier.
wink.gif


--------------------
"Les solutions existent toujours depuis longtemps, il suffit de les trouver."
Go to the top of the page
 
chrysalide
posté 2 Apr 2010, 14:51
Message #5


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1085
Inscrit : 29-November 04
Membre no 3935



Au delà de la FAQ c'est la fonction Recherche que j'ai avis de linker au milieu du front de certains .......... evil.gif


--------------------
Petit guide pour résoudre tout vos problèmes avec Oscommerce

FORK perso a base de MS2 RC1 FR avec deux trois contribs + pas mal de dev perso + beaucoup (trop ?) d'Ajax + un peu mais pas trop de flash + virer la structure tableau + de feuille de style + pas mal de <DIV id="****">.......... en gros ca ressemble plus trop a l'originale
Go to the top of the page
 
Madmaxx
posté 2 Apr 2010, 14:52
Message #6


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 136
Inscrit : 25-October 09
Lieu : Gironde (Médoc)
Membre no 26412



je crois que dernièrement il y a eu une sacré redondances, si si, non pas d'aide, mais d'assistanat biggrin.gif

même que c'est violent.

mais ici ou ailleurs le probleme est le meme, dans tout les domaines
les gens regardent mais ne lisent pas,
les gens voient mais ne lisent pas

je suis loin d'etre un dev ou calé aussi bien que vous, mais ce forum est une mine d'or pour qui sait chercher et lire.


--------------------
de la sueur, de la douleur, de la rigueur pour accouché de sa boutique. tels sont les ingrédients de la réussite
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
faites comme moi abusez de ces liens (et encore je trouve que je n'en abuse pas assez)
FAQ ## un lien magique ## contrib oscommerce-fr ## contrib oscommerce.com ## MANUEL MS2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Petit pour guide résoudre tout vos problèmes avec Oscommerce
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Serveur HTTP : Apache/2.2.4 (Ubuntu) DAV/2 mod_python/3.3.1 Python/2.5.1 PHP/5.2.3-1ubuntu6.5 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) mod_perl/2.0.2 Perl/v5.8.8, Version PHP : 5.2.3-1ubuntu6.5 (Zend : 2.2.0), Base de données : MySQL 5.0.45-Debian_1ubuntu3.4, Système d'exploitation Server : Linux 2.6.18-xenU .
osCommerce Online Merchant v2.2 RC1 W3C
Go to the top of the page
 
chrysalide
posté 2 Apr 2010, 14:55
Message #7


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1085
Inscrit : 29-November 04
Membre no 3935



Je serai attiré par les mecs je te roulerai une pelle ! wub.gif


--------------------
Petit guide pour résoudre tout vos problèmes avec Oscommerce

FORK perso a base de MS2 RC1 FR avec deux trois contribs + pas mal de dev perso + beaucoup (trop ?) d'Ajax + un peu mais pas trop de flash + virer la structure tableau + de feuille de style + pas mal de <DIV id="****">.......... en gros ca ressemble plus trop a l'originale
Go to the top of the page
 
momoxygene
posté 2 Apr 2010, 15:11
Message #8


Ceinture jaune OSC
Icône de groupe

Groupe : Membres
Messages : 76
Inscrit : 22-January 10
Lieu : Bourges 18
Membre no 26930



Moi je dirais que le lien recherche est pas asser voyant! rolleyes.gif
Il faudrait une fausse pop up à l'arrivée.

