PrestaShop v.1.3.1 : Mise à jour de sécurité importante

[liandri]

Bonjour,

Je viens d'effectuer ce patch depuis une 1.3 de la semaine dernière.

Sauf erreur de ma part, le patch indique de changer dans :

Fichier : /classes/Cookie.php
Où : ligne 164
Remplacer la fonction isLoggedBack() par cette fonction :

function isLoggedBack()
{
/* Employee is valid only if it can be load and if cookie password is the same as database one */
if ($this->id_employee AND Validate::isUnsignedId($this->id_employee) AND Employee::checkPassword(intval($this->id_employee), $this->passwd))
return true;
return false;
}

Le problème est que la fonction isLoggedBack() existe déjà tel que !

Est-ce normal ? où est-ce qu'un oublie s'est glissé dans le patch pour cette classe Cookie.php ?

Bien cordialement

[Rémi Gaillard]

Bonsoir Liandri,

Effectivement, il s'agit d'une petite coquille de notre part sur le blog, nous allons de ce pas corriger cela.
Il fallais lire :

    
function isLoggedBack()
{
       /* Employee is valid only if it can be load and if cookie password is the same as database one */
        if ($this->id_employee AND Validate::isUnsignedId($this->id_employee) AND Employee::checkPassword(intval($this->id_employee), $this->passwd) AND (!isset($this->_content['remote_addr']) OR $this->_content['remote_addr'] == ip2long($_SERVER['REMOTE_ADDR'])))
           return true;
       return false;
}

[liandri]

Merci pour la réactivité !

[Rémi Gaillard]

A noter que ce patch concernant le Cookie n'est pas la pour corriger une faille de sécurité, mais pour ajouter une protection supplémentaire afin d'éviter tout vol de Cookie.
En effet, même si une personne mal intentionné arrivait à voler les Cookies stockés sur votre ordinateur et tentait de les réutiliser chez lui; il serait automatiquement déconnecté du BO