Jump to content

Presta et la sécurité

hopes34

By hopes34
in Discussion générale

 Share

Recommended Posts

DevNet Newbie

DevNet

Posted
Posted

Bonjour,

Je rajouterai qu'il fait même très bien ses preuves.
Code de qualité, politique de sécurité très bien gérée.

Depuis toute mon expérience sur les cms open sources, c'est l'un des rares noyaux à être aussi bien sécurisé.
Très peu d'usage de session, cookies power pour soulager tout ça. Gestion de classes indiscutable.

A acheter les yeux fermés. Ah non :P il est gratuit !

Bonne continuation

Link to comment
Share on other sites
hopes34 Newbie

hopes34

Posted
  • Author
Posted

Merci
(mais bon pour les sessions je pense que c'est mieux en php natif, simplement parce que la session est gérée sur le serveur et pas sur le poste client.
Le client à un cokkie mais ce n'est qu'une clé cryptée et pas d'info sensibles)
Mais au vu de ce que je vois en terme de qualité de développement sur presta je fais confiance...les yeux fermés

Link to comment
Share on other sites
DevNet Newbie

DevNet

Posted
Posted
C'est amusant car je pensais que les sessions PHP étaient plus sécurisées que les cookies.
Dans les frameworks php que je connais il est recommandé de faire avec les session PHP natives et / ou database mais sûrement pas avec les cookies.


Oula :/ vous me faites peur !

L'allocation de sessions ouvre des possibilités d'entreprendre de vilaines choses dans le traitement propre du deamon httpd (en cours d'exécution).
Moins vous donnez la possibilité d'allouer de la mémoire, moins on pourra y mettre les pieds. Et le soucis dans tout ça, c'est que c'est bel et bien votre serveur qui sert les sessions.

La base même d'une sécurisation d'un serveur, qu'elle soit en natif par configuration ou volatile pour des exécutions de scripts annexes (php par exemple), est de pouvoir servir le meilleur et le maximum avec le minimum de choses.

L'usage des cookies est très important car à aucun moment le serveur "sert" les informations, mais au contraire il les "puise". La grande partie des informations qui transite pour une boutique web ou même un site, n'a aucune utilité d'être présente sur le serveur. Autant que cela reste chez monsieur tout le monde dans son navigateur, puisqu'en plus ça le concerne.
Ensuite tout ce qui est enregistrable pour la traçabilité et la gestion interne de la boutique, madame base de données est la.

Et enfin, un des gros intérêts d'user des cookies, c'est qui si votre boutique sert 300 connexions en même temps, votre serveur n'a pas besoin de beaucoup de ressource pour les traiter. A la différence des sessions pour lesquelles le serveur alloue autant de place nécessaire pendant le temps de leur usage :(, et ça c'est très mauvais.

Je ne connais que très très peu les instigateurs de la politique sécuritaire de PrestaShop, mais je peux vous dire, en connaissance de cause qu'ils ont fait les bons choix (ça n'est que mon avis, après tout est discutable).

Bien cordialement
Link to comment
Share on other sites
  • 1 month later...
hopes34 Newbie

hopes34

Posted
  • Author
Posted

Ce serait bien que les utilisateurs aussi en soient informés (via le forum et pas que via des mails privés)
Simplement pour être au courant et prévoir des contournements si nécessaire avant une correction officielle.
D'ailleurs '@Patrick Codron'/'@yoya971' y a t-il un endroit sur le site où on peut voir les demandes de changement (anomalies, améliorations) et où elles en sont dans leur cycle de vie (acceptées, rejetées, en cours) ...

Merci

Link to comment
Share on other sites
Yoya Newbie

Yoya

Posted
Posted

Salut Hopes34
Pour les features, c'est ici http://www.prestashop.com/bug_tracker/list/features/

Sinon oui les utilisateurs seront informé s'il y'a une faille de sécurité de découverte (on est bien d'accord que ce n'est pas le cas ici), cependant, poster sur un forum une faille, c'est faciliter le boulot de gens mals intentionnés.
La politique de PS de ce que j'ai pu voir jusqu'à présent est de traiter le problème en interne, patcher et proposer un patch en DL.

A bientot,
Cldt,
Pierre.

Link to comment
Share on other sites
Patric Newbie

Patric

Posted
Posted

Il n'est pas très recommandé de dévoiler publiquement les failles de sécurité avant qu'elles soient corrigées. Il y a des chances pour que les personnes malintentionnées sachent mieux les exploiter que les marchands.

Les signalements de bugs et demandes de fonctionnalités sont visibles via le lien "Rapport de bugs" tout en haut du site.

Link to comment
Share on other sites
Patric Newbie

Patric

Posted
Posted
désolé mais je ne retrouve plus le forum ou ils m'ont posté le message
je cherche mais je ne le retrouve pas sur celui ci


Je résume : tu as une boutique, quelqu'un te fait part de problèmes de sécurité la concernant... et tu ne gardes pas ça précieusement bien au chaud ? :-/
C'est fâcheux.
Link to comment
Share on other sites
Yoya Newbie

Yoya

Posted
Posted

Dans tous les cas miaou.fb, soit rassuré, Prestashop est une solution fiable et sécurisée et pas mal de gens bossent dessus pour que çà le soit encore plus jour apres jours, que çà soit les gens de la Prestateam (salariés de la société Prestashop) ou la communauté.

A bientot,
Cdlt,
Pierre.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...