Upload d'un nouveau OsCommerce Options

[Bobo_la_belette]

Bonjour a tous,

Je recherche depuis plusieurs heures sur le forum et la FAQ, mais je n'ai rien trouve concernant mon probleme.
En fait, je suis en stage dans une boite, et ils avaient une boutique osCommerce avec une ancienne version.
Ils voulaient mettre a jour la boutique refaire le design et tout et par la meme occasion se mettre a jour dans les versions d'osCommerce...
J'ai donc tout fait en local, tout marche tres bien...

Mon boss avait juste une question a laquelle je ne savais pas repondre car pas tres specialise en SSL:
En fait l'ancienne boutique est deja securise avec un certificat SSL, et je voulais donc savoir, si en uploadant la nouvelle boutique, y'avait besoin de remettre un nouveau certificat ou ce sera ok?? (C exactement la meme adresse et le meme serveur...)

Merci a tous pour vos reponses!!!

[FoxP2]

un certificat est lié avec le domaine.
par contre, il te faut voir avec l'administrateur du serveur pour savoir quel(s) dossier(s)/fichier(s) sont protégés et la méthode.
Cela doit être au minimum (login/account) et processus de commande. Il ne faut jamais oublié que le cryptage des données transitant entre le client et le serveur coutent en ressources, et que son intérêt est plutôt mineur.(qui va se donner la peine de sniffer le flux transitant entre le site et le client ?)
Autant je trouve que les connections SSL sur un serveur MySql ouvert sur l'extérieur indispensable, sur un site e-commerce ça reste à prouver.(je ne parle pas des transactions financières, où le SSL est assuré par les organismes bancaires)

[Gnidhal]

+1 avec FoxP2

[Bobo_la_belette]

Tres bien, merci beaucoup!!!

Et le certificat n'est que pour certaines pages comme tu l'as dit:login/account et commande...

Il y a justement un truc qui me questionne,
Si le certificat est lie a certaine page uniquement, alors lorsque je vais uploader la nouvelle boutique, faut que les pages que je veux proteger ait le meme nom, non? Je dis peut etre une enorme connerie mais je connais vraiment pas le SSL et donc sinon je vois pas comment il va recconaitre les bonnes pages a protege...

Merci a vous deux!!

[audioshop]

Salut,
Les pages oscommerce sont toujours les mêmes tu n'a pas d'inquiétude a avoir de ce coté là.

De toutes façon pour le SSL il faut juste configurer deux lignes dans le fichier includes/configure.php après oscommerce gère le reste.

D'ailleurs je ne vois pas comment vous voulez faire pour ne protéger que la connexion et le processus de commande sur le front office, il faut indiqué dans le fichier configure.php si on active ou non le SSL ensuite il faut configurer l'adresse e https mais soit on mais tout en SSL soit on ne met rien ou alors il faut modifier en dur tout les liens du processus de commande et ceux qui mène à la page login.



@++

Ce message a été modifié par audioshop - 29 Jul 2010, 10:57.

[FoxP2]

soit on mais tout en SSL soit on ne met rien

certainement pas. Seules les pages sensibles doivent passer par ce protocole. Celles citées par Bobo_la_belette sont suffisantes.

pour répondre à Bobo_la_belette :
Je ne connais que les techniques pour MySql et IIS.
Pour Linux, je n'ai pas encore testé. Je peux regarder ça ce week-end sur un des mes vps et te faire un topo. Par contre, normalement, ce n'est pas le taf d'un dev. La sécurité après déploiement du site est du ressort de l'administrateur du serveur.

heu, ça serait pas mal que tu restes sur le même sujet, je n'ai pas l'intention de te courir après.

Ce message a été modifié par FoxP2 - 29 Jul 2010, 12:33.

[audioshop]

Merci pour ta réponse FoxP2, peut-tu dévelloper s'il te plais c'est pour ma culture personnel, parce que moi dans les fichier configure je ne vois que 2 lignes a configurer dans les fichiers configure.ph

Il faut activer le SSL dans chaque fichier en paramétrant la define sur true,
ensuite indiquer la define HTTPS_SERVER avec https://

Mais ensuite au niveaux des lien comment tu fais? tout les liens de la boutique vont te renvoyer en http:// si tu as configurer la define HTTP_SERVER correctement c'est à dire sans le "s" ?
Donc il faut bien reprendre tout les liens que tu souhaite avoir en SSL pour qu'il soit bien rdirigé comme tel?



