osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> SSL : une obligation ?
caviar
posté 18 Apr 2005, 11:00
Message #1


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 98
Inscrit : 15-April 05
Lieu : Le Sud
Membre no 5513



Salut à tous ...

Je me demandais si selon vous il est impératif d'avoir un certificat SSL et de faire tourner OSC avec SSL pour garantir sa sécurité ?

en gros SSL est il obligatoire pour éviter les pb ou la sécurité est suffisante sans utiliser SSL ?

@+


--------------------
OSC version MS2 fr avec le patch secu de aout 2006
Go to the top of the page
 
analysis
posté 18 Apr 2005, 12:22
Message #2


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 9
Inscrit : 25-September 04
Membre no 3346



le ssl n'est pas impératif pour faire tourner en toute sécurité ta boutique. Il n'existe pas de risque zéro mais en prenant les bonnes mesures tu peux facilement limiter la corruption/attaque de ta boutique.

SSL (Secure Socket Layer) est destiné à crypter de façon sûre les informations échangées entre deux machines et te permet de sécuriser les transactions par carte bancaire. Dans ce cas: oui il est nécessaire de l'utiliser.... En gros
Go to the top of the page
 
caviar
posté 18 Apr 2005, 13:43
Message #3


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 98
Inscrit : 15-April 05
Lieu : Le Sud
Membre no 5513



merci.
donc dans l'optique où je fais payer par CB ya forcément du SSL .
C'est complexe à mettre en place ce certificat ?
C'est l'hébergeur qui le vends c'est ça ?

@+


--------------------
OSC version MS2 fr avec le patch secu de aout 2006
Go to the top of the page
 
Delaballe
posté 18 Apr 2005, 15:37
Message #4


Ceinture noire OSC
Icône de groupe

Groupe : Administrateur
Messages : 2022
Inscrit : 23-January 03
Membre no 765



Si tu as un paiement par CB avec une banque, automatiquement tu auras du SSL au moment des transactions bancaire, pas besoin de t'en préoccuper.

Ce qui répondra aux autres question de ton post ci-dessus.


--------------------
Olivier R.
Go to the top of the page
 
Anthony
posté 18 Apr 2005, 16:18
Message #5


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 402
Inscrit : 15-April 03
Lieu : Luxembourg
Membre no 1068



Si j'ai bien compris le fonctionnement, en fait à chaque fois que tu utilises un prestataire de paiement CB, tu passes obligatoirement en SSL sur leur serveur...

Mais de ton côté, tu n'as pas forcement de ssl à installer.

Le principal est de sécurisé l'espace ou le client rentre ses N° de CB, ce qui se passe en général sur le serveur sécurisé de la banque.
Apres le truc à faire de ton côté, c'est la vérification de l'url envoyée à la banque afin d'être sur qu'elle n'a pas été modifié.

Du moins si j'ai bien compris... blush.gif


--------------------
Anthony
---------
Une pincée de Creload B2B, 2 doigts de jfd et des centaines d'heures de travail...
Et ce n'est toujours pas fini...
Go to the top of the page
 
caviar
posté 18 Apr 2005, 17:29
Message #6


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 98
Inscrit : 15-April 05
Lieu : Le Sud
Membre no 5513



okay ...
donc si j'ai un contrat avec ma banque c'est elle qui aura une page sécurisée en SSL ou moi je devrai juste envoyer ma variable prix en gros ?
donc pas besoin de souscrire un contrat SSL avec l'hébergeur de mon site ?
. . . sauf pour sécuriser les inscriptions de mes nouveaux membres peut être ? mais est ce vraiment dangereux ?

@+


--------------------
OSC version MS2 fr avec le patch secu de aout 2006
Go to the top of the page
 
xaglo
posté 18 Apr 2005, 21:59
Message #7


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



La question a déjà été évoqué plusieurs dizaines de fois mais on ne le répetera jamais assez:
Le SSL ne sert à rien pour 90% des boutiques

ça y est j'ai fait sauter de leur siège la moitié des lecteurs et ils remontent péniblement devant leur écran pour lire la suite biggrin.gif laugh.gif Je m'explique.

