Quels risques à démarrer avec une version 1.4 ?

[fabfaitlehtml]

Bonjour à toutes et tous,

 

Je suis actuellement en train d'évaluer la version 1.5.4.1 et la version 1.4.8.3 pour voir celle qui correspondrait le mieux au site que je vais développer.

 

A priori, puisque j'ai un site assez simple à développer avec un nombre de produits assez limité je serais tenté de démarrer avec la version 1.4.8.3 pour sa simplicité et sa fiabilité.

 

Quels risques cela représente-t-il pour la pérennité et la fiabilité future de mon site. A priori, une fois le site créé, il ne devrait pas beaucoup évoluer parce que les produits n'évolueront pas. Donc, à priori, je ne devrais pas avoir besoin de nouvelles fonctionnalités.

 

Mais qu'en est-il en matière de sécurité par exemple ? Est-ce que cela représente un risque ?

 

Est-ce que certains e-commerçants actuels utilisent encore des anciennes versions de PS (1.3 ou 1.2 par exemple) ?

 

Vos avis et vos conseils issus de votre expérience me seront utiles pour prendre la bonne décision parce que j'ai encore la possibilité de choisir.

 

Le débat est ouvert.

 

Merci

[DevNet]

Bonjour,

 

Si vous faites le choix de la 1.4, alors prenez la dernière version stable : https://code.google.com/p/prestashop/downloads/detail?name=prestashop_1.4.11.0.zip&can=2&q=

 

A+

[dgidgi76]

Bonjour, je ne sais pas si ma contribution à ce post va être utile mais pour info, ma boutique ( http://www.plantesetvie.net )tourne avec une version 1.4.8.3. Hébergement OVH mutualisé, une soixantaine de produits, quelques déclinaisons. A part la lenteur (mais je travaille dessus en ce moment même), je n'ai pas de soucis particuliers avec le fonctionnement même de la boutique, les modules dispos pour ma version me conviennent.

Mais qu'en est-il en matière de sécurité par exemple ? Est-ce que cela représente un risque ?

 

 

Excellente question. Y a t il un risque à ne pas évoluer vers une version plus récente?

Edited July 31, 2013 by dgidgi76 (see edit history)

[arnolem]

Bonjour,

 

Quels risques cela représente-t-il pour la pérennité et la fiabilité future de mon site. A priori, une fois le site créé, il ne devrait pas beaucoup évoluer parce que les produits n'évolueront pas. Donc, à priori, je ne devrais pas avoir besoin de nouvelles fonctionnalités.

 

Il faut savoir que l'équipe de Prestashop a annoncée la fin du support. Le support devrait être assuré par la communauté :

http://www.prestashop.com/blog/fr/prestashop-1-4-11-nouvelle-et-derniere-1-4-x/

 

Mais qu'en est-il en matière de sécurité par exemple ? Est-ce que cela représente un risque ?

A part le problème de sécurité que nous avons mis en avant cette semaine qui touche principalement les 1.4 qui sont mal configurées par défaut, on ne peut pas généraliser et dire que la version 1.4 soit moins sécurisé que la version 1.5.

 

Est-ce que certains e-commerçants actuels utilisent encore des anciennes versions de PS (1.3 ou 1.2 par exemple) ?

La majorité doivent être en 1.4 mais je vois encore passer des 1.3 de temps en temps.

[arnolem]

Excellente question. Y a t il un risque à ne pas évoluer vers une version plus récente?

 

Typiquement, votre site en 1.4 est vulnérable au problème de sécurité mis en avant cette semaine sur notre blog :

http://blog.wixiweb.fr/faille-securite-prestashop-smarty/

 

A titre d'exemple, on peut exploiter cette faille en quelques secondes pour savoir que votre produit "Huile de Massage à l'Harpagophytum 125ml" à un prix d'achat/production de 4.2 € HT

[dgidgi76]

Bravo!

J'étais justement en train de lire ceci : http://blog.wixiweb....stashop-smarty/ et d'essayer de comprendre comment remedier à cela. Si quelqu'un veut m'aider sur ce coup là avec un tuto clair, (voire un devis abordable), je prends!!

Merci Arnolem. Je vais bosser là dessus dès que possible! Au passage, même si ce n'est pas le sujet du post, les critiques de mon site sont les bienvenues.

Edited July 31, 2013 by dgidgi76 (see edit history)

[arnolem]

Bravo!

J'étais justement en train de lire ceci : http://blog.wixiweb....stashop-smarty/ et d'essayer de comprendre comment remedier à cela. Si quelqu'un veut m'aider sur ce coup là avec un tuto clair, (voire un devis abordable), je prends!!

