Sécurité des produits dématérialisés ?

[Pierref]

Bonjour à tous,
Je suis en train de concevoir une boutique sur 1.6.06 avec des produits dématérialisés sous la forme de documents pdf.
Prestashop inscrit les fichiers uploadé dans le répertoire download et remplace le nom d’origine du fichier par une chaine de caractères sans extension de fichier.
Ma question est double :
1)    Si j’accède au répertoire download et que je renomme les fichiers en ajoutant l’extension .pdf ceux-ci sont lisibles dans un lecteur pdf. Est-ce qu’il y a un risque que quelqu’un, ou un robot, accède aisément au répertoire download et récupère ainsi tous les fichiers ?
2)    Est-ce qu’il y a un moyen ou une fonction qui permettent d’uploadé les produits dématérialisés sur un autre serveur ?
Merci pour vos conseils

[Druplay.Me]

1) Pour éviter l'accès à vos pdf, Il est possible d'ajouter dans le dossier download un fichier .htaccess  en ajoutant des lignes de type :

Deny from all

 

Ensuite il faut tester ou faire une recherche google, mais je pense que c'est une piste

 

2) Prestashop ne supporte pas des liens externes pour les produits téléchargeables, il n'est pas possible de stocker les fichiers sur un autre serveur  (Amazon S3, Rackspace). Les fonctionnalités de Prestashop sont assez limitées pour ce type de produit

Edited May 10, 2014 by Druplay.Me (see edit history)

[Pierref]

Bonjour,
Merci beaucoup pour ces informations qui suggèrent des pistes.
En attendant peut être un jour un module qui permette de rediriger les liens des produits numériques ailleurs, comment faire pour renommer le répertoire « download » ? Je ne suis pas développeur mais j’imagine que la constante « download » doit être inscrite en dur quelque part dans le code source.  Est il envisageable de la modifier facilement et où ?
Je ne veux pas tomber dans un excès de parano mais à mon avis le nom de ce répertoire est aussi sensible que celui d’admin pour qui veut vendre des produits numériques. Avoir la possibilité de le renommer ajouterai peut-être une petite couche de sécurité en plus.
 

[J. Danse]

Il est éventuellement possible de le modifier, en dur, dans /config/defines.inc.php:

define('_PS_DOWNLOAD_DIR_',          _PS_ROOT_DIR_.'/download/');

;-)

[Pierref]

Merci ! Je vais tester. J'imagine que la manip est à faire à chaque mise à jour de Prestashop ?

[Druplay.Me]

Il y a aussi la possiblilité de modifier les permissions du dossier Download.

Modification des droits + un fichier .htaccess + un nofollow du dossier download dans le robots.txt, je pense que c'est suffisant.

 

Personnellement, pour un site de produits téléchargeables, j'utiliserai Magento qui gére très bien les liens externes.

 

Prestashop, c'est que pour des produits physiques.

[Pierref]

La solution de J.Danse marche au poil. Associée aux conseils de Druplay.me reste plus qu’à cogiter et arbitrer. Le htaccess existe déjà dans le repertoire download, avec un index.php, j’ai donc copier/coller ces deux fichiers dans le nouveau répertoire.

 

Magento, non. J’ai testé et tout ce que lis en terme d’allocations de ressources c’est € ++.  Et ici la communauté est sympa et réactive. Cela fait 4 ans que je lorgne sur Prestashop pour remplacer une solution avec laquelle je travaille depuis 15 ans (avec les maj !). La 1.6 marque vraiment la différence avec ce que j’avais et le projet est lancé.

 

Maintenant concernant ce topic particulier est-il concevable et orthodoxe de mettre une url externe  sur _PS_ROOT_DIR_.'/download/') ?

[J. Danse]

Je sais que l'on m'a demandé pour bosser sur un modules proposant un service tiers pour délocalisé les produits dématérialisés. Je n'ai malheureusement pas eu le loisir de pouvoir le caler dans mon planning et je ne sais donc pas ce qu'il en est, à ce propos, mais les produits dématérialisés étant mon petit point d'affection au sein de PrestaShop, je pourrais éventuellement voir ce qui existe et ce que l'on pourrait mettre en place, peut-être...