Jump to content

Prestashop, solution Open Source espionnée par Prestastore ?


Fred A

Recommended Posts

Bonjour,

Ce post serait il un appel au scandale !

Est il d'éthique qu'une solution open source vouée à être diffusée librement envoie sans accord des informations à une plateforme de vente ?

Je n'ai aucun problème pour que PrestaStore existe, bien au contraire, je suis client, et vais l'être de plus en plus. Il est tout à fait légitime de vendre des améliorations de cette superbe solution qu'est PrestaShop pour subvenir aux besoins du développement.

Voici l'histoire :
Lors d'un test de ma boutique en local sur une machine sans connexion internet, j'effectue un clic sur le lien PrestaStore dans la partie Modules de mon administration. Je m'aperçois que j'ai une grosse erreur PHP (bon normal je n'ai pas internet) mais petit détail : le logo devant "PrestaStore en direct !" n'est plus présent. Je signale ce petit détail étrange a mon développeur, et là SURPRISE !
Il me dit qu'il existe un sniffer/cheval de troie/espion dans la solution open source envoyant des données à PrestaStore...

Je vous invite a ouvrir le fichier /admin/tabs/AdminModules.php et d'admirer la ligne 260 :
modules.php?'.(isset($_SERVER['SERVER_ADDR']) ? 'server='.ip2long($_SERVER['SERVER_ADDR']).'&' : '').'mods='.$serialModules.''.$this->l('Live from PrestaStore!').'
D'apres ce qu'on m'a dit, la solution envoie votre adresse IP et tous les noms de vos modules (avec leurs numéros de versions) à PrestaStore.

Je trouve ça choquant qu'une solution open source (libre et gratuite) se permette d'envoyer mes données à sa plateforme de vente.
Quel est son intérêt ? S'agit il d'un moyen de repérer les "voleurs" de modules ? Pourquoi ne pas le signaler dès le téléchargement de la solution ?

J'ouvre le débat pour faire découvrir à tous ce que je qualifierai d'abus et connaitre quel est votre position par rapport à tout ça. Peut être que j'exagère et que cet espion est tout à a fait légitime...

  • Like 1
Link to comment
Share on other sites

A la base, c'est pour proposer des mises à jour (ce qui n'est pas encore en place).
PrestaStore n'a pas qu'un but commercial, on va y mettre les modules gratuits d'ici peu (le dev est fini, on est en phase de test là). Tu noteras que seuls les noms et versions des modules sont passés, rien de bien folichon.

Par ailleurs, cet outil n'est pas vraiment caché. Tu peux tout à fait le virer si celui-ci te gêne.

Link to comment
Share on other sites

Je pense personnellement qu'il y'a erreur sur l'information !

Prestashop ne charge que deux information :

- Une sur l'accueil du panneau d'administration : http://www.prestashop.com/rss/news.php?v=1.2.5.0&lang=fr

- L'autre lorsque tu clique sur "PrestaStore" : http://www.prestastore.com/adminmodules.php (via le fichier Ajax.php / prestastore)

Je ne vois pas ou est le problème ?

Link to comment
Share on other sites

Bonjour à tous,

Je suis le développeur qui a découvert cet appel.

Je ne suis pas du tout d'accord avec toi Julien.
PrestaShop charge bien 2 informations qui sont vraiment a but informatif donc aucun souci. Mais quand il s'agit d'envoyer des informations a une plateforme externe je trouve ça bien différents.
C'est exactement la que se pose le problème !

Link to comment
Share on other sites

A la base, c'est pour proposer des mises à jour (ce qui n'est pas encore en place).
PrestaStore n'a pas qu'un but commercial, on va y mettre les modules gratuits d'ici peu (le dev est fini, on est en phase de test là). Tu noteras que seuls les noms et versions des modules sont passés, rien de bien folichon.

Par ailleurs, cet outil n'est pas vraiment caché. Tu peux tout à fait le virer si celui-ci te gêne.


Pourquoi ne pas simplement demander l'accord lors de l'installation ou dans le BO par exemple si l'on veut ou non que telle ou telle autre info soit envoyée à X, Y ou Z?

PS: merci fredaz pour l'info
Link to comment
Share on other sites

Perso, je ne suis pas dév mais j'avais viré cette ligne depuis longtemps, car elle me gênait, je ne voulais pas que des admin ou autres employés voient le lien et cliquent pour installer des modules de prestastore.

Mais évidemment, je n'avais aucune idée de ce que cela pouvait envoyer ou non chez PS.

Il suffit de virer puis c'est tout non? Le jour ou on veut un module, il suffit d'aller sur le site prestastore si besoin est.

