Sauvegarde base de données sur OSC

zorteil · Inscrit le: May 16, 2005 Messages: 258 4061 points Lieu de résidence

bonjour à tous.
dans la distrib officielle de OSC, la sauvegarde de la base de données se fait directement sur un répertoire du site. il suffit donc d'aller dans ce répertoire par son url, pour récupérer la base de données d'un site sous osc. Idem pour la version maximus-osc (sauf erreur de ma part).
le site officiel de OSC, contacté, ne voit pas là de faille.
je leur ai donné, pensant les convaincre, pour un VRAI site de commerce sous OSC, des noms clients num téléphone (modifiés par salade des chiffres), le login et Mot de Passe md5 de l'admin (ça se décrypte + ou -) les data de la connexion à la base etc.

La réaction du team de OSC a été très curieuse, car disant 2 choses contradictoires:
1) ça ne prouve pas la faille de sécurité et tu cherches juste à te faire mousser.
2) on va porter plainte contre toi pour piratage d'un site.
faudrait savoir: il y a ou il n'y a pas faille?

Si on a la chance de tomber sur un site de commerce avec le module de paiement de paypal, et si on trouve dans la base des clients qui ont des comptes paypal perso, il devient enfantin (sûrement pour quelques uns) de se faire livrer gratis des commandes; j'ai même trouvé une méthode qui assure la quasi impunité.

Jai trouvé sur des forums des internautes qui se plaignent d'arnaques de paypal: paypal aurait débité leur compte pour des commandes jamais faites et bien sûr jamais reçues. J'en conclue qu'il y a des malins pour avoir repréré la faille.

Ceci dit, fort heureusement, les sites sous OSC qui utilisent le module de sauvegarde de la base sont plutôt rares: il m'a fallu beaucoup chercher pour en trouver.

GravuTrad · Inscrit le: May 12, 2005 Messages: 5081 50147 points Lieu de résidence

salut zorteil!

content de te revoir dans le coin, avec des conversations toujours aussi intéressantes!

je vois qu'on t'a fait le coup à la zataz....(tu trouves une faille et on veut te le mettre dans l'os...)

voyons ce que cyril pourra te dire...

zorteil · Inscrit le: May 16, 2005 Messages: 258 4061 points Lieu de résidence

[quote="GravuTrad"]salut zorteil!
tu trouves une faille et on veut te le mettre dans l'os...
quote]

je pense que c'est plutôt une grosse étourderie, si on définit une faille comme un pb de code.

Mais enfin livrer ainsi une base de données !!!
Pour moi, il n'y a pas piratage (donc obtention d'info privées par des moyens illicites) mais simplement lecture de données rendues publiques suite à une erreur de conception.

Ensuite si on utilise les données ainsi livrées (soumission des Mot de Passe à une table de Mot de Passe) login sur un site de commerce avec des données usurpées, modification de l'adresse de livraison ect... alors oui, il y aurait manoeuvre frauduleuse. Il s'y ajoute en cas de compte paypal, un gros pb de sécurité: pour raison de "transparence" dixit le site officiel paypal, seul l'email du compte paypal est vérifié lors d'un paiement: hors on sait très bien que la plupart des internautes utilisent une seule adresse email, et souvent un seul Mot de Passe: donc mettre la main sur l'email d'un client d'un site et pouvoir se loguer avec son login et Mot de Passe sur le site commercial, c'est pouvoir avec 9 chances sur 10 s'identifier sur son compte paypal et payer sans donner de référence de carte bancaire (donc faire payer par le titulaire du compte) si la base de données du site a montré qu'il avait un compte paypal.

Jai conseillé à ma famille et mes amis proches, pour cette raison, de supprimer leur compte paypal si ils en avaient un, et de ne payer sur internet que par carte bancaire.

Je pense donc que la responsabilité civile du concepteur du logiciel et de sites qui le diffusent, en cas de plainte d'un e-commerçant suite à utilisation frauduleuse de sa base de données, est beaucoup plus envisageable que ma responsabilité pénale, quand je me suis borné à rentrer dans mon navigateur une URL et avoir lu ce qui apparaîssait alors sur mon écran.

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

zorteil t'a pas fini de faire joujou avec des trucs de ce type aussi

oscommerce et pourquoi pas phpnuke aussi Sad

franchement ... entre nous ... moi j'ai pas besoin que tu me le dise que oscommerce c'est qu'un trou Sad

le problème comme tu le dis il y a un tel bizness qui gravite autour que si tu vas dire ça dans la communauté les mecs vont le lincher, mais entre nous ... on sait pourquoi: les mecs n'y pige rien en sécurité c'est tout Sad

enfin, bon oscommerce c'est à éviter

j'ai testé magento sur le conseil de benoit
coté sécu c'est un ton au dessus, par contre coté aspirateur à ressources voilà le travail, on dirait un cms codé avec un marteau piqueur

premier objectif mettre le serveur à plat, bourré d'ajax à la con qui sert à rien d'autre qu'à se taper sur le ventre ...

bon enfin, les cms ecommerce entre nous si il y en existait UN de bien ... ben ça se saurait Wink

rien de tel qu'une petite boutique 100% maison, ça suce rien, c'est écolo, et pour un peu tu aura même la vignette verte et la prime à la casse si tu rapporte ton vieux cms au marchand Smile