Merci

[Bobo_la_belette]

Merci encore pour ta reponse FoxP2.
Et j'ai change de sujet car c'etait un autre probleme...
En fait g uploade la boutique, et certaines pages ne marche plus et m'affichent une page blanche 5
(mon compte ou quand je clique sur add to cart)
Et je ne vois vraiment pas d'ou ca peut venir donc si tu as une idee merci!!!(g reconfigure les 2 configure...)
Merci!!!

[audioshop]

Ok j'ai capté en faisant un tour dans application_top.php

Code

// set the type of request (secure or not)
  $request_type = (getenv('HTTPS') == 'on') ? 'SSL' : 'NONSSL';

// set php_self in the local scope
  if (!isset($PHP_SELF)) $PHP_SELF = $HTTP_SERVER_VARS['PHP_SELF'];

  if ($request_type == 'NONSSL') {
    define('DIR_WS_CATALOG', DIR_WS_HTTP_CATALOG);
  } else {
    define('DIR_WS_CATALOG', DIR_WS_HTTPS_CATALOG);
  }

[FoxP2]

oui, audioshop, il suffit de regarder au bon endroit
en allant sur ma trop belle boutique , tu te rendras compte que les pages citées sont protégés en SSL.
d'ailleurs, tu vas te prendre un warning par ton navigateur car je suis ma propre autorité de certification(à l'instar de Verisign).
Question sécurité (j'entends par la Autorité de Certification), ça vaut pas un clou, par contre, le certificat émis par mon domaine cryptera (AES-128) bien les flux entre ton pc et mon serveur.(car mon serveur héberge la clé privée et toi en acceptant le certificat aura la clé publique).
De plus, pour compliquer un peu les choses, tu n'as accès qu'à un répertoire virtuel.

[Bobo_la_belette]

Es ce que vous pensez que le probleme peut venir du fait que mon logiciel FTP ne transfere pas vraiment en binaire...
(J'utilise Filezilla je pensais que c'etait bien mais ca se trouve c de la que vient le probleme)
Si quelqu'un a un bon logiciel a me proposer...

[FoxP2]

bon, dis donc bobo, qu'est ce que tu viens nous embéter avec tes questions de débutant sur ton sujet qui traite de SSL ... va donc voir à la faq si j'y suis pas.
ps: la page blanche est un blocage d'écrivain, ici, nous traitons que des problèmes d'informatique.

[Bobo_la_belette]

Bon merci pour votre aide, j'ai reussi a le faire marcher, en fait j'avais mis en tableless et bizarement en remettant les tableaux ca marche (g tjs pas compris pourquoi...)
Bref Merci pour votre aide!!!

[FoxP2]

tiens, bah justement, un article intéressant est tombé aujourd'hui sur developpez.net :
La majorité des sites n'utilise pas correctement SSL
Tu peux tester la qualité du certificat du site pour lequel tu développes :
Test Your SSL Server Now!
Suivant les résultats obtenus, tu pourras alerter l'administrateur (si toutefois y'en a un dans ta boite )
J'ai testé le mien ...
Évidement, sur le certificat, j'ai un zéro pointé vu que c'est un certificat auto signé, pour le reste (obtention du 100%), faut que je vois la configuration SSL de mon serveur IIS (fait dans la base de registre, mais la liste des protocoles restent à éditer avec openssl) et passé ma clé en 2048bit.
Question sécurité, ce site est pas mal aussi : http://www.serversniff.net/content.php?do=ssl

Pour conclure, au delà de l'utilité du SSL avec oscommerce, un cryptage insuffisant, des protocoles obsolètes et des paramétrages douteux peuvent laisser des trous béants de sécurité malgré l'affichage du petit cadenas dans le navigateur du client. Le cryptage ne sécurise que le transport des données, mais en aucun votre site.