Qui est en ligne ?

Nous avons 769 invités et 1 membre en ligne
  • JakeGehler

Sortie de Magento 1.2.1.2

Magento

La version 1.2.1.2 de Magento est sortie ce mardi 3 mars.

Cette version corrige les 3 failles de sécurité de type XSS rendues publiques le 24 février, et pour lesquelles Fragento avait proposé un patch de sécurité dès le lendemain.

Fragento a été la seule Communauté Magento à proposer un patch pour résoudre les failles de sécurité. Ainsi, les diverses communautés Magento, notamment les communautés américaine et néerlandaise, ont pu reprendre ce patch pour le diffuser au travers d'articles sur des blogs traitant de Magento ou encore sur le forum officiel de Magento.

Comme pour toute mise à jour de Magento vous pouvez retrouver les diff files ici.

Nous vous recommandons de tester la mise à jour de votre site sur une installation de test avant de déployer la nouvelle version sur votre boutique en production. Veillez également à faire une sauvegarde de la base de données.

 

[SECURITE] 3 failles XSS dans Magento : patchez !

Magento

3 failles de sécurité de type XSS sous Magento

 

3 failles XSS découvertes dans Magento


Bonjour à tous !

Ne vous fiez pas à l'image : le Downloader de Magento n'est pas sponsorisé par Google ! L'insert du logo de Google, sans intervenir sur le code de la page d'accueil du Downloader, est possible grâce à une faille. Bon, ici ce n'est qu'un logