56 replies to this topic

[Fred A]

Bonjour,

Ce post serait il un appel au scandale !

Est il d'éthique qu'une solution open source vouée à être diffusée librement envoie sans accord des informations à une plateforme de vente ?

Je n'ai aucun problème pour que PrestaStore existe, bien au contraire, je suis client, et vais l'être de plus en plus. Il est tout à fait légitime de vendre des améliorations de cette superbe solution qu'est PrestaShop pour subvenir aux besoins du développement.

Voici l'histoire :
Lors d'un test de ma boutique en local sur une machine sans connexion internet, j'effectue un clic sur le lien PrestaStore dans la partie Modules de mon administration. Je m'aperçois que j'ai une grosse erreur PHP (bon normal je n'ai pas internet) mais petit détail : le logo devant "PrestaStore en direct !" n'est plus présent. Je signale ce petit détail étrange a mon développeur, et là SURPRISE !
Il me dit qu'il existe un sniffer/cheval de troie/espion dans la solution open source envoyant des données à PrestaStore...

Je vous invite a ouvrir le fichier /admin/tabs/AdminModules.php et d'admirer la ligne 260 :

'.$this->l('Live from PrestaStore!').'

D'apres ce qu'on m'a dit, la solution envoie votre adresse IP et tous les noms de vos modules (avec leurs numéros de versions) à PrestaStore.

Je trouve ça choquant qu'une solution open source (libre et gratuite) se permette d'envoyer mes données à sa plateforme de vente.
Quel est son intérêt ? S'agit il d'un moyen de repérer les "voleurs" de modules ? Pourquoi ne pas le signaler dès le téléchargement de la solution ?

J'ouvre le débat pour faire découvrir à tous ce que je qualifierai d'abus et connaitre quel est votre position par rapport à tout ça. Peut être que j'exagère et que cet espion est tout à a fait légitime...

[Damien Metzger]

A la base, c'est pour proposer des mises à jour (ce qui n'est pas encore en place).
PrestaStore n'a pas qu'un but commercial, on va y mettre les modules gratuits d'ici peu (le dev est fini, on est en phase de test là). Tu noteras que seuls les noms et versions des modules sont passés, rien de bien folichon.

Par ailleurs, cet outil n'est pas vraiment caché. Tu peux tout à fait le virer si celui-ci te gêne.

[Julien Breux]

Je pense personnellement qu'il y'a erreur sur l'information !

Prestashop ne charge que deux information :

- Une sur l'accueil du panneau d'administration : http://www.prestasho...1.2.5.0&lang=fr

- L'autre lorsque tu clique sur "PrestaStore" : http://www.prestasto...dminmodules.php (via le fichier Ajax.php / prestastore)

Je ne vois pas ou est le problème ?

[Joël Gaujard]

Bonjour à tous,

Je suis le développeur qui a découvert cet appel.

Je ne suis pas du tout d'accord avec toi Julien.
PrestaShop charge bien 2 informations qui sont vraiment a but informatif donc aucun souci. Mais quand il s'agit d'envoyer des informations a une plateforme externe je trouve ça bien différents.
C'est exactement la que se pose le problème !

[Julien Breux]

Ha ouai, effectivement, je n'avais pas vu !

Je ne trouve pas ça très honnête !

[skieur]

En effet un sniffer comme ça c'est vraiment pas honnête.



A mon avis il faut revoir la copie. Je pense que ça risque de faire vite un Buzz.

[Julien Breux]

From 1258314111:

En effet un sniffer comme ça c'est vraiment pas honnête.
A mon avis il faut revoir la copie. Je pense que ça risque de faire vite un Buzz.

Je pense que ça va effectivement déjà commencer à faire buzzzz

[Orishas]

Perso, je ne suis pas dév mais j'avais viré cette ligne depuis longtemps, car elle me gênait, je ne voulais pas que des admin ou autres employés voient le lien et cliquent pour installer des modules de prestastore.

Mais évidemment, je n'avais aucune idée de ce que cela pouvait envoyer ou non chez PS.

Il suffit de virer puis c'est tout non? Le jour ou on veut un module, il suffit d'aller sur le site prestastore si besoin est.

A moins que j'ai pas compris ce topic? 8-/

Possible car je suis dans le gaz, des semaines et des mois sans dormir (quand un bébé s'y met...) ca ramoli le cerveau

[Julien Breux]

Le principe est simplement de proposer lors de l'installation...
Mais pas le faire "dans le dos"...
Si faut être dev pour le voir... dommage !