A moins que j'ai pas compris ce topic? 8-/

Possible car je suis dans le gaz, des semaines et des mois sans dormir (quand un bébé s'y met...) ca ramoli le cerveau

Link to comment
Share on other sites

Merci pour vos réactions.

Je suis étonné d'etre le seul à avoir trouvé ce script. Je me permets de demander a tout le monde de scruter le code de PrestaShop pour voir s'il n'existe pas d'autre endroit ou des infos de nos sites sont envoyés a des fins commerciales.

Malgré l'historique que j'ai avec la société PrestaShop (j'y ai tout de meme travaillé pendant près d'un an), je trouve ça scandaleux et malhonnete de leur part.

La vision de Damien sur la question (etre prevenu lors de MAJ) a vraiment des fins utiles mais ce script devait etre interne au module et non pas etre intégré a une solution open source.

Je suis tres deçu de tomber sur un script caché par une image.

Alors Mr Metzger comment allez vous procéder ? Et M. Leveque quel est votre position sur la question ?

Link to comment
Share on other sites

Des infos à faible importance... mais c'est pour le principe.
Exemple : http://www.prestastore.com/modules.php?server=2130706433&mods=bankwire+0.4
birthdaypresent+1
blockadvertising+0.1
blockbestsellers+1.1
blockcart+1.2
blockcategories+1
blockcurrencies+0.1
blockinfos+1.1
blocklanguages+0.1
blocklink+1.4
blockmanufacturer+1
blockmyaccount+1.2
blocknewproducts+0.9
blocknewsletter+1.4
blockpaymentlogo+0.1
blockpermanentlinks+0.1
blockrss+1.0
blocksearch+1
blockspecials+0.8
blocksupplier+1
blocktags+1
blockuserinfo+0.1
blockvariouslinks+0.1
blockviewed+0.9
blockwishlist+0.2
canonicalurl+1.3
cashondelivery+0.3
cheque+2.2
editorial+1.5
feeder+0.2
followup+1.0
gadsense+1.1
ganalytics+1.2
gcheckout+1
graphartichow+1
graphgooglechart+1
graphvisifire+1
graphxmlswfcharts+1
gridextjs+1
gsitemap+1.4
homefeatured+0.9
loyalty+1.6
mailalerts+2.2
newsletter+2
pagesnotfound+1
paypal+1.6
paypalapi+1.0
productcomments+0.2
productscategory+1.2.1
referralprogram+1.4
sekeywords+1
sendtoafriend+1.1
statsbestcategories+1
statsbestcustomers+1
statsbestproducts+1
statsbestsuppliers+1
statsbestvouchers+1
statscarrier+1
statscatalog+1
statsdata+1
statsequipment+1
statsgeolocation+1
statshome+1
statslive+1
statsnewsletter+1
statsorigin+1
statspersonalinfos+1
statsproduct+1
statsregistrations+1
statssales+1
statssearch+1
statsvisits+1
tm4b+1.1
trackingfront+1
watermark+0.1

Link to comment
Share on other sites

C'est exactement ça : l'adresse IP + une liste concaténe de tous les modules avec leur numéros de version.
Dans le principe, il faut l'autorisation du propriétaire de la boutique pour envoyer de tel données ou qu'on puisse le faire de façon anonyme (sans l'adresse IP).
Je me sens surveiller. Encore plus que le fait Microsoft...

Link to comment
Share on other sites

Bonjour,

Je viens effectivement de recevoir un buzz sur ce topic d'un ami webmasteur.
J'avoue que je n'apprècie pas du tout non plus et pourtant dieu sait si j'aime Prestashop.
Je me souviens d'un certain logiciel qui avait essuyé les pots cassés à cause d'un truc dans le même genre.
On peut avoir une manip ou un patch afin de virer sans soucis ce sniffer ?

Link to comment
Share on other sites

Aujourd'hui, ce sont les infos sur les modules qui sont récupérer, demain ce sera quoi, les coordonnées de nos clients, etc. A surveiller de prés les codes à venir sinon la solution est à reconsidérer.

Link to comment
Share on other sites

Bon alors, maintenant qu'on trouvé comment ils connaissent les server qui utilise PS, il faut trouver par ou ils peuvent rentrer !!!!

( je n'imagine meme pas une seconde que cela soit possible, sinon le topic aurait était fermé depuis bien longtemps, d'autant plus que Bruno (enfin sont avatar ) est resté une bonne heure sur le forum, et donc a du lire ce topic )


M'enfin, moi que ca envoit les num de version pour savoir si mes modules sont a jours ou pas, ca ne me derange pas, l'ip un peu plus !

