Forum général.test Que pensez-vous du comportement de Prestashop?

Posté par . Licence CC by-sa
Tags : aucun
1
23
jan.
2017

J'avais envie d'en parler avec vous car ça me choque.
Est-ce moi qui est un doux naïf voir parano où les devs de Prestashop qui sont de vrai enfoirés? J'hésite.

Donc en gros lors de l'installation du CMS Prestashop, ce dernier exfiltre des informations vers les serveurs centraux de Prestashop. (sans rien demander hein, on parle pas du gentil encarts pour récolter des infos anonymisées comme sur les autres CMS)
Pire, pour pouvoir installer des modules (sous licence libre, je parle pas de ces m…. ultra chers et sous licence proprio pour rajouter des fonctionnalités qui devraient être implémentées (genre piwik)) vous devez vous inscrire sur la boutique Prestashop et connecter le panneau d'administration de votre boutique (sur votre serveur) au "marketplace prestashop" via une adresse mail et un password.

Et hier je me suis rendu compte qu'en plus de tout ça, on subis des scans (voir screenshot de mon piwik) alors qu'aucun lien vers le site n'est posté sur le net. Ces scans sont journaliers (2 requêtes vers la racine de la boutique, chaque jours entre 1h45 du matin et 1h55 du matin exactement)

  • # Pas anormal

    Posté par (page perso) . Évalué à 8.

    Prestashop est un logiciel libre .. Donc tu peux déjà te faire ton patch pour désactiver ce comportement !

    Je ne considère pas anormal, que, pour faire vivre la société qui développe ce logiel libre, il soit proposé des ventes de modules.

    Et je trouve que le prix de ces modules est plutôt modeste, car l'e-commerce c'est avant tout du commerce, donc des gains d'argent potentiels !

    • [^] # Re: Pas anormal

      Posté par . Évalué à 0. Dernière modification le 24/01/17 à 13:15.

      Je ne leur reproche pas de vendre des modules mais d'ex filtrer des données, d'obliger a connecter sa boutique en ligne a leur market via un account et le coups des scans.
      En gros la vie privè pour eux ca n'existe pas.

      Pour le coups le ecommerce = payer, je pense qu'il y a des limites. Par exemple le module pour integrer piwik est a plus de trente balle (alors que c'est un truc ultra simple et que je parie que leur sonde n'est meme pas compatible cross canal (lan, wan, tor)).
      En plus des modules proprio, voila quoi… (Je prefere le systeme de bounty*1 d'autres cms)

      *1 un site ou tu fais une annonce genre "j'ai besoin de telle fonctionnalité je met 50, 100, 200 euro" et le premier qui la code empoche le bounty et la fonctionnalité reste libre

      Donc tu peux déjà te faire ton patch pour désactiver ce comportement !

      Ca casserait les mises a jours donc ce serait plus un fork complet. Apprendre thelia2 prendrait moins de temps je pense.

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Pas anormal

        Posté par (page perso) . Évalué à 1.

        Ca casserait les mises a jours donc ce serait plus un fork complet.

        L'override, tu connais ?

        • [^] # Re: Pas anormal

          Posté par . Évalué à 0.

          Non je ne connais pas (je ne suis, hélas, pas omniscient ^ ^ ). C'est quoi?

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: Pas anormal

            Posté par (page perso) . Évalué à 2.

            Sans être omniscient, c'est la base du dev au départ de CMS, surtout avec Prestahop… (À mon avis, laisse tomber tout de suite, ou forme-toi ! :) )

            En gros, tu ne touches pas au core, ce qui permet les mises à jour.

            À côté (override), tu dévies certaines fonctions (soit en les complétant, soit en les remplaçant) afin de satisfaire ton besoin opérationnel.

            Lorsque tu fais les mises à jour du CMS, tu affectes seulement le core (que tu n'as donc pas modifié) sans affecter tes propres overrides (qui se substituent ou complètent le core).

            Bien-sûr, ça nécessite de maîtriser parfaitement le fonctionnement du core et de ses mises à jour, ainsi que de tes overrides.

            • [^] # Re: Pas anormal

              Posté par . Évalué à -1. Dernière modification le 25/01/17 à 16:26.