Merci Arnolem. Je vais bosser là dessus dès que possible! Au passage, même si ce n'est pas le sujet du post, les critiques de mon site sont les bienvenues.

 

Pour Prestashop 1.4, la solution se trouve ici : http://blog.wixiweb.fr/faille-securite-prestashop-smarty/#prestashop-1-4.

Vous pouvez également voir le post de Prestashop sur les bonnes pratiques pour mettre un site en ligne :

http://www.prestashop.com/blog/fr/5-regles-a-respecter-avant-de-mettre-sa-boutique-en-production/

 

En ce qui concerne votre site, comme vous l'avez dit précédemment, il est lent

[dgidgi76]

Oui, je suis en train de lire tout ça et d'essayer de mettre en oeuvre les conseils. Je posterai sur ce topic le résultat de l'application des conseils et actions relatifs à la sécurité.

Concernant la lenteur, je le savais déjà (merci GTmetrix).

[dgidgi76]

Je viens de modifier le fichier /config/smarty.config.inc.php comme indiqué par Arnolem. Par contre, je ne sais pas tester la modif'.

Pour la lenteur de mon site, ça s'améliore doucement.

[arnolem]

C'est bon, c'est sécurisé.

Je ne donnerais pas l'astuce ici pour exploiter la faille (même si qqn vient de publier l'info il y a quelques minutes)

 

Pour les perfs, tu as 20 secondes pour la 1ere requete. C'est donc un problème côté serveur / application (cache, base).

Regardes si ton cache est bien activé.

[Paul MONFILS]

Bonjour,

pour répondre à l'auteur du topic, débuter son shop e-commerce avec PS 1.4.x est possible, je serai du même avis que DevNet, optez pour la dernière version stable.

Cela dit, pour information, nous avons de nombreux clients ayant débuter avec une version 1.4.x qui ont fait le choix de peu ou pas migrer leur version mais s'appuient sur un support technique ou sur ce forum pour garder leur boutique fiable techniquement. Donc, oui, pourquoi pas. Sinon, vous pouvez aussi tester la 1.5.x et voir selon vous.

[jeckyl]

Bonjour,

 

si vous commencez par une 1.4 alors utilisez la dernière version la 1.4.11 qui doit être la dernière version à tout jamais de cette branche abandonnée.

 

Le choix de prendre le 1.4 , c’est que dans quelques semaines, mois il n'y aura plus de développement de module récents sur cette version et que tout va se concentrer sur la 1.5 puis la 1.6 donc à ce rythme vous ne pourrez plus jamais trouver de nouveau template ou module pour cette version.

 

Perso je suis toujours en 1.3 ce qui n'est pas simple tous les jours, mais j'ai assez de compétence pour adapter ce que je veux.

 

Sinon, si je devais choisir, je commencerait une boutique en 1.5.4.1 et rien d’autre.

 

@arnolem : faire croire qu'il y a des soucis avec un ton alarmiste et des propos accusant Prestashop dans la qualité de leur développement alors que ce que vous abordez et juste que les gens ne sont pas capable de cocher les bonnes cases, je trouve cela étrange et me fait juste penser à un bon coup de pub rien d'autre, de mauvais gout mais comme souvent lorsque l'on veut attirer l'attention sur les flaques d'eaux sur la route.

Le pire, à mon avis, c'est que vous auriez été le premier à l'époque de la 1.3 à gueuler pour que cette option soit plus accessible que de bidouiller à mettre des bouts de codes dans les fichiers.

[arnolem]

@arnolem : faire croire qu'il y a des soucis avec un ton alarmiste et des propos accusant Prestashop dans la qualité de leur développement alors que ce que vous abordez et juste que les gens ne sont pas capable de cocher les bonnes cases, je trouve cela étrange et me fait juste penser à un bon coup de pub rien d'autre, de mauvais gout mais comme souvent lorsque l'on veut attirer l'attention sur les flaques d'eaux sur la route.

 

Émettre une critique sans avoir lu la globalité d'un article est vraiment dommage.

 

Pour faire simple :

• Cette option est activé par défaut sous Prestashop 1.4
  
• Prestashop 1.4 (et antérieur) représentait 125.000 boutiques en septembre 2012
  
• Cette vulnérabilité permet de récupérer des informations confidentiels comme connaitre le prix d'achat de vos produits
  

Ceci est la réalité, je ne fais pas "croire que".

Ce que l'on peut reprocher à Prestashop, à part de ne pas avoir anticipé le problème, est de ne pas communiquer ouvertement sur ce problème.

 

Il ne faut pas non plus minimiser l'impacte de ce problème de sécurité sous prétexte que la source est une "option" mal configurée. Au contraire, la facilité d'exploitation et l'omniprésence de cette vulnérabilité est à prendre avec énormément de sérieux.