Je sort==>


--------------------
Oscommerce 2.3.4 + Template algozone + Customer_Extra_Fields + Discount_coupon_3.1 + Quick_Updates_2.9.2 + order_edi
tor1.3 + SEO URL 5PRO (R205) + Auto backup + Multiorders V2.1 + oSticket + pdf_customer_invoice_v1.3(problème avec le symbole €)
Go to the top of the page
 
Madmaxx
posté 2 Apr 2010, 15:46
Message #9


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 136
Inscrit : 25-October 09
Lieu : Gironde (Médoc)
Membre no 26412



Citation (chrysalide @ 2 Apr 2010, 14:55) *
Je serai attiré par les mecs je te roulerai une pelle ! wub.gif

t'emballes pas biggrin.gif
j'apprecie le commentaire a sa juste valeur mais c'est un fait que j'ai remarqué depuis que je traine sur la toile
lire c'est un verbe que peut de gens utilisent dans son sens le plus strict ( je suis pas exclus non plus des fois dans la précipitation biggrin.gif)


Citation (momoxygene @ 2 Apr 2010, 15:11) *
Il faudrait une fausse pop up à l'arrivée.

Je sort==>

pourquoi pas, j'avais vu un mod de ce style la sur vbulletin 3.6, tant que l'utilisateur n'avait pas x messages (paramétrable dans l'admin) il avait un message qui lui rappeler les bonnes règles d'usage en condensé et une assistance pour poster ses messages au bon endroit biggrin.gif


--------------------
de la sueur, de la douleur, de la rigueur pour accouché de sa boutique. tels sont les ingrédients de la réussite
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
faites comme moi abusez de ces liens (et encore je trouve que je n'en abuse pas assez)
FAQ ## un lien magique ## contrib oscommerce-fr ## contrib oscommerce.com ## MANUEL MS2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Petit pour guide résoudre tout vos problèmes avec Oscommerce
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Serveur HTTP : Apache/2.2.4 (Ubuntu) DAV/2 mod_python/3.3.1 Python/2.5.1 PHP/5.2.3-1ubuntu6.5 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) mod_perl/2.0.2 Perl/v5.8.8, Version PHP : 5.2.3-1ubuntu6.5 (Zend : 2.2.0), Base de données : MySQL 5.0.45-Debian_1ubuntu3.4, Système d'exploitation Server : Linux 2.6.18-xenU .
osCommerce Online Merchant v2.2 RC1 W3C
Go to the top of the page
 
chrysalide
posté 2 Apr 2010, 16:02
Message #10


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1085
Inscrit : 29-November 04
Membre no 3935



J'admire la patience de beaucoup d'entre vous qui prenne un temps infini pour aider des users que j'aurai envoyé péter depuis longtemps.

J'ai fréquenté pendant un sacré moment uniquement le forum Blabla.

Depuis une quinzaine de jours (vu le manque de vie du blabla) j'ai été jeter un œil un peu partout.
Je sais pas si c'est un phénomène nouveau mais la bande de pleureuses qui trainent c'est fou.

User : je veux faire ça !
Bonne âme : tu peux faire comme ça !
User: Oui mais j'ai un message d'erreur !
Bonne âme : Et bien c'est pas grave et tout bête, fait comme ça !
User : Oui mais j'ai un autre message, c'est nul !
Bonne âme : Euh c'est pas grave quand même, fait comme ça, ton message d'erreur est explicite !
User : Ça marche pas, j'en ai marre !
Bonne âme, trop gentille : tu as essayé comme ça !
User : on fait comment ça, c'est pourri !

Mais au final c'est jamais de leur faute si ça marche pas , eux ils sont bons c'est Oscommerce qui craint.

Sur un paquet de post j'ai rongé mon frein et surtout je suis m'abstenu d'intervenir mais zut alors* !