              Merci pour ton explication @Nicolas_F.

              Mais pour ton override, il faut quand même placer un appel au script externe dans au moins une des pages du core non? (genre pour php ajouter un include/require)
              Donc lorsqu'on update, quid de ces appels? (phpBB par exemple va fusionner les modifications des anciens fichiers avec les nouveaux ou remplacer les anciens par les nouveaux suivants notre choix).

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

              • [^] # Re: Pas anormal

                Posté par . Évalué à 4.

                Mais pour ton override, il faut quand même placer un appel au script externe dans au moins une des pages du core non?

                non, l'appel à l'override est generalement deja prevu par le concepteur du CMS,

                comme pour les fichiers de configuration de linux ou le logiciel va prendre les fichiers dans un certain ordre
                - le fichier de config par defaut (/usr/share/logiciel/config)
                - surcharger avec les modifs de la machine (/etc/logiciel/config)
                - surcharger avec les modifs de l'utilisateur (/home/touser/.logiciel.config)

                et pour les CMS que je connais, j'imagine que c'est pareil pour prestashop,
                le moteur cherche une arborescence similaire à la sienne dans le sous dossier /override

                tu y places alors tes modifications,
                pour le index.php à la racine du site,
                ton fichier à toi sera dans /override/index.php

                et le moteur va l'ajouter en lieu et place du fichier d'origine
                et ainsi de suite.

                donc tu prends le fichier d'origine, tu le modifies et tu le colle dans le /override
                pour "remplacer" celui du moteur.

                si ce que tu as fais ne fonctionne pas,
                tu supprimes le fichier de l'override, et hop, le cms refonctionne, car tu n'as pas toucher au moteur de base.

                • [^] # Re: Pas anormal

                  Posté par . Évalué à 0.

                  Merci @NeoX. Tu es un vrai puits d'informations :)
                  J'avais déjà vu ce genre de procédure sur gnu/linux (avec SSH par exemple) mais je ne savais pas que des CMS pouvaient aussi l'appliquer c'est très pratique.

                  Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

                  • [^] # Re: Pas anormal

                    Posté par . Évalué à 3.

                    CMS pouvaient aussi l'appliquer c'est très pratique.

                    attention, je ne dis pas que prestashop le gere,
                    il faut aller verifier dans les documentations de prestashop.

                    juste que c'est assez courant dans les projets "libres" de permettre ce genre de modification.

                    1°) c'est plus perenne pour le projet qui ne touche qu'au coeur

                    2°) c'est plus souple pour l'utilisateur qui n'a alors pas peur de mettre à jour son coeur, meme s'il doit corriger quelques pages dans l'override pour que cela refonctionne ensuite.

      • [^] # Re: Pas anormal

        Posté par (page perso) . Évalué à 2.

        Par exemple le module pour integrer piwik est a plus de trente balle

        30 balles ? Tu parles de faire du ecommerce et 30€ ça te bloque ? Je suis curieux de voir ton business plan.

        (alors que c'est un truc ultra simple et que je parie que leur sonde n'est meme pas compatible cross canal (lan, wan, tor)).

        Si c'est simple, je comprends pas pourquoi tu t'emm… à regarder les plugins au lieu de le faire toi-même.

        En plus des modules proprio, voila quoi… > (Je prefere le systeme de bounty*1 d'autres cms)

        *1 un site ou tu fais une annonce genre "j'ai besoin de telle fonctionnalité je met 50, 100, 200 euro" et le premier qui la code empoche le bounty et la fonctionnalité reste libre

        Tu parles de faire du commerce… C'est du business.. Aucun pro ne développe sérieusement des fonctionnalités pour 50€.

        Je suis curieux de savoir quel est ton métier et combien tu gagnes de l'heure.

        • [^] # Re: Pas anormal

          Posté par (page perso) . Évalué à 2.

          Oui ça serait intéressant de savoir quel business model fonctionne pour faire tourner un ecommerce, sauf s'il faut payer 30 balles.
          Si j'en crois le prix d'un steak autour de chez moi ça doit pas être en France en tout cas qu'on peut vivre ou non à 30€ près.

