Jump to content

C'est beau un site la nuit !

ludo

By ludo
in Discussion générale

 Share

Recommended Posts

ludo Newbie

ludo

Posted
Posted

Prestashopeurs et amis,

Il faut que je vous avoue un truc terrible...

Ce soir, j'ai volontairement flooder la pauvre petite boite [email protected] via le formulaire du Mot de passe oublié de la boutique de démo de PS ! http://www.prestashop.com/demo/demo/password.php

Et oui... je suis devenu un e-sadique... capable de torturer des pauvres boites email innocentes...
En fait, c'est pour la bonne cause...

Voila le constat... Prestashop ne gère pas de protection anti-flood ! Donc une personne (comique et un peu sadique comme moi) peut demander 1000 fois le renvoi d'un mot de passe... Allez au hazard celui du webmaster (facile a trouver).

PS : Philippe... Pourrais-tu simplement regarder dans la boite mail de [email protected]... Et nous dire ce que tu constates.

Dans la réalité, perdre déjà 50 fois son mot de passe dans la même journée releve du super cas cliniquo-psychiatrique...

De plus, Prestashop prend l'initiative de régénérer lui même ce mot de passe. C'est bien... mais si on a rien demandé (merci les p'tits farceurs), on se voit quand même attribuer un nouveau mot de passe et là sérieux, c'est pas cool.

Imaginez... vous êtes en déplacement... en vacances (original en ce moment) mais vous vous voulez pas laisser votre beau site de vente en ligne tout seul.. vous avez vos identifiants Prestashop avec vous bien au fond de la valise... pas de problème, vous accédez à votre site.

Mais manque de bol... dans la nuit, un plaisantin ou un étourdi a fait une petite demande de Mot de passe oublié.. avec votre email ! Du coup, un mail avec le nouveau password part sur votre boite ... normal...

Le lendemain matin ... tranquillement avant d'aller à la plage, vous décidez d'aller faire un petit tour sur votre site pour jeter un œil sur les bonnes grosse dernières commandes...histoire de passer une encore meilleur journée

Vous vous reconnecter et là... votre beau de mot de passe marche plus ...HOOOOrreur ... vous restez à la porte de votre boutique chérie... sueur froide... pulsations cardiaque proche des 160... vous vous calmez... vous allumez un clope (si si allez c'est les vacances on s'en fout)

Et ca fait Tilt ! vous comprenez... vous vous calmez et sans tarder vous vous connectez à votre messagerie ... à distance évidement (je rappelle que vous êtes à des centaines de bornes de votre PC ou Mac..) et récupérez tranquillement le sésame.

Mais manque de bol... A ce moment là précisement... vous ne pouvez pas relever votre messagerie : le webmail en rade, votre mot passe oublié, le courrier déjà relevé (merci la femme de ménage qui a rallumé votre bécane,...), etc... etc... (je vous laisse compléter la liste)

Et si en plus, le plaisantin en plus fait 500 demandes... vous risquez même de rien relever du tout par votre webmail !

Et oui !... Comme on peut se faire flooder sa boite email... nos propres filtres antispam et/ou ceux de notre FAI finiront fatalement par blacklister l'email (et le domaine) expediteur ... cad celui de notre propre site... et meme les autres arrivant du site....

Ben ça fait du vilain pour un site ecommerce... imaginez vous avez configuré votre prestatshop avec votre adresse Orange.fr et blam ! d'un coup les serveurs antispam d'orange blackliste votre adresse adoré... Certes vous y êtes pour rien mais allez bataillé avec les têtes d'oranges pour vous faire whitelister !

Bon allez conclusion... Si, si ! Y en a une... Partez pas !

1 - Limiter à deux demandes par heure par IP... c'est largement suffisant.
2 - Envoyer un lien qui invite a régénérer le code (ou rien faire si on a pas fait soi-même la demande)
Aujourd'hui de plus en plus adopter cette méthode qui plus simple et la moins contraignante... pourquoi pas nous :) !

Voila c'est tout... c'était juste mon petit délire par cette belle soirée.. d'été !

Ludo
"pas en vacances mais tout les jours à l'eau après le boulot... na !"

Link to comment
Share on other sites
ludo Newbie

ludo

Posted
  • Author
Posted
hey moi aussi j'peux craner style tout les jours apres le boulot et tout.. craneur...

''se pend avec son post inutil''

Clair que toi le newbie pour le coup il est super utile ton post !
Qu'est ce qui t'arrives... t'as plus la mer à Papeete ou quoi ?

Petit recadrage donc... Quand quelqu'un prend la peine d'écrire un post un peu long et dans un français correct me semble-t-il (c'est un minimum de respect pour les lecteurs) ... c'est très chiant de voir un reply débile, torché en 10 sec ... surtout de la part de newbies qui débarque juste sur le forum.
Link to comment
Share on other sites
FranWeb Newbie

FranWeb

Posted
Posted

J'y pense, pour que quelqu'un ai à réinitialiser notre mot de passe, il lui faut atterrir sur la page d'accès à l'admin, non ?
et vu que l'on renomme le répertoire admin différemment (genre a123z456e789 oui, oui, du genre là certes c'est pas le mien mais il est dans cette optique), le risque est-il réellement présent ?

Link to comment
Share on other sites
yonl33 Newbie

yonl33

Posted
Posted

Effectivement sans connaitre ta page d'administration il ne pourra pas faire une demande de mot de passe perdu du compte administrateur.
Puisque la gestion des comptes clients et administrateur n'est pas commune !


