J'avais envie d'en parler avec vous car ça me choque.
Est-ce moi qui est un doux naïf voir parano où les devs de Prestashop qui sont de vrai enfoirés? J'hésite.
Donc en gros lors de l'installation du CMS Prestashop, ce dernier exfiltre des informations vers les serveurs centraux de Prestashop. (sans rien demander hein, on parle pas du gentil encarts pour récolter des infos anonymisées comme sur les autres CMS)
Pire, pour pouvoir installer des modules (sous licence libre, je parle pas de ces m…. ultra chers et sous licence proprio pour rajouter des fonctionnalités qui devraient être implémentées (genre piwik)) vous devez vous inscrire sur la boutique Prestashop et connecter le panneau d'administration de votre boutique (sur votre serveur) au "marketplace prestashop" via une adresse mail et un password.
Et hier je me suis rendu compte qu'en plus de tout ça, on subis des scans (voir screenshot de mon piwik) alors qu'aucun lien vers le site n'est posté sur le net. Ces scans sont journaliers (2 requêtes vers la racine de la boutique, chaque jours entre 1h45 du matin et 1h55 du matin exactement)
# Pas anormal
Posté par Yann LD . Évalué à 8.
Prestashop est un logiciel libre .. Donc tu peux déjà te faire ton patch pour désactiver ce comportement !
Je ne considère pas anormal, que, pour faire vivre la société qui développe ce logiel libre, il soit proposé des ventes de modules.
Et je trouve que le prix de ces modules est plutôt modeste, car l'e-commerce c'est avant tout du commerce, donc des gains d'argent potentiels !
[^] # Re: Pas anormal
Posté par EauFroide . Évalué à 0. Dernière modification le 24 janvier 2017 à 13:15.
Je ne leur reproche pas de vendre des modules mais d'ex filtrer des données, d'obliger a connecter sa boutique en ligne a leur market via un account et le coups des scans.
En gros la vie privè pour eux ca n'existe pas.
Pour le coups le ecommerce = payer, je pense qu'il y a des limites. Par exemple le module pour integrer piwik est a plus de trente balle (alors que c'est un truc ultra simple et que je parie que leur sonde n'est meme pas compatible cross canal (lan, wan, tor)).
En plus des modules proprio, voila quoi… (Je prefere le systeme de bounty*1 d'autres cms)
*1 un site ou tu fais une annonce genre "j'ai besoin de telle fonctionnalité je met 50, 100, 200 euro" et le premier qui la code empoche le bounty et la fonctionnalité reste libre
Ca casserait les mises a jours donc ce serait plus un fork complet. Apprendre thelia2 prendrait moins de temps je pense.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Pas anormal
Posté par Nicolas F. (site web personnel) . Évalué à 1.
L'override, tu connais ?
[^] # Re: Pas anormal
Posté par EauFroide . Évalué à 0.
Non je ne connais pas (je ne suis, hélas, pas omniscient ^ ^ ). C'est quoi?
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Pas anormal
Posté par Nicolas F. (site web personnel) . Évalué à 2.
Sans être omniscient, c'est la base du dev au départ de CMS, surtout avec Prestahop… (À mon avis, laisse tomber tout de suite, ou forme-toi ! :) )
En gros, tu ne touches pas au core, ce qui permet les mises à jour.
À côté (override), tu dévies certaines fonctions (soit en les complétant, soit en les remplaçant) afin de satisfaire ton besoin opérationnel.
Lorsque tu fais les mises à jour du CMS, tu affectes seulement le core (que tu n'as donc pas modifié) sans affecter tes propres overrides (qui se substituent ou complètent le core).
Bien-sûr, ça nécessite de maîtriser parfaitement le fonctionnement du core et de ses mises à jour, ainsi que de tes overrides.
[^] # Re: Pas anormal
Posté par EauFroide . Évalué à -1. Dernière modification le 25 janvier 2017 à 16:26.
Merci pour ton explication @Nicolas_F.