        • [^] # Re: Pas anormal

          Posté par . Évalué à -1. Dernière modification le 24/01/17 à 22:33.

          Je suis curieux de savoir quel est ton métier et combien tu gagnes de l'heure.

          Zéro, je n'ai pas d'emploi. La je dépanne juste quelqu'un ;)

          Si c'est simple, je comprends pas pourquoi tu t'emm… à regarder les plugins au lieu de le faire toi-même.

          Je donnais un exemple sur l’abbération du prix, plus tôt que de payer 39 euros j'ai bêtement exporté les logs. Le côté dommage c'est que ça ne respecte pas Do Not Track mais je pondrais probablement un tuto sur comment insérer la sonde javascript sois même.

          30 balles ? Tu parles de faire du ecommerce et 30€ ça te bloque ? Je suis curieux de voir ton business plan.

          On parle juste de quelques lignes de code fournies par piwik (pas besoin de les coder sauf si on veut bidouiller (multicanal par exemple)) à insérer "proprement" dans toutes les templates.

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: Pas anormal

            Posté par (page perso) . Évalué à 1.

            Pourquoi le code de suivi Piwik devrait-il être intégré "par défaut" dans tous les templates ?

            Même si c'est une solution libre (et c'est un point positif), c'est une solution parmi tant d'autres, avec ses avantages et ses inconvénients. Elle résulte donc d'un choix, qui peut être différent pour chaque site.

            • [^] # Re: Pas anormal

              Posté par . Évalué à 0.

              Je parle de la simplicité de la mise en place, à aucun moment je ne conseil d'inclure piwik dans un CMS (se qui serait idiot, comme tu l'énonces, il y a des alternatives libre ou non).

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: Pas anormal

            Posté par (page perso) . Évalué à 3.

            Zéro, je n'ai pas d'emploi. La je dépanne juste quelqu'un ;)

            Ça change pas la question, ça ne fait que la décaler. Si ton contact n'est pas prêt à dépenser 30€ pour son business c'est qu'il n'y croit pas beaucoup.

            l’abbération du prix, plus tôt que de payer 39 euros j'ai bêtement exporté les logs. Le côté dommage c'est que ça ne respecte pas Do Not Track mais je pondrais probablement un tuto sur comment insérer la sonde javascript sois même.

            Bon au moins tu reconnais n'avoir absolument pas remplacé ce plugin fonctionnellement, et à ton avis la mise en conformité avec DNT et l'écriture d'un tutoriel complet sur comment contourner ce plugin à 39€, ça prendra combien de temps ? À multiplier avec le taux horaire du SMIC. Les compétences pour appliquer ce tuto (et suivre les màj) par rapport à acheter le plugin 39€, quel coût ?

            On parle juste de quelques lignes de code

            Ah oui le fameux fantasme des SSII françaises, que le boulot de développeur se mesure en tout et pour tout en SLOC.

            pas besoin de les coder sauf si on veut bidouiller (multicanal par exemple))

            "Si on est dans le cas simple c'est simple" OK.

            à insérer "proprement" dans toutes les templates

            Si c'est si facile pourquoi mettre des guillemets et râler ?

            • [^] # Re: Pas anormal

              Posté par . Évalué à 0.

              J'ai pris piwik comme exemple car il est ultra simple à intégrer (sauf la partie qui permet d'exporter les gains par utilisateurs je le conçois).
              Mais en réalité je pensais à d'autres modules beaucoup plus chers (genre 249€ le module de payement).

              la mise en conformité avec DNT et l'écriture d'un tutoriel complet sur comment contourner ce plugin à 39€, ça prendra combien de temps ?

              Si prestashop permet l'overide (je remercie encore @NeoX pour son explication), alors ça va se résumer a un copier-coller dans une copie du template gérant le footer. Par contre la configuration ne se fera pas via un formulaire dans l'admin de Prestashop mais directement dans le copié collé ^ ^
              Mais j'extrapole, j'essayerai prochainement et on verra bien :) (j'aimerais vraiment terminer certains tuto en cours avant*1 )
              Pour Do Not Track, c'est la sonde qui gère toute seule il n'y a rien de spécial à faire.