Le SSL crypte toutes les données passant dans les tuyaux afin de les rendre illisibles. L'inconvénient de ce codage est qu'il ralenti significativement la navigation et peut même rendre la navigation rédibitoire sur du mutualisé!!! Néanmoins cette sécurisation est INDISPENSABLE pour le paiement par carte. Pour la majorité d'entre nous, c'est la banque ou un prestataire qui s'occupe du paiement et du SSL, donc exit ce problème. Alors, si l'on sous-traite son paiement sécurisé, pourquoi installer le SSL??? Il faut se poser les questions là où elles existent.

- Crois-tu que ta boutique sera suffisament intéressante pour qu'un hacker "écoute" les mots de passe d'un client??? et quand bien même y arriverait-il, que va-til en faire? commander pour lui? voir ce qu'il a commandé?

- L'autre argument qui tue c'est: "ça sécurise le client". Ah bon?? Personnellement, je suis persuadé que 9 de mes clients sur 10 ne savent pas ce qu'est le SSL et, de toutes façons, le dixième restant ne se posera la question que quand le paiement arrive, pour vérifier que le petit cadenas est bien présent dans la page où il saisira son code de carte. Et là, justement, on a tout fait pour sécuriser la transaction et le rassurer en lui annonçant, dès son arrivée sur le site, que le paiement était sécurisé.

Pour résumer, la question à se poser est le jeu en vaut-il la chandelle?? Est-on prêt à payer un certificat de sécurité, prendre un hérgement plus costaud (donc plus cher) capable d'assumer le SSL??

Si notre boutique est dans un domaine où les risques de hack sont importants ou que l'on sait que sa clientèle sera très sensible à ça, alors je dis OUI, et trois fois OUI, il FAUT passer en SSL. A fortriori, si on s'occupe soi-même de la transaction bancaire, sans passer par une banque, avec son propre TPE physique et que l'on collecte le n° de carte!!! Dans ce cas, le SSL est indispensable. Mais je le répète, a mon sens, 90% (voire 99%) des boutiques que chacun développe ici n'a pas besoin du SSL. Beaucoup se donnent énormément de mal pour l'installer inutilement, voire même pénalisent le fonctionnement de leur boutique avec le SSL.

voilà, tout cela n'engage que moi et je le partage wink.gif


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
caviar
posté 19 Apr 2005, 11:12
Message #8


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 98
Inscrit : 15-April 05
Lieu : Le Sud
Membre no 5513



ça c'est de la réponse ...
et j'avoue qu'en ayant parcouru le forum un bon moment j'ai pas trouvé de réponses aussi claire !
mercix
@+


--------------------
OSC version MS2 fr avec le patch secu de aout 2006
Go to the top of the page
 
sidarus
posté 19 Apr 2005, 16:11
Message #9


Ceinture orange+ OSC
Icône de groupe

Groupe : Membres
Messages : 345
Inscrit : 22-October 04
Lieu : Suisse
Membre no 3550



autant pour moi smile.gif


--------------------
[edit modération NO_PUB]
Go to the top of the page
 
pleug
posté 23 Oct 2005, 12:00
Message #10


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 104
Inscrit : 2-October 05
Membre no 7322



Pour ceux qui veulent du ssl, ovh offre un accès ssl à son espace sans supplement de prix.

Seule l'url change pour devenir https://ssl.ovh.net/~client/

j'ai voulu tester la chose et osc passe en mode sécurisé uniquement pour la connexion du client et la procedure de paiement. Pour la selection des produits, cela se fait en http sur votre nom de domaine.

perso, j'ai décidé de ne pas accepter le règlement par CB, mais je crois que je vais laisser le ssl pour que le client puisse voir "le cadenas" car si comme l'a justement souligné Xaglo, la plupart des clients ne savent pas ce qu'est le ssl, beaucoup regardent à voir un cadenas quand ils sont sur la page de validation de commande.

@++


--------------------
MS2 avec contrib product fields
Go to the top of the page
 
xaglo
posté 23 Oct 2005, 19:27
Message #11


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



CITATION(pleug)
car si comme l'a justement souligné Xaglo, la plupart des clients ne savent pas ce qu'est le ssl
attention de ne pas déformer mes propos en les réduisant tongue.gif
CITATION(xaglo)
Personellement, je suis persuadé que 9 de mes clients sur 10 ne savent pas ce qu'est le SSL et de toutes façons le dixième restant ne se posera la question que quand le paiement arrive, pour vérifier que le petit cadenas est bien présent dans la page où il saisira son code de carte. Et là, justement, on a tout fait pour sécuriser la transaction et le rassurer en lui annonçant, dès son arrivée sur le site, que le paiement était sécurisé.


CITATION(pleug)
beaucoup regardent à voir un cadenas quand ils sont sur la page de validation de commande.
je reste persuadé qu'ils ne font attention à ce petit cadenas QUE au moment de laisser leur n° de carte bleue... et encore!!! en tous cas, tout le monde devrait avoir cette attention.

la sécurisation SSL est coûteuse (si si, pas seulement financièrement). Même si ton hébergeur te "l'offre" elle coûtera en temps de connexion et en ralentissement de ton site.

Maintenant, chacun fait comme il sent et tant mieux wink.gif


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
Josh Parker
posté 30 Jan 2006, 17:17
Message #12


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 36
Inscrit : 30-January 06
Lieu : nantes
Membre no 8814



Je voudrais rajouter à ça que l'inquiétude primordiale des internautes plus que les vols de carte c'est la sécurité de leurs informations personnelles.

Si on peut répondre à ça en leur disant que les informations qu'ils saisissent sont cryptées et stockée sur des serveurs cryptés, ça leur fait plaisir, un pas de plus vers le paiement par carte bancaire.
ça dépend des secteurs, comme l'informatique, mais dans les services, ce n'est pas encore si courrant que ça, surtout quand on engage la carte bancaire de la boîte...


--------------------
Celui qui est dans l'enfer permanent ne meure jamais, la longévité y est une dure épreuve. Boudddha
Go to the top of the page
 
bpe33
posté 16 Feb 2006, 21:46
Message #13


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 21
Inscrit : 3-March 05
Membre no 4994




bonjour,

moi je me dit que dans ce bo débat, on ne parle pas du ssl pour l'admin !

car c'est bien les clients, mais je pense que là ou la sécurité y gagnerait c'est pour l'acces a distance du gérant de la boutique :

les hacks sur les adresses clients (mail adress ect)

alors votre avis ???? laugh.gif


--------------------
oscom MS2 + FR + contrib sur mutualisé 90plan
Go to the top of the page
 
xaglo
posté 16 Feb 2006, 22:06
Message #14


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 14914
Inscrit : 22-November 02
Membre no 610



à ce sujet, tout est dit dans la FAQ


CITATION
Notions de base

  • Protéger votre répertoire admin avec htaccess
    Ceux qui veulent en savoir un peu plus sur htaccess et htpasswd, faites un tour sur phpdebutant.org et Le site d'Apache.
    L'idéal reste un accès l'Admin en HTTPS, car le login/passwd htaccess passent en clair a travers le réseau.


--------------------
Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions
Go to the top of the page
 
azuranet
posté 23 Oct 2008, 16:28
Message #15


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 14
Inscrit : 18-April 08
Membre no 21542



Citation (sykaflex @ 4 Oct 2008, 09:48) *
si c'était aussi "sécure" sans SSL qu'avec, je ne vois pas pourquoi tout le monde balancerait ses tunes pour des certifs SSL !!!


Par ignorance surtout.

En effet, depuis les débuts du e-commerce en France, nous assistons à une véritable désinformation sur la question. Les médias ont répandu l'idée que le petit cadenas sur un site était synonyme de sécurité. Les Clients demandent à leur hébergeur un certificat SSL parce qu'ils viennent de voir un reportage à la télé où le principal (et souvent le seul) conseil donné aux téléspectateurs était de s'assurer de la présence de ce cadenas.

