Attention au module jirafe

[shagshag]

Bonjour,

 

Attention au module Jirafe !!

 

Ce module Partenaire est disponible sur Addons et est présent d'office sur les version 1.4 de Prestashop.

 

Il ajoute un fichier javascript externe dans toutes les pages du BO de prestashop : https://jirafe.com/d...restashop_ui.js .

 

public function hookBackOfficeHeader($params)
{
	return '
		<link type="text/css" rel="stylesheet" href="https://jirafe.com/dashboard/css/prestashop_ui.css" media="all" />
		<script type="text/javascript" src="https://jirafe.com/dashboard/js/prestashop_ui.js"></script>';
}

 

Déjà c'est interdit par les règles de addons : "Il est interdit de placer des « trackers » dans les modules, qui appellent à une URL externe à l’insu du marchand" https://addons.prest...s_2011_2012.pdf

Ensuite je ne vois pas ce qui justifie ça dans le BO. Qu'un système de statistique traque les clients, normal c'est son job mais les commerçants je ne me l'explique pas.

 

Ceci veut dire que jirafe peut connaitre les URL des administrations de toutes les boutiques qui ont installé ce module. ça c'est au minimum, ça peut aller plus loin comme les emails des clients ou n'importe quel infos affichées à l'écran.

 

De plus ce fichier contient un tracker KissMetrics (1ere ligne du fichier).

Un tracker est un petit programme qui collecte des données comme qui vous êtes, ce que vous faites et où pour faire des stats, des profiles... comme google analytics.

 

Un gros problème (encore) est que KissMetrics partage les données collectées avec des tierces parties et ça on ne sait pas qui.

 

Déjà c'est mal puisque les données du BO sont confidentielles et en plus c'est contradictoire avec la description du module "Data privacy not shared with Google or third party marketing companies". Oui c'est en anglais même sur la description française de module.

 

Mais surtout on peut penser que n'importe quel partenaire de KissMetrics (et on ne les connait pas) peut connaitre les URLs des administrations

 

Bref attention à ce module.

[Yoya]

Merci pour l'info et pour le boulot d'enquete Shagshag

Cdlt,

Pierre

[shagshag]

Merci Yoya,

 

Si je voulais troller je dirais que addons ne traite pas les modules des partenaires comme ceux de la communauté. Et que du moment qu'on paye on peut mettre n'importe quoi sur cette plateforme.

Mais je ne trollerai pas, non non non ce ne serai pas bien.

[DevNet]

Merci shagshag !

[JL/Jirafe]

Bonjour.

 

Tout d'abord merci d'avoir partagé vos inquiétudes.

 

Voici la réponse officielle de Jirafe:

- Jirafe aide les marchants à mieux comprendre ce qui se passe dans leurs magasins en ligne.

- Notre tag javascript permet de tracer le comportement des visiteurs des sites PrestaShop et transmet ces informations aux sites marchants qui utilisent Jirafe.

- Nous ne partageons aucune information collectée, relative au marchand, à des tierces parties.

- Nous n'envoyons pas d'email aux clients du propriétaire de la boutique.

- Nous utilisons Kissmetrics pour mieux comprendre quels rapports les marchants consultent afin d'améliorer nos rapports pour ces marchants.

- Kissmetrics ne reçoit aucune des données du marchant. Il enregistre seulement quels rapports spécifiques de Jirafe sont utilisés par les marchants.

 

Nous avons également demandé la mise à jour de la description du module Jirafe sur PrestaShop.

 

Cordialement,

 

L'équipe Jirafe.

[Nommam]

Merci, j'ajoute donc cette pustule a la liste interminable de chose a chercher dans mon Script PrestaCleaner

[Guest Kaylabs]

- Notre tag javascript permet de tracer le comportement des visiteurs des sites PrestaShop et transmet ces informations aux sites marchants qui utilisent Jirafe.

 

Relisez le message d'origine, le probleme decrit n'est pas au niveau du front office mais bien du backoffice

 

 

- Nous ne partageons aucune information collectée, relative au marchand, à des tierces parties.

Effectivement vous indiquez ne partager aucune donnée, mais kissmetrics indique partager les données, qui croire donc ? Est il possible de voir votre contrat avec kissmetric pour etre certain qu'eux ne transmettent pas les données ?

 

- Nous utilisons Kissmetrics pour mieux comprendre quels rapports les marchants consultent afin d'améliorer nos rapports pour ces marchants.