              *1 si vous voulez participez à leur finalisation, vous êtes les bienvenus :) :
              MySQL Cluster sur ubuntu/debian et idem sur raspberry pi
              Metasploit & Armitage Multiplayer
              [Bash] Plage horraire

              Si c'est si facile pourquoi mettre des guillemets et râler ?

              Mauvaise foi de ma part sans doute ^ ^

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # Ya pas que Prestashop

    Posté par (page perso) . Évalué à 4.

    Il y a plein d'autres solutions:

    • Oscommerce (je ne sais pas si ça existe encore)
    • Thélia
    • Dolibarr + Spip + Dolispip (génial)
    • Il y a d'autres solutions à base de Spip.
    • [^] # Re: Ya pas que Prestashop

      Posté par . Évalué à 3. Dernière modification le 24/01/17 à 15:39.

      il y a aussi :
      Magento (même principe/philosophie que prestashop)
      Drupal + plugin commerce
      WordPress + plugin commerce
      Sylius
      Zen Cart

      Pour Thelia, la version 2 à l'air tout simplement géniale (je l'ai testé (tuto install, tuto config) mais trop complexe et peu de doc en français (pour la V2 tout du moins).

      Dolibarr + Spip + Dolispip

      ah, celui la je ne le connaissais pas merci de l'infos :)

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Ya pas que Prestashop

        Posté par . Évalué à 3.

        de meme qu'il y a Odoo (ex OpenERP)
        ah mais non, ca ne va pas te plaire, il faut creer un compte chez eux, pour te connecter au store pour installer certaines applis

  • # .

    Posté par (page perso) . Évalué à 2.

    Et hier je me suis rendu compte qu'en plus de tout ça, on subis des scans (voir screenshot de mon piwik)

    Et y a quoi à voir ? Parce qu'à part que tu balances des IP (considérées comme donnée privée non ?) comme ça en clair sur le ternet, que tu as collectées tranquillement depuis un site commercial, le problème est pas forcément flagrant.

    En plus si ce sont vraiment des scans, euh ouais et ? Sur mon serveur qui n'a aucun CMS installé j'ai des appels à des URL wordpress/osmachin aussi, du coup c'est de la faute du méchant éditeur de CMS aussi ?

    • [^] # Re: .

      Posté par . Évalué à 0.

      Se sont des IP de prestashop (d'après ce lien).

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Visites sur ton site

        Posté par (page perso) . Évalué à 1.

        Eh, au fait, ton site est sur Internet ? Donc sur la voie publique ?

        Et tu trouves ça bizarre qu'il soit accédé depuis d'autres adresses IP que la tienne, y compris la nuit ?

        Si tu ne souhaites pas que l'on accède à ton site, il suffit d'y interdire l'accès, non ?

        • [^] # Re: Visites sur ton site

          Posté par . Évalué à 2.

          Eh, au fait, ton site est sur Internet ? Donc sur la voie publique ?

          C'est sujet a débat car internet est un enchevêtrement de réseau privé. (ce débat mériterait un thread)

          Et tu trouves ça bizarre qu'il soit accédé depuis d'autres adresses IP que la tienne, y compris la nuit ?

          Je penses que tu n'as pas compris. Je me fiche que des IP accèdent à l'URL (c'est le but d'un site en accès publique). Je suis choqué de voir des scans journalier venant de l'éditeur du CMS. Aucun des autres CMS que j'ai pu tester jusqu'ici (un sacré paquet, je teste toujours plusieurs alternatives avant de me fixer) ne commet ce genre d'intrusion.
          Et en passant je suis aussi choqué que des données soit exfiltrées lors de l'installation (voir même après, faudrait zieuter le code) sans rien demander à l'utilisateur.

          Si tu ne souhaites pas que l'on accède à ton site, il suffit d'y interdire l'accès, non ?

          Oui je vais passer par IP table comme cité dans le lien que j'ai linké ci-haut.

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: .

        Posté par (page perso) . Évalué à 2.

        D'accord, le problème est plus clair qu'avec ton screenshot initial.
        Bon bah en effet ce sont des fumiers qui grattent tout ce qu'ils peuvent. En même temps venant d'un CMS en PHP, à quoi fallait-il s'attendre ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.