Mais pour ton override, il faut quand même placer un appel au script externe dans au moins une des pages du core non? (genre pour php ajouter un include/require)
Donc lorsqu'on update, quid de ces appels? (phpBB par exemple va fusionner les modifications des anciens fichiers avec les nouveaux ou remplacer les anciens par les nouveaux suivants notre choix).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Pas anormal
Posté par NeoX . Évalué à 4.
non, l'appel à l'override est generalement deja prevu par le concepteur du CMS,
comme pour les fichiers de configuration de linux ou le logiciel va prendre les fichiers dans un certain ordre
- le fichier de config par defaut (/usr/share/logiciel/config)
- surcharger avec les modifs de la machine (/etc/logiciel/config)
- surcharger avec les modifs de l'utilisateur (/home/touser/.logiciel.config)
et pour les CMS que je connais, j'imagine que c'est pareil pour prestashop,
le moteur cherche une arborescence similaire à la sienne dans le sous dossier /override
tu y places alors tes modifications,
pour le index.php à la racine du site,
ton fichier à toi sera dans /override/index.php
et le moteur va l'ajouter en lieu et place du fichier d'origine
et ainsi de suite.
donc tu prends le fichier d'origine, tu le modifies et tu le colle dans le /override
pour "remplacer" celui du moteur.
si ce que tu as fais ne fonctionne pas,
tu supprimes le fichier de l'override, et hop, le cms refonctionne, car tu n'as pas toucher au moteur de base.
[^] # Re: Pas anormal
Posté par EauFroide . Évalué à 0.
Merci @NeoX. Tu es un vrai puits d'informations :)
J'avais déjà vu ce genre de procédure sur gnu/linux (avec SSH par exemple) mais je ne savais pas que des CMS pouvaient aussi l'appliquer c'est très pratique.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Pas anormal
Posté par NeoX . Évalué à 3.
attention, je ne dis pas que prestashop le gere,
il faut aller verifier dans les documentations de prestashop.
juste que c'est assez courant dans les projets "libres" de permettre ce genre de modification.
1°) c'est plus perenne pour le projet qui ne touche qu'au coeur
2°) c'est plus souple pour l'utilisateur qui n'a alors pas peur de mettre à jour son coeur, meme s'il doit corriger quelques pages dans l'override pour que cela refonctionne ensuite.
[^] # Re: Pas anormal
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 2.
30 balles ? Tu parles de faire du ecommerce et 30€ ça te bloque ? Je suis curieux de voir ton business plan.
Si c'est simple, je comprends pas pourquoi tu t'emm… à regarder les plugins au lieu de le faire toi-même.
Tu parles de faire du commerce… C'est du business.. Aucun pro ne développe sérieusement des fonctionnalités pour 50€.
Je suis curieux de savoir quel est ton métier et combien tu gagnes de l'heure.
[^] # Re: Pas anormal
Posté par Sufflope (site web personnel) . Évalué à 2.
Oui ça serait intéressant de savoir quel business model fonctionne pour faire tourner un ecommerce, sauf s'il faut payer 30 balles.
Si j'en crois le prix d'un steak autour de chez moi ça doit pas être en France en tout cas qu'on peut vivre ou non à 30€ près.
[^] # Re: Pas anormal
Posté par EauFroide . Évalué à -1. Dernière modification le 24 janvier 2017 à 22:33.
Zéro, je n'ai pas d'emploi. La je dépanne juste quelqu'un ;)
Je donnais un exemple sur l’abbération du prix, plus tôt que de payer 39 euros j'ai bêtement exporté les logs. Le côté dommage c'est que ça ne respecte pas Do Not Track mais je pondrais probablement un tuto sur comment insérer la sonde javascript sois même.
On parle juste de quelques lignes de code fournies par piwik (pas besoin de les coder sauf si on veut bidouiller (multicanal par exemple)) à insérer "proprement" dans toutes les templates.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Pas anormal
Posté par Nicolas F. (site web personnel) . Évalué à 1.
Pourquoi le code de suivi Piwik devrait-il être intégré "par défaut" dans tous les templates ?
Même si c'est une solution libre (et c'est un point positif), c'est une solution parmi tant d'autres, avec ses avantages et ses inconvénients. Elle résulte donc d'un choix, qui peut être différent pour chaque site.
[^] # Re: Pas anormal
Posté par EauFroide . Évalué à 0.
Je parle de la simplicité de la mise en place, à aucun moment je ne conseil d'inclure piwik dans un CMS (se qui serait idiot, comme tu l'énonces, il y a des alternatives libre ou non).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Pas anormal
Posté par Sufflope (site web personnel) . Évalué à 3.
Ça change pas la question, ça ne fait que la décaler. Si ton contact n'est pas prêt à dépenser 30€ pour son business c'est qu'il n'y croit pas beaucoup.
Bon au moins tu reconnais n'avoir absolument pas remplacé ce plugin fonctionnellement, et à ton avis la mise en conformité avec DNT et l'écriture d'un tutoriel complet sur comment contourner ce plugin à 39€, ça prendra combien de temps ? À multiplier avec le taux horaire du SMIC. Les compétences pour appliquer ce tuto (et suivre les màj) par rapport à acheter le plugin 39€, quel coût ?