Par contre ca n'enleve pas le fait qu'il puisse faire du flood en demandant plusieurs fois son mot de passe et une limitation serait fort utile je pense

Link to comment
Share on other sites
ludo Newbie

ludo

Posted
  • Author
Posted

Vous avez parfaitement raison... je suis un poil emflammé sur le coup !
Mais comme l'humain est faigneant ... je serais curieux de savoir combien de répertoire admin s'appelle administration

Link to comment
Share on other sites
FranWeb Newbie

FranWeb

Posted
Posted

ah ben là effectivement je vois d'ici un chiffre conséquent %-P il serait peut être "utile" de mettre un mot lors de l'install qu'il faut le renommer en déconseillant les "administration" et autres styles classiques (d'ailleurs c'est quoi les styles classiques ? ben je sais pas :down: peut être classique: "backoffice", suis sûr que certains ont aussi renommer leur répertoire ainsi... Mais bon je donne pas un pourcentage aussi élevé que "administration")

Link to comment
Share on other sites
yonl33 Newbie

yonl33

Posted
Posted

Je ne veux pas dire de betise mais il me semble qu'après l'installation ( du moins en RC5 ) nous sommes oblige de renommer le repertoire admin pour pouvoir y acceder.

Si on le le renomme pas, l'accès est impossible.

Je ne veux pas dire de betise mais il me semble que c'est ainsi

Link to comment
Share on other sites
Patric Newbie

Patric

Posted
Posted

He bien en ce qui me concerne, et maintenant que tu en parles ça me revient, ça a été le cas pour moi pour la 0.9.7, pour la mise à jour vers la 1.0.0.3, mais pas pour celle vers la 1.0.0.5 (j'ai pas installé la 1.0.0.4).

Il ne m'a pas proposé de renommer le dossier admin (juste de suppr le dossier install) et je n'avais pas de lien vers le panneau admin en fin d'install (juste un lien vers la boutique).

Link to comment
Share on other sites
ludo Newbie

ludo

Posted
  • Author
Posted
ah ben là effectivement je vois d'ici un chiffre conséquent %-P il serait peut être "utile" de mettre un mot lors de l'install qu'il faut le renommer en déconseillant les "administration" et autres styles classiques (d'ailleurs c'est quoi les styles classiques ? ben je sais pas :down: peut être classique: "backoffice", suis sûr que certains ont aussi renommer leur répertoire ainsi... Mais bon je donne pas un pourcentage aussi élevé que "administration")


Et je pense qu'on doit avoir quelques "admin707"
Si tu vois pas pourquoi mates l'image :)



Petite anecdote... Vous savez lors d'une inscription sur un site lorsque le système demande au gens de donner un mot de passe, beaucoup (j'ai pas de % mais c'est loin d'être nul) donnent le mot de passe de leur messagerie et ceux pour deux raisons : soit parce qu'ils ont pas la force d'en imaginer un autre ou carrément parce qu'ils pensent que c'est la question qu'on leur pose... ils pensent qu'on leur demande LEUR mot de passe de LEUR email... et ils le donnent !!!

1393_VSm36BzVYRz9Ecyeuhq2_t

Link to comment
Share on other sites
Pierre-Yves Newbie

Pierre-Yves

Posted
Posted

Les 3 derniers chiffres du "admin707" sont aléatoire. Recharge la page et tu verras.

Cependant vous avez raison, et avec un script de 4 lignes on peu en moins de 3 minutes trouver le dossier admin s'il se base sur cela => "adminXXX".

Mais je dois avouer, que même si une personne trouve le dossier admin, elle n'en fera rien de plus à vrai dire... Il est sécurisé (normalement).

Link to comment
Share on other sites
ludo Newbie

ludo

Posted
  • Author
Posted

Bien vu PY !
On va croire que je m'acharne pour rien sur cette histoire d'admin ! ;)

Bon en tout cas, maintenant on pourra dire comme ça qu'on a bien refait le tour de la question et qu'à présent on est sur que Prestashop est blindé à ce niveau.

Link to comment
Share on other sites
Nommam Newbie

Nommam

Posted
Posted

Moi j'avais fait un bout de code pour generer des mot de pass crypté en MD5, bien on a aucun pb a tous les faire jusqua 4 caracteres, mais audessus ca devient trop compliqué !

Alors ce qu'il faut tout prix c'est en mettre un max, afin de ce prevenir d'eventuelle attaque de mass !

Link to comment
Share on other sites
  • 3 months later...
snowtiti Newbie

snowtiti

Posted
Posted

avec un temps d'retard, nan mais t'inquiete pas va je l'est lu ton post, avec beaucoups d'attention et d'intéré, faux pas se vexer pour un leger trait d'humour surtoutpour un 'délir d'été' c'est pas comme si j'm'etais vraiment foutus d 'toi en gros (surtout que bugguer sur le 'newbee' t'avancera pas beaucoups)

on a part ca au moin c'est bon a savoir

Link to comment
Share on other sites
Damien Metzger Newbie

Damien Metzger

Posted
Posted

Pour ceux qui ont vraiment peur pour leur dossier admin, il suffit de rajouter un htaccess (qui est la seule protection d'OSC par exemple de mémoire).

Mais il y a un temps minimum entre 2 régénérations de mots de passe réglables dans le back office. J'avouerai par contre que je ne sais plus si c'est pour l'admin, le front ou les 2, ni depuis quelle version :D

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...