* expression désuète afin d'éviter une expression beaucoup plus vulgaire mais plus contemporaine mais non appropriée a ce forum


--------------------
Petit guide pour résoudre tout vos problèmes avec Oscommerce

FORK perso a base de MS2 RC1 FR avec deux trois contribs + pas mal de dev perso + beaucoup (trop ?) d'Ajax + un peu mais pas trop de flash + virer la structure tableau + de feuille de style + pas mal de <DIV id="****">.......... en gros ca ressemble plus trop a l'originale
Go to the top of the page
 
Madmaxx
posté 2 Apr 2010, 16:23
Message #11


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 136
Inscrit : 25-October 09
Lieu : Gironde (Médoc)
Membre no 26412



pas mieux que ton explication chrysalide

quand a moi j'ai toujours peur que la réponse me soit techniquement inaccessible (suis pas dev pro) que je cherche sur le forum si y a pas deja un debut de code pour m'aider a finir biggrin.gif

par contre c'est vrai je me suis un peu emballer ici, mais cela correspondait tellement a ce que j'ai rencontré comme soucis que j'ai sauter dessus
mais dans tout les cas la réponse était dans la faq.

Ce message a été modifié par Madmaxx - 2 Apr 2010, 16:28.


--------------------
de la sueur, de la douleur, de la rigueur pour accouché de sa boutique. tels sont les ingrédients de la réussite
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
faites comme moi abusez de ces liens (et encore je trouve que je n'en abuse pas assez)
FAQ ## un lien magique ## contrib oscommerce-fr ## contrib oscommerce.com ## MANUEL MS2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Petit pour guide résoudre tout vos problèmes avec Oscommerce
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Serveur HTTP : Apache/2.2.4 (Ubuntu) DAV/2 mod_python/3.3.1 Python/2.5.1 PHP/5.2.3-1ubuntu6.5 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) mod_perl/2.0.2 Perl/v5.8.8, Version PHP : 5.2.3-1ubuntu6.5 (Zend : 2.2.0), Base de données : MySQL 5.0.45-Debian_1ubuntu3.4, Système d'exploitation Server : Linux 2.6.18-xenU .
osCommerce Online Merchant v2.2 RC1 W3C
Go to the top of the page
 
sykaflex
posté 2 Apr 2010, 20:49
Message #12


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1335
Inscrit : 12-July 08
Lieu : aux Açores au milieu de l'atlantique
Membre no 22434



salut à tous
Citation (chrysalide @ 2 Apr 2010, 16:02) *
J'admire la patience de beaucoup d'entre vous qui prenne un temps infini pour aider des users que j'aurai envoyé péter depuis longtemps.
c'est vrai qu'en ce moment c'est "pain béni...amen" meme pas le temps de lire le post qu'une bonne âme
a deja répondu pertinament dans un style et une politesse exquise, ça nous change de certains temps révolus !
Citation (chrysalide @ 2 Apr 2010, 16:02) *
Sur un paquet de post j'ai rongé mon frein et surtout je suis m'abstenu d'intervenir mais zut alors* !
bof ... ménage tes plaquettes, perso je m'abstiens d'intervenir soit parce que je ne suis pas assez rapide tongue.gif soit parce que ça dépasse mes compétences sad.gif mais j'engrange un max d'infos dans mon wiki perso et les ressortirai quand les "bonnes ames" seront en vacances !

et pour revenir au sujet, (salut badcape!) il est tellement simple et rapide de sécuriser un minimum osC qu'il serait idiot de ne pas appliquer cette faq à la lettre et inutile de poster sur un sujet surlequel tout a été dit et redit, so just do it.
quant aux paranos qui veulent sécuriser à 100% .... bof ça parait impossible mais un superhacker va-t-il s'intéresser à un osciste dealer de croquettes pour chats mrgreen.gif ?


--------------------
entre chats : chat affamé cherche chat pelure pour faire sauter chat perché dans poil de chat (allergiques s'abstenir)

ah oui ... osCommerce v2.2 RC1 french by Delaballe "merci à lui" - PHP version 4.4.8 - mysql5-41 - OVH 240Plan - contribs : (entre autre) AJAX-AttributeManager-V2.8.2 - Limit_Countries - Multi-Product Update v1.00 - Quick Updates 2.7 - Individual Product Shipping Prices - v1_0 - Attribute Qty Product Info - user_tracking_1 - Visitor Web Stats 3.2.1 - Sort Order - image_subdirectories - master password v1.4 - virementbancaire1.4 - Welcome_Email_password ...
"et grand merci à tous les contributionneurs"
Go to the top of the page
 
orcanibus36
posté 2 Sep 2010, 23:32
Message #13


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 7
Inscrit : 6-November 09
Membre no 26485



upss!