Link to comment
Share on other sites

Les seuls endroits ou il y a des appels externes sont les suivants :

- La page d'accueil du BO, avec le RSS

- Ce lien vers PrestaStore dans l'onglet modules

- Un lien vers PrestaStore dans l'onglet thèmes


Que vous n'aimiez pas le principe, je peux comprendre et vous pouvez tout à fait supprimer cette ligne, mais encore une fois on ne "vol" rien du tout, il s'agit simplement du nom des modules. L'IP permet d'éviter la redondance.

Link to comment
Share on other sites

Les seuls endroits ou il y a des appels externes sont les suivants :

- La page d'accueil du BO, avec le RSS

- Ce lien vers PrestaStore dans l'onglet modules

- Un lien vers PrestaStore dans l'onglet thèmes


Que vous n'aimiez pas le principe, je peux comprendre et vous pouvez tout à fait supprimer cette ligne, mais encore une fois on ne "vol" rien du tout, il s'agit simplement du nom des modules. L'IP permet d'éviter la redondance.


OK je comprends bien. Mais la moindre des choses est de prevenir que nos données seront envoyés vers un site commercial.
Damien, je pense que tu es conscient que certaines personnes peuvent t'attaquer pour ce genre de script bien caché.

Je propose que cette fonctionnalité soit désactivé par défaut et c'est au marchand de l'activer s'il en a l'envie. Parce que je ne vois pas comment un simple marchand va supprimer cette ligne d'espionnage.
Link to comment
Share on other sites

Bonjour,

Cette fonctionnalité était dans un but d'introduire les mises à jour automatique des modules.
Nous avons bien besoin de connaitre le nom et numéro de version de vos modules pour savoir quand les mettre à jour.

Lorsque vous lancez Firefox, celui-ci transmet bien la liste des modules installés afin de savoir lesquels mettre à jour. C'est un peu le même principe ici, rien de très exceptionnel...

Rien ne sert de crier au loup :)

Link to comment
Share on other sites

Bonjour
Ça ne me dérange pas du tout , il faut bien dire que pour toute ces mises à jours "automatique" que ce soit Presta ou autre firefox , thunderbird , java .... etc , il faut bien venir chercher la version du logiciel sur l'ordinateur pour pouvoir le mettre à jour.

Link to comment
Share on other sites

Joël, si tu as décidé de partir en croisade contre tous les logiciels qui agissent de la sorte, je te souhaite bon courage...


Salut Patric,

Mon but est de ne pas faire croisade contre PrestaShop ou tout autre solution open source qui utilise ce principe.

Je pense juste que ce script doit etre precise dans la license (je ne me suis pas encore amusé a lire toute la licence de Firefox).

En fait mon probleme est plutot éthique. C'est la façon dont le script est apele que je trouve abusé : cacher cela par une image !
Un bouton "vérifier les nouvelles versions" ou encore un affichage du genre "tous vos modules sont a jour" aurait été plus convenable. Car on aurait directement vu que des infos sont envoyés a une source externe.

Deuxiement ce qui me dérange est que le script n'est pas propre a PrestaShop mais a PrestaStore qui est un site a vocation commerciale.

Je pense donc que PrestaStore ne doit pas réceptionner ce genre de données.
  • Like 1
Link to comment
Share on other sites

Merci Damien. Je trouve ça super cool de ta part que ça puisse apparaitre aux yeux de tout le monde et qu'en plus ce soit désactivable.
Ce serait encore mieux que ce soit le site prestashop.com (et pas le .fr) qui récupère ces données; car je ne comprends pas pourquoi c'est la pateforme de vente qui gère ça.
Si on prend l'exemple de WordPress qui possède aussi ce genre de script, tout est géré par wordpress.org (et non le .com) car tout ceci reste dans le cadre du open source et donc de l'organisation/association et non sur le .com qui a une vocation commerciale.

Link to comment
Share on other sites

Oui mais la demarche va changer mon bon joel.

prestaSTORE.com, va proposer des contrib gratuites ( en plus des payantes ), donc si je développe une évolution d'un module existant, je la balance sur le store, et donc tu va etre informé qu'une MAJ est dispo .... tout comme pour les payant que tu as deja acheté !

Par contre L'option de desactivation, serait a mon avis bien dans l'autre sens, a savoir PAr defaut, y a pas, je clique ( action volontaire ) elle y est !