C'est absolument faux. Comme tous les informaticiens le savent, la cause numéro 1 de l'insécurité sur Internet sont des failles de sécurité au sein de la programmation du site. Si une faille PHP suffisamment grave est exploitée, ce qui est souvent le cas avec des CMS, la sécurité du site ET de l'internaute sont réduites à néant puisque bien qu'ayant le fameux petit cadenas qui le rassure tant, l'internaute ne se doute pas que le code PHP des pages qu'il charge est compromis et que les informations saisies sont de toute façon capturées par un indésirable espion. C'est donc souvent en pensant à tort que cela sécurise leur site que les Webmasters commandent des certificats SSL sans se poser les bonnes questions.

Le certificat SSL ne protège que l'internaute d'un espionnage entre son équipement de communication et le serveur qui héberge le site, c'est-à-dire un cas plutôt rare, en aucune façon le certificat SSL n'augmente la sécurité du site ni ne protège l'internaute contre une faille de sécurité de ce site, cas pourtant beaucoup plus fréquent !.

Dans le cas d'OsCommerce, je ne vois absolument aucune utilité technique à disposer d'un certificat SSL, à moins que le caddie ne contienne des informations à risque (santé, armement, etc.). Le paiement s'effectuant sur le TPE sécurisé de la banque, il n'y a pas à se soucier des numéros de CB.

Quant à l'utilité marketing, elle reste effectivement à l'appréciation de chacun.
Go to the top of the page
 
shoprun
posté 24 Oct 2008, 13:07
Message #16


2eme dan OSC
Icône de groupe

Groupe : Membres VIP
Messages : 3712
Inscrit : 11-April 07
Lieu : Ile de la Réunion
Membre no 16487



Citation (azuranet @ 23 Oct 2008, 19:28) *
Dans le cas d'OsCommerce, je ne vois absolument aucune utilité technique à disposer d'un certificat SSL, à moins que le caddie ne contienne des informations à risque (santé, armement, etc.). Le paiement s'effectuant sur le TPE sécurisé de la banque, il n'y a pas à se soucier des numéros de CB.

Entièrement d'accord wink.gif

Cependant, je réagit sur ce point -> à moins que le caddie ne contienne des informations à risque (santé, armement, etc.)
Il y aurait il que le caddie qui contiendrait des données sensibles ?
Et les données des clients alors ? -> Nom, prénoms, age, adresses e-mail ... C'est quand même pas rien, non ?
Quand un client crée un compte, ou effectue une modification sur sa fiche, ou encore qu'on lui envoie un mail (genre mailling) les données transit bien du serveur de la boutique jusqu'au poste du client, ou son serveur de messagerie.
Bref, ces informations circulent donc en clairs sur la toile si aucun certificat ne les cryptent.
Faut quand même en être conscient, non ?

Donc tout dépends de la nature des données en question, de l'importance qu'on leur donne, et cela peu déboucher sur l'utilité ou non d'un certificat.
La dessus c'est du cas par cas à mon sens.


Après, si cette désinformation s'accentuent, car il y a désinformation, la dessus on est d'accord, mais si ceci débouche sur une perte de clients parce qu'ils n'ont pas vu le petit cadenas, alors malheureusement cela va faire le jeu des vendeurs de certificats car on sera contraint forcés d'en avoir un mrgreen.gif


--------------------
Nous ne sommes pas un Service Après-Vente ni une Hot-Line !!!, et pas de "UP" et de doublon svp ...
Prenez le temps de lire les informations mises à votre dispositions avant de créer un sujet.
Démarrer du bon pied -> Bien utiliser les forums | Bien poser sa question | Règles d'usage des forums
Prés-Requis -> Les compétences requises pour réussir avec osCommerce
Docs / Infos -> LA FAQ | Rechercher | Contributions | Contribution US
Sujets épinglés -> Manuel d'utilisation MS2 | Structure OsC2.2 MS2 | ms2-fr-rc1-w3c | SSL : une obligation? | Design de la MS2 | Tutoriels CSS | Optimisez les performances de votre boutique | Taux de TVA à appliquer
Utile -> WampServer | EasyPhp | Xampp | Mamp - Ftp -> FileZilla
Apprendre -> siteduzero | alsacreations | apprendre-php | developpez.com
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 21:13
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)