Faille sous prestashop

[superbenoit]

Bonjour,

Voila depuis juillet dernier que j'ai observer une petite faille, bénigne, mais hélas qui peut avoir son importance. Ayant déjà envoyé un email à Prestashop, n'ayant aucune réponses, je souhaite souligné que cette faille permet de voler n'importe quel design de Prestashop très facilement. En effet, ou le danger est, pour les sociétés, les graphiste leurs travail n'est plus protégé... Ce qui reste encore pour assez embêtant, ce sont pour les sites vendant de la template Prestashop d'où plus aucunes utilités de les vendre puisqu'on peut se servir à l'œil. Mais heureusement après la pluie le beau temps, on peut en effet corrigé de cette faille. J'attends encore un peu la réponse de Prestashop, sinon je mettrais tout un tutoriel disponible pour tous le monde.
Cordialement

Superbenoit

[Patric]

Tu as observé ça sur quelle version de PS ?

Tu as regardé sur la SVN si c'était toujours le cas ?

[superbenoit]

Toutes, les versions ne compte pas vraiment lol
C'est une questions de répertoire et surtout de nez, mais si un groupe warez sans prend au template Prestashop, en effet cela fera de la pub à Prestashop, mais vive le chiffre d'affaire perdu pour les autres ^^

[Atch]

et si on protege les TPL avec le .htaccess ça sert à quelque chose?

V++

Atch

[superbenoit]

Hélas, non, car le htacces est appeler directement et l'utilisateur devra tapez login et mot de passe, donc aucun intérêt !!!

[superbenoit]

Un petit re j'ai déja pas mal prévenu les sites vendant de la templates Prestashop, car avant de mettre l'explication de la faille + le correctif, mieux vaut que tout le monde soient protégé lol Donc au cas ou si vous aussi vous vendez de la template ou même souhaitez juste la protégé n'hésitez pas a me contacter!

[Patric]

Pourquoi tu ne postes pas la méthode simplement ?

[Rémi Gaillard]

Pour quelqu'un montant sa boutique je ne voit pas l'intérêt de voler un thème ...
D'une en utilisant un template générique, le site n'a plus une seule identité graphique et même si on souhaite utiliser celles-ci, si on a pas de quoi s'en payer un, autant abandonner directement l'idée de se lancer dans l'ecommerce ...
Après si vous souhaitez tout de même proteger votre répertoire de template vous pouvez par exemple mettre un htaccess comme celui-ci:

deny from all

[Themesremix]

pkoi l'equipe de PS ne met pas un patch à disposition ?? c'est à l'air critique comme faille

[superbenoit]

Alors réponses:

Zendik: j'ai renvoyé un mail à Prestashop et j'attends leurs accord avant de diffuser l'explication, ça évite les problèmes du type je dévoile à tous le monde sans prévenir lol !

Rémi Gaillard: Si toi tu n'en voit aucun intérêt sache que certains n'hésiterons pas à piller un template payant pour le réutiliser voir le vendre. J'ai déja vu énormement de webmasters pour des prix assez bas utiliser ce genre pratiques. Moi personnellement ça m'embêterait qu'on utilise mon template, qu'on le modifie et le revende sans avoir acheter au préalable mon travail. Après chacun son avis

dd21: Certainement qu'ils sont énormément de mails à traiter et qu'ils vont bientôt prendre en compte cette faille, ou tout simplement qu'ils pensent pas que cela sois nécessaire !

[Fre-do]

J'ai déja vu énormement de webmasters pour des prix assez bas utiliser ce genre pratiques. Moi personnellement ça m'embêterait qu'on utilise mon template, qu'on le modifie et le revende sans avoir acheter au préalable mon travail.

Voler un template et l'utiliser c'est pour l'utilisateur s'exposer au risque d'être poursuivit par l'auteur du template... l'utilisateur peut tjrs espérer qu'on ne tombe pas sur son site mais bon... faut savoir que tôt ou tard on fini toujours par tomber sur les site qui utilisent nos template... Ce n'est pas dans l'intérêt d'un commerçant d'utiliser des templates volé.

Je t'ai envoyé un mail et un MP pour que tu m'explique un peu cette faille... tu n'a tjrs pas répondu ?

[Patric]

Je suis d'accord sur les recours juridiques, mais bon, si les plagieurs sont à l'étranger accroche toi...

Et puis si on peut éviter des contentieux facilement, autant faire ce qu'il faut.

Superbenoit, si je t'ai demandé de nous faire part de ta "méthode", c'était pour m'assurer que tes intentions étaient clean.
On ne te connait pas et j'ai trouvé que tu avais une façon un peu étrange de présenter la chose. J'en suis donc venu à me demander si ton but n'était pas d'obtenir en PM des infos de certains utilisateurs pour justement obtenir certaines choses. Ne m'en veux pas, on en a tellement vu qu'on a droit à la méfiance. ;-)

Mais si tu dis vrai alors il faudrait effectivement y remédier en natif dans PS.

[superbenoit]

mp envoyé a vous deux

[Patric]

Bon, ben le monsieur a l'air relativement sérieux. ;-)

[Fabrice]

ce ne serait pas "beaucoup de bruit pour... pas grand chose" finalement ?
si c'est si critique que ça, la Team va bien réagir dans les prochaines heures non ?

[Peuh]

Bonjour, est ce que la faille dont vous parlez permettrait d'envoyer des mails comme celui ci-dessous ?

Si oui pouvez vous communiquer un patch ou une piste permettant d'endiguer le problème ?

 

 

Vous avez reçu un message de la part d

un client depuis votre boutique "ma boutique"

 

 

Informations Civilité : {civilite}

Nom : {nom}

Prénom : {prenom}

Code postal : {cp}

Ville : {ville}

Pays : {pays}

Adresse électronique : [email protected]

Numero client : {num_client}

 

Theme : {theme}

Message:

Bonjour,

 

L'équipe Fructisoft vous souhaite de joyeuses fêtes de fin d'année !

 

A cette occasion, bénéficiez d'une réduction de 20