Link to comment
Share on other sites

Ma situation par rapport à ce post

Pour tous ceux qui ont lu ce sujet jusqu'ici, vous remarquerez que je suis assez actif et réactif sur ce sujet.
Normal vu que c'est moi qui est découvert l'appel de ce script et c'est en parlant avec FredAz (qui est mon client) qu'il a decide de poster a ce sujet pour connaitre vos réactions et positions.
J'avoue que j'ai eu l'idée du post mais je n'osais pas le faire vu mon historique avec la société PrestaShop.

Patric a osé me cité dans ce sujet en estimant que je suis parti en croisade contre PrestaShop et toutes les solutions utilisant ce genre de script.
Par transparence, je me permets de vous dire que dans la foulée M. Codron m'a envoyé un message privé dont le titre est "ATTAQUES".
Alors la je ne comprends plus quelle est la position de ce superbe modérateur...

Je sais tres bien que le forum de PrestaShop n'est pas destiné a des attaques et ce n'est pas mon but. Il est destiné a exprimer son mécontement comme sa joie ou demander de l'aider, fournir des trucs et astuces et bien plus encore.

Oui Patric me permets de parler de ce message devant tout le monde car je ne comprends quel a été mon attaque sur ce sujet. Il est vrai que je suis peut etre cru mais je reste respectueux et j'exprime mon mécontentement si j'en ai l'envie.

Ce genre de message de la part d'un modérateur du forum qui est entré dans la Team m'est ressenti comme une censure. Comme si je n'aurai pas m'exprimer aussi vivement sur le sujet...
J'avoue etre abbatu et dégouté d'avoir dénoncer ce script :(

Voic le copié/collé du message privé que j'ai reçu:


Je ne comprends pas les gens comme toi qui crachent dans la soupe.
Tu es le premier à utiliser PrestaShop pour générer des revenus en développant des modules. Et à coté de ça tu te permets sans cesse des petites attaques et remarques sur la solution et l'équipe. C'est loin d'être la première fois que je remarque ça.

Je ne sais pas en quels termes tu as quitté la société et ça me regarde pas. Mais je trouve que ta façon d'agir n'est pas du tout professionnelle.


A bon entendeur....
Link to comment
Share on other sites

Bonjour,
Je dois avouer avoir hésité avant de créer ce sujet mais après mûre réflexion, il m'a semblé important d'en parler, sans pour autant imaginer autant de ferveur et de passion ! Dans tous les cas, je rejoins la dernière phrase de Julien (sauf pour "bordel", moi j'aurai mis "putain" vu que je suis originaire de Toulouse)... Rien ne vaut la transparence !

Link to comment
Share on other sites

Quand on hésite, c'est qu'on est pas sûr de soi, et quand on est pas sûr de soi, on prend d'abord la peine de s'informer. Perso, c'est ce que j'aurais fait : d'abord contacter l'équipe et selon le retour, crier ou non au scandale.
Ton premier post ne semble pas être celui de quelqu'un qui hésite... :-S

Ceci étant, j'espère que la réactivité de l'équipe est jugée satisfaisante.

Link to comment
Share on other sites

at
Joël Gaujard

J’avoue que j’ai eu l’idée du post mais je n’osais pas le faire vu mon historique avec la société PrestaShop


Tu peux nous en dire plus sur : ton historique avec la société PrestaShop ?

Au besoin en mp.


Merci.
Link to comment
Share on other sites

Ola Patric, que d'agressivité ! Pour autant que je sache, mon info était correcte... Ensuite, nous sommes ici sur un forum qui a pour but d'échanger entre utilisateurs non ? Peut être aurais tu préféré que je te demande la permission avant ? Cela aura au moins le mérite d'avoir ouvert un débat et des échanges intelligents...

Link to comment
Share on other sites

Je suis bien d'accord : arretons ce bordel !

at Joël Gaujard
Tu peux nous en dire plus sur : ton historique avec la société PrestaShop ?


Skieur je te réponds par PM.


Bonjour,

Également pour moi si cela ne te déranges pas.

Merci d'avance.

Cordialement
Mathieu
Link to comment
Share on other sites

Les seuls endroits ou il y a des appels externes sont les suivants :

[...]

- Un lien vers PrestaStore dans l'onglet thèmes


Bonsoir,
Je ne vois pas ce que vous voulez dire. il est où cet onglet ?

Autrement, ne serait-il pas plus simple de proposer la désactivation de TOUS les appels externes (les 3 que vous citez) ?
C'est que l'on travaille en général avec une version locale pour les tests et 2 versions distantes sur le serveur internet ; un répertoire de production et un répertoire de recette.