Ah oui le fameux fantasme des SSII françaises, que le boulot de développeur se mesure en tout et pour tout en SLOC.
"Si on est dans le cas simple c'est simple" OK.
Si c'est si facile pourquoi mettre des guillemets et râler ?
[^] # Re: Pas anormal
Posté par EauFroide . Évalué à 0.
J'ai pris piwik comme exemple car il est ultra simple à intégrer (sauf la partie qui permet d'exporter les gains par utilisateurs je le conçois).
Mais en réalité je pensais à d'autres modules beaucoup plus chers (genre 249€ le module de payement).
Si prestashop permet l'overide (je remercie encore @NeoX pour son explication), alors ça va se résumer a un copier-coller dans une copie du template gérant le footer. Par contre la configuration ne se fera pas via un formulaire dans l'admin de Prestashop mais directement dans le copié collé ^ ^
Mais j'extrapole, j'essayerai prochainement et on verra bien :) (j'aimerais vraiment terminer certains tuto en cours avant*1 )
Pour Do Not Track, c'est la sonde qui gère toute seule il n'y a rien de spécial à faire.
*1 si vous voulez participez à leur finalisation, vous êtes les bienvenus :) :
MySQL Cluster sur ubuntu/debian et idem sur raspberry pi
Metasploit & Armitage Multiplayer
[Bash] Plage horraire
Mauvaise foi de ma part sans doute ^ ^
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# Ya pas que Prestashop
Posté par GG (site web personnel) . Évalué à 4.
Il y a plein d'autres solutions:
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Ya pas que Prestashop
Posté par EauFroide . Évalué à 3. Dernière modification le 24 janvier 2017 à 15:39.
il y a aussi :
Magento (même principe/philosophie que prestashop)
Drupal + plugin commerce
WordPress + plugin commerce
Sylius
Zen Cart
Pour Thelia, la version 2 à l'air tout simplement géniale (je l'ai testé (tuto install, tuto config) mais trop complexe et peu de doc en français (pour la V2 tout du moins).
ah, celui la je ne le connaissais pas merci de l'infos :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Ya pas que Prestashop
Posté par NeoX . Évalué à 3.
de meme qu'il y a Odoo (ex OpenERP)
ah mais non, ca ne va pas te plaire, il faut creer un compte chez eux, pour te connecter au store pour installer certaines applis
# .
Posté par Sufflope (site web personnel) . Évalué à 2.
Et y a quoi à voir ? Parce qu'à part que tu balances des IP (considérées comme donnée privée non ?) comme ça en clair sur le ternet, que tu as collectées tranquillement depuis un site commercial, le problème est pas forcément flagrant.
En plus si ce sont vraiment des scans, euh ouais et ? Sur mon serveur qui n'a aucun CMS installé j'ai des appels à des URL wordpress/osmachin aussi, du coup c'est de la faute du méchant éditeur de CMS aussi ?
[^] # Re: .
Posté par EauFroide . Évalué à 0.
Se sont des IP de prestashop (d'après ce lien).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Visites sur ton site
Posté par Nicolas F. (site web personnel) . Évalué à 1.
Eh, au fait, ton site est sur Internet ? Donc sur la voie publique ?
Et tu trouves ça bizarre qu'il soit accédé depuis d'autres adresses IP que la tienne, y compris la nuit ?
Si tu ne souhaites pas que l'on accède à ton site, il suffit d'y interdire l'accès, non ?
[^] # Re: Visites sur ton site
Posté par EauFroide . Évalué à 2.
C'est sujet a débat car internet est un enchevêtrement de réseau privé. (ce débat mériterait un thread)
Je penses que tu n'as pas compris. Je me fiche que des IP accèdent à l'URL (c'est le but d'un site en accès publique). Je suis choqué de voir des scans journalier venant de l'éditeur du CMS. Aucun des autres CMS que j'ai pu tester jusqu'ici (un sacré paquet, je teste toujours plusieurs alternatives avant de me fixer) ne commet ce genre d'intrusion.
Et en passant je suis aussi choqué que des données soit exfiltrées lors de l'installation (voir même après, faudrait zieuter le code) sans rien demander à l'utilisateur.
Oui je vais passer par IP table comme cité dans le lien que j'ai linké ci-haut.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: .
Posté par Sufflope (site web personnel) . Évalué à 2.
D'accord, le problème est plus clair qu'avec ton screenshot initial.
Bon bah en effet ce sont des fumiers qui grattent tout ce qu'ils peuvent. En même temps venant d'un CMS en PHP, à quoi fallait-il s'attendre ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.