Admettons, dans ce cas quel est l'interet de le mettre sur TOUTES les pages du BO ? (et pas uniquement sur les pages de stats concernées)

 

 

Bref, il persiste quand meme de nombreuses questions dont les reponses ne sont pas claires.

[Yoya]

Le double effet "Sandrine la Jirafe"

[shagshag]

Bonjour.

 

Tout d'abord merci d'avoir partagé vos inquiétudes.

Et merci à vous de réagir

 

- Notre tag javascript permet de tracer le comportement des visiteurs des sites PrestaShop et transmet ces informations aux sites marchants qui utilisent Jirafe.

Comme l'a dit Kaylabs ce n'est pas le sujet et c'est précisé dans mon 1er message.

 

- Kissmetrics ne reçoit aucune des données du marchant. Il enregistre seulement quels rapports spécifiques de Jirafe sont utilisés par les marchants.

Kissmetrics reçoit les mêmes informations que vous puisque vous êtes présent dans les mêmes pages. Ensuite qu'ils les utilisent ou non on ne sait pas. De manière sûr ils savent l'URL de l'admin et l'IP du commercant + tous les recoupements avec leurs autres stats collectées. Le plus gênant pour moi étant que ces informations soient partagées avec des tiers.

 

- Nous ne partageons aucune information collectée, relative au marchand, à des tierces parties.

- Nous n'envoyons pas d'email aux clients du propriétaire de la boutique.

Ca je n'en doute pas c'était plutôt pour montrer que la possibilité existe et que vous devriez en informer les commerçants. Si un jour votre javascript est "infecté" par un méchant toutes les boutiques ayant installé votre module risque gros. C'est déjà arrivé avec Prestashop.

 

A mon avis, il faut :

- ne pas appeler le javascript sur toutes les pages du BO.

- avertir (même si c'est évident) que le module fait appel à un script extérieur. D'abord pour être conforme aux règles d'addons et pour qu'ils puissent être prévenu du danger.

[Nommam]

Mais de toutes façons, que la récupération de données soit à des fins néfastes ou pas, le simple fait de les récupérer sans avertissement ou autorisation auprès de l'utilisateur est déjà bien bien puant à la base... Et contraire à l'esprit du monde open-source auquel PrestaShop prétend appartenir.

 

 

je vous laisse lire ce vieux post qui est toujours d'actualité : http://www.prestashop.com/forums/topic/114896-resolu-scan-par-881902660-sandrineprestashopcom/

Edited January 23, 2013 by Nommam (see edit history)

[ckarone]

@Nommam si un jour tu proposes un module PrestaCleaner préviens moi , c'est parfois long de faire le nettoyage à la main.

 

Sinon il y a la solution du firewall (Shorewall) mais c'est pas toujours possible.

 

Ckarone

[lokiiy]

Au sujet du module jirafe ....

 

Je l'avais installé et trouvé l'interface agréable ...

Au vue du post et de la sécurité je viens donc de le désactiver ...

 

Est ce que le désactiver suffit ??

Faut t'il le supprimer et ne plus faire confiance a ce module ?

 

Reste t'il des trace du script une fois désinstallé ?

 

Merci de votre soutien !

[shagshag]

Bonjour,

 

la version actuelle ( 1.2 ) ajoute toujours les trackers dans toutes les pages de l'administration.

Désactiver ou désinstaller le module les enlève.

 

Par contre il ne faut pas être paranoïaque. Le fait qu'ils puissent accéder à des données qu'il ne faut pas ne veux pas dire qu'ils le font.

Je voulais juste souligner que leur façon de faire n'est pas claire et risquée pour le commerçant.

[lokiiy]

J'ai désactivé le module.

Cependant je trouvé son interface nickel.

 

Car sans être paranoïaque je veux juste pas prendre de risque si il y en a un éventuel...

 

Merci shagshag en tout cas de préciser ses informations cruciales pour nous autres e-Commerçant non développer PRO

[Jean Francois G]

Nomman ! Pour l'amour de presta... diffuse ton script ! lol

[shagshag]

Toujours même constat pour la version 1.2.4 de ce module

[shagshag]

Petite mise à jour avec la version 1.2.7.

 

Il y a toujours des fichiers javascript externes dans toutes les pages du BO de prestashop :

https://github.com/P...rafe15.php#L298

 

mais Kissmetrics n'est plus présent

 

Donc manque plus grand chose pour que ce module soit compatible avec les règles d'addons.