On pourrait ainsi laisser les appels externes sur les versions de test et de recette et les désactiver en production.

cdlt,
Didier
Link to comment
Share on other sites

Perso je défends joel gaujard qui est loin de jeter ou cracher dans la soupe.

Joel comme beaucoup d'autre s'investit beaucoup dans le développement de prestashop.

Il m'a déjà beaucoup aidé notamment sur des modules et autres (et sans me demander un copec...)

Je pense qu'il y a la liberté d'expression, que chacun peut etre libre de s'exprimer tant qu'il n'empiètre pas sur la liberté des autres.

Joel a mis le doigt sur une défaillance qui corrigée, ne pourra qu'apporter plus de légitimitée à la solution open source.

Dans ce sens plutot que vous desservir IL VOUS SERT.

Je me permet aussi d'ajouter qu'il n'a pas juste mis le doigt sur ce script mais a aussi demandé une solution.

Si il voulait vous salir il aurait fait autrement n accusant un point c'est tout mais au contraire ca n'a pas été sa démarche.

A mon avis mr Patrick Cordon il faut apprendre à relativiser et peut etre avoir à votre tour une attitude professionnelle.

Quoiqu'il en soit Joel ou vous, Patrick vous participer chacun à votre manière à l'évolution de la plateforme prestashop et pour vous Mr Patrick, sachez qu'il est toujours bon d'avoir des personnes compétentes comme mr Joel, avec un regard critique et extérieur à votre équipe.

En tout cas au final je dis merci à tout le monde et Joel ne soit pas dégouté car dans l'ombre certains sont conscients de ton travail. C'est peut etre peu mais sache le.

Vincent

Link to comment
Share on other sites

Bonsoir

Wow je suis cloué sur place et déçu que Préstashop n'en est rien dit. :coolsmirk: Effectivement, c'est pas très honnête de surveiller l'activité des autres sans qu'on le sache et j'ai viré moi aussi cette ligne.

Merci encore pour cette découverte que je trouve importante.

Merci aussi fredaz de n'avoir pas eu ce jour-là de connections Internet. :lol:

Et Merci Joël Gaujard car je me doute bien que c'était un sujet délicat,mais tu as bien fait.
Bonne soirée
Yannick

Link to comment
Share on other sites

Bonjour à tous,

Merci pour les soutiens de easybizness et de bobbylafleche. Merci beaucoup, je me sens moins "seul" et surtout vous me prouvez que j'ai bien fait de dénoncer ce sniffer. Et j'en suis encore plus heureux qu'une solution a été apporté.

Juste pour préciser à henribaeyens, les données ne sont pas envoyés de façon volontaire. Elles sont envoyés dès que tu accèdes a la page module dans ton back-office. C'est vrai que personne ne t'oblige de cliquer sur cet onglet, mais je pense qu'on le fait tous pour activer, désactiver ou configurer les modules de nos boutiques.

Link to comment
Share on other sites

Moi aussi je te soutiens a 100% Joël ! Je connais pas ton passé avec la société non plus mais moi je veux pas le savoir ... Y a des choses a ne pas faire et qu'il faut dénoncer. Alors oui, Prestashop est une solution Open-Source, oui la Team ne peux pas se permettre de pas manger pour nos beaux petits yeux et nos boutiques.

Mais récupérer des informations, c'est vraiment très bas et vicieux j'ai quelques connaissances en informatique mais je pense que j'aurai jamais vu ce script alors il faut des gens tel que Joël pour dénoncer ce genre de pratique pas très légal ...

J'ai pu lire que apparement c'etait juste pour avoir les versions des modules, ça par contre moi j'y crois pas ... On commence par récupérer les version des modules, puis on continue par les informations de la boutique puis on récupère la base de données des clients bref c'est un cercle vicieux et pas besoin d'aller voir bien loin sur le net pour trouver un site dans ce genre de pratique : F*C*B**K

Ceci dit merci quand même à la Team pour le travail réalisé jusqu'à présent il ne faut pas l'oublier et une erreur peut arrivé a tout le monde la preuve elle a été corrigé dans un laps de temps très court :).

Link to comment
Share on other sites

Certains arguments de ce topic frôlant la calomnie (et l'un des posts allant tout simplement à l'encontre des lois sur les correspondances) je préfère le fermer.

Je suis désolé pour les craintes qu'ont pu engendrer ce bout de code, mais je ne pense pas qu'il mérite certains des propos lus ici. Même s'il est clair qu'il n'aurait peut-être pas dû être intégré tel quel dans la solution, mais comprendre la possibilité pour l'utilisateur de choisir, je trouve très décourageant certains des discours lus ici... :down:

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
×
×
  • Create New...