Jump to content

Sécurité?


inkacola

Recommended Posts

Bonjour,
je viens d'installer votre outil, aidé d'un administrateur serveur et celui ci m'a fait quelques commentaires peu rassurants concernant les "trous" de sécurité que vous demandé pour installer l'appli...par exemple le register global a on est quelque chose qui ne se fait jamais, les droits d'écriture sur nombre de dossiers sont trop permissifs (il a fallu faire un chmod 777 -R pour que l'install fonctionne)...exemple sur votre serveur:

http://www.fuechter.net/prestashop/img/c/?C=S;O=D
http://www.robbiejobbie.co.uk/prestashop/img/
http://www.e-custodia.com/prestashop/img/

le résultat donne que votre démo (qui devrait se re-créer toutes les 2 heures???) ne fonctionne pas depuis plusieurs jours..:

http://www.prestashop.com/demo/1-ipod-nano.html

avec un "Hack attempt" à la place du produit.

bref...comment sécuriser votre appli pour éviter ce qui vous arrive, je n'ai rien vu dans les wiki, forums, etc...

D'avance merci pour votre réponse

Link to comment
Share on other sites

I dont know french, but the solution is easy

just add empty file index.html in this folders

in CMS Joomla! they put index.html with this code:
<html><body bgcolor="#FFFFFF"></body></html>

and when somebody try to index (see) the folder from browser they see only white cart

Link to comment
Share on other sites

Hi all,

The problem is not the directory browsing ... it can be disable in apache directly ... the problem is the installer (it says that register global must be set on !! and / must be writable for apache which is actually well kown as really dirty)...
Is there a way, or a FAQ somewhere to secure a bit those stuffs ?
Thx a lot

Link to comment
Share on other sites

Bonjour,

1. Justement nous DECONSEILLONS d'activer le register global, c'est effectivement une TRES mauvaise idée

2. Le type de CHMOD à effectuer dépend du serveur de l'utilisateur, certains fonctionneront par exemple en 700 d'autres pas ;)

3. Pour le directory listing la solution contient des fichiers d'index depuis la v1.0, pouvez-vous vérifier sur la RC4 ?

4. La démo sera fonctionnelle sous RC4 d'ici peu :) et avec un renouvellement effectif toutes les 2h

Cordialement,

Link to comment
Share on other sites

Register global à ON ?

Tu dois te tromper... Ou alors ton administrateur serveur à un peu du mal... Tous les sites que j'ai qui utilisent PrestaShop sont en register_global OFF.

En plus, concernant les problèmes qui apparaissent sur la démo du site, il est normal que l'on retrouve des trucs bizarres étant donné le fait que tout le monde à accès au BackOffice et peut ajouter ce qu'il veut, et faire ce qu'il veut...

Concernant les droits sur les dossiers, il ne faut surtout pas faire un CHMOD 777 * -R ... Je n'ai aucuns problème avec mes dossiers de base! J'ai du faire un CHMOD 755 sur un des dossiers, c'est tout.

Alors soit ton administrateur de serveur à un peu de mal (sans vouloir être méchant), soit c'est ton serveur qui est super mal configuré. Mais dans tous les cas, PrestaShop n'a pas les "failles" de sécurité que tu annonces.

Link to comment
Share on other sites

Pierre-Yves ...
L'admin systeme qui a du mal c'est moi en fait ...
et je te le confirme j'ai effectivement du mal ! je viens de retester une install et j'avais effectivement mal lu !
L'option PHP "register global" est désactivée (recommandé) cela me semblait aberrant aussi
Cela me rassure grandement quant à la qualité de l'appli que je n'ai pas eu le temps de regarder encore...
Une chose me froisse encore cependant : les droits en ecriture d'apache sur la racine du site mais je constate en relisant attentivement que c'est optionnel donc ok
La prochaine fois j'irais un peu moins vite lol

Link to comment
Share on other sites

Bonjour à tous,
Je viens de découvrir votre appli e-commerce.
Installation sans souci, premier test : inscription client, commande et send-receive mail ok du premier coup (très rare... ;-)

mon url test:
http://jpl-prestashop-demo.mine.nu

Super travail
Je vais vous suivre.
à bientôt,

Jean-Pierre Lorge

Hello every boddy,
I have just discovered your appli E-commerce.
Installation without problem, first test: inscription customer, order and send-receive email ok at the first time (very rare… ; -)

My test site:
http://jpl-prestashop-demo.mine.nu

Super work
I will follow you.
so long,
Jean-Pierre Lorge

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...