dsl de réagir avec tant de retard... smile.gif Que voulez vous, on tente de faire confiance à quelques étudiants en école d'ingénieurs pour dévellopper une boutique et leur permettre d'accéder a leur stage de formation et de se faire la main sur du réel dévellopement....pour les résultats que j'ais subit.

Mais fort heureusement la communauté osciens est toujours aussi pro et accessible. Merci a BADCAPE de m'avoir résolu ce soucis de vulnérabilité sur ma boutique.

Pour mes prochains dévelloppement je serais désormais ou me tourner....ca va de soit!!:-)

Et meric à tous pour vos conseils et votre accessibilité. Continuez en ce sens!!!

Go to the top of the page
 
chti_poupon
posté 3 Sep 2010, 08:57
Message #14


Ceinture noire OSC
Icône de groupe

Groupe : TechDev
Messages : 2757
Inscrit : 9-September 08
Lieu : Douai
Membre no 22915



Bonjour !
Pour répondre à chrysalide, sans vouloir lui tenir la dragée haute, loin de là, car j'en tiens une couche ! Mais justement, ces questions, parfois très simples, auxquelles une réponse pas à pas est indispensable, oblige à une démarche d'analyse et de synthèse en fin de compte égoïstement très formatrice, et qui, en faisant progresser sur tel ou tel point, permet d'appliquer des développements nouveaux. Au moins dans les domaines où l'on se sent compétent.
La lecture des autres post apporte beaucoup dans les autres domaines. Au moins sur les sujets non rebattus. Ceux qui sont en FAQ sont, de fait, "rasoirs".
Bien sûr les solutions proposées tiennent parfois du sparadrap et bout de ficelle, mais, bast, tant que la ligne permet d'attraper le poisson sans tout casser à côté...
Pour la sécurité, c'est bien sûr essentiel. Peut-être une FAQ avec une catégorie "sécurité" directement accessible (il y a 5 réponses sur le mot clef) quitte à doublonner. Comment renommer son admin serait bienvenu: la chose "a l'air" très destructrice, lourde et complexe alors qu'il faut 5 minutes ... en s'y prenant dans le bon sens.

Bonne journée à tous !
Chti poupon
Go to the top of the page
 
chrysalide
posté 3 Sep 2010, 12:03
Message #15


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1085
Inscrit : 29-November 04
Membre no 3935



Salut Chti_Poupon,

je ne te cache pas que j'ai due me relire car ca date un peu et je maintiens.

Il n'est pas question d'un manque de didactisme dans les réponses pour aider les utilisateurs mais d'un manque de volonté chez certains newbies que l'on a croisé a cette période qui ne voulaient pas s'investir intellectuellement dans la conception de leurs boutique qui attendaient que le code tombe et que si ca ne se passait pas comme ils voulaient, la cause de leurs pbs étaient forcement oscommerce ou les forumeurs mais surtout pas le melon accroché au bout de leurs cous

a la même époque, j'ai pondu le texte qui est en lien dans ma signature.

Tous ça pour dire que l'apprentissage du php, html, css, mysql, etc. ne doit pas se faire en tripatouillant Oscommerce.


--------------------
Petit guide pour résoudre tout vos problèmes avec Oscommerce

FORK perso a base de MS2 RC1 FR avec deux trois contribs + pas mal de dev perso + beaucoup (trop ?) d'Ajax + un peu mais pas trop de flash + virer la structure tableau + de feuille de style + pas mal de <DIV id="****">.......... en gros ca ressemble plus trop a l'originale
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 08:58
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)