[Joël Gaujard]

Merci pour vos réactions.

Je suis étonné d'etre le seul à avoir trouvé ce script. Je me permets de demander a tout le monde de scruter le code de PrestaShop pour voir s'il n'existe pas d'autre endroit ou des infos de nos sites sont envoyés a des fins commerciales.

Malgré l'historique que j'ai avec la société PrestaShop (j'y ai tout de meme travaillé pendant près d'un an), je trouve ça scandaleux et malhonnete de leur part.

La vision de Damien sur la question (etre prevenu lors de MAJ) a vraiment des fins utiles mais ce script devait etre interne au module et non pas etre intégré a une solution open source.

Je suis tres deçu de tomber sur un script caché par une image.

Alors Mr Metzger comment allez vous procéder ? Et M. Leveque quel est votre position sur la question ?

[Julien Breux]

From 1258316423:

M. Leveque quel est votre position sur la question ?

Mouai, Bruno, lit-tu encore les forums :(

[Kreasite]

Info très intéressante.
Si tel est le cas, quels genres d'infos sont envoyées ?

[Julien Breux]

Des infos à faible importance... mais c'est pour le principe.
Exemple : http://www.prestasto...ds=bankwire+0.4
birthdaypresent+1
blockadvertising+0.1
blockbestsellers+1.1
blockcart+1.2
blockcategories+1
blockcurrencies+0.1
blockinfos+1.1
blocklanguages+0.1
blocklink+1.4
blockmanufacturer+1
blockmyaccount+1.2
blocknewproducts+0.9
blocknewsletter+1.4
blockpaymentlogo+0.1
blockpermanentlinks+0.1
blockrss+1.0
blocksearch+1
blockspecials+0.8
blocksupplier+1
blocktags+1
blockuserinfo+0.1
blockvariouslinks+0.1
blockviewed+0.9
blockwishlist+0.2
canonicalurl+1.3
cashondelivery+0.3
cheque+2.2
editorial+1.5
feeder+0.2
followup+1.0
gadsense+1.1
ganalytics+1.2
gcheckout+1
graphartichow+1
graphgooglechart+1
graphvisifire+1
graphxmlswfcharts+1
gridextjs+1
gsitemap+1.4
homefeatured+0.9
loyalty+1.6
mailalerts+2.2
newsletter+2
pagesnotfound+1
paypal+1.6
paypalapi+1.0
productcomments+0.2
productscategory+1.2.1
referralprogram+1.4
sekeywords+1
sendtoafriend+1.1
statsbestcategories+1
statsbestcustomers+1
statsbestproducts+1
statsbestsuppliers+1
statsbestvouchers+1
statscarrier+1
statscatalog+1
statsdata+1
statsequipment+1
statsgeolocation+1
statshome+1
statslive+1
statsnewsletter+1
statsorigin+1
statspersonalinfos+1
statsproduct+1
statsregistrations+1
statssales+1
statssearch+1
statsvisits+1
tm4b+1.1
trackingfront+1
watermark+0.1

[Joël Gaujard]

C'est exactement ça : l'adresse IP + une liste concaténe de tous les modules avec leur numéros de version.
Dans le principe, il faut l'autorisation du propriétaire de la boutique pour envoyer de tel données ou qu'on puisse le faire de façon anonyme (sans l'adresse IP).
Je me sens surveiller. Encore plus que le fait Microsoft...

[mandrake]

Bonjour,

Je viens effectivement de recevoir un buzz sur ce topic d'un ami webmasteur.
J'avoue que je n'apprècie pas du tout non plus et pourtant dieu sait si j'aime Prestashop.
Je me souviens d'un certain logiciel qui avait essuyé les pots cassés à cause d'un truc dans le même genre.
On peut avoir une manip ou un patch afin de virer sans soucis ce sniffer ?

[Joël Gaujard]

Pour virer le sniffer il suffit d'editer le fichier /admin/tabs/AdminModules.php a la ligne 260 (je me base sur la version 1.2.5):

'.$this->l('Live from PrestaStore!').'

à remplacer par

'.$this->l('Live from PrestaStore!').'

[mandrake]

Merci Joël,

C'est sympa!

Je m'en vais supprimer ce 007 de suite!

Bonne journée,

Cordialement,

Mandrake.

[Yoya]

Merci de l'info.

Pierre /mode 'nocomment'.