Dans cette histoire, je suis vraiment choqué de voir le contraste entre la vision développeur ("ce n'est qu'une option !") et la vision du commerçant ("C'est des années de travail !")

 

Au passage, si on en croit vos réalisations, vous faite partie de ces gens qui ne sont pas capable de cocher la bonne case (Lien supprimé sur demande)

Edited August 5, 2013 by arnolem (see edit history)

[jeckyl]

Bonjour,

 

ben oui c'est certain c'est supper grave la faille du siècle le bug qui rend Prestashop inutilisable en production sur les version obsolète quelle dommage et heureusement que vous nous avez ouvert les yeux sur ce soucis qui devrais obliger tous les sites développer en 1.4 à être rayé de la carte .

 

Prestashop a su réagir puisque cette option est bien configuré sur les dernières versions de Prestashop.

 

Mais perso je suis plus choqué par les récupérations de données faites par Prestashop à l’insu des commerçants que à une case mal cochée lors de la configuration par défaut de ces version de Prestashop.

 

et merci de retirer le liens dont vous targué soit disant de ne pas dévoiler la technique pour trouver le truc qui fait si peur.

 

Et je ne sais pas si vous savez, mais souvent on fait des choses pour nos clients et après notre prestation ils font leurs propres bêtises sans nous.

 

Si vous voulez vous amuser vous pouvez aussi chercher qui utilise vraiemnt le prix d'achat sur la fiche produit car cette fonction est totalement inutile puisque ne concerne que les métiers ou le prix d'achat d'un produit est invariable, ce qui est assez rare.

[arnolem]

ben oui c'est certain c'est supper grave la faille du siècle le bug qui rend Prestashop inutilisable en production sur les version obsolète quelle dommage et heureusement que vous nous avez ouvert les yeux sur ce soucis qui devrais obliger tous les sites développer en 1.4 à être rayé de la carte .

Heureusement, effectivement...

 

Prestashop a su réagir puisque cette option est bien configuré sur les dernières versions de Prestashop.

Et que faire des milliers de site encore vulnérables qui ne sont pas au courant de ça ?

 

Mais perso je suis plus choqué par les récupérations de données faites par Prestashop à l’insu des commerçants que à une case mal cochée lors de la configuration par défaut de ces version de Prestashop.

Moi aussi, un partout ?

 

et merci de retirer le liens dont vous targué soit disant de ne pas dévoiler la technique pour trouver le truc qui fait si peur.

Le lien a été supprimé de mon post. J'ai simplement repris un lien présent publiquement dans vos références. Pour ce qui est de la technique pour exploiter le problème, elle a été communiquée sur un autre blog que sur le mien.

 

Et je ne sais pas si vous savez, mais souvent on fait des choses pour nos clients et après notre prestation ils font leurs propres bêtises sans nous.

Le problème n'est pas la. Mais eu lieu de perdre du temps à mettre un commentaire frustré sur ce forum, vous auriez pu prendre ce temps prévenir votre client ou à vérifier pour votre client. D'ailleurs, vous venez de corriger le site en question, ce n'était pas si dure ?

 

Si vous voulez vous amuser vous pouvez aussi chercher qui utilise vraiemnt le prix d'achat sur la fiche produit car cette fonction est totalement inutile puisque ne concerne que les métiers ou le prix d'achat d'un produit est invariable, ce qui est assez rare.

Mais c'est quoi cet argument ??? C'est assez rare donc on s'en fiche ?

Ceci est un EXEMPLE parmi d'autres. Dans tous les cas, il ne faut jamais minimiser une faille de sécurité.

Dans un projet informatique, la sécurité ne devrait jamais être une option. Je trouve vos propos allucinants

[jeckyl]

Bonjour,

 

donc sur la version 1.4 le code est mal par Prestashop qui donc programme mal ses boutique et donc le soucis c'est pas à incomber aux utilisateur mais juste aux développeurs.

 

Donc je vous pris de m'excuser car là c'est une vrai Faille sur la 1.4, pas sur la 1.5.

 

Pour l’histoire du prix d'achat c'était plus pour appuyer que cette fonctionnalité est toujours présente alors qu'elle ne sert à rien et n'est pas exploitable puisque fixe c'est qui est une aberration.

 

rassurez vous pas de frustration mais juste que je trouve tout de même que le ton employé est plus marketing que de l'avertissement simple. Mais ce n'est que mon point de vue qui n'est pas partagé par la majorité des pseudo développeurs freelance gravitant dernièrement autour de la solution. Ou encore le discours purement commercial mis en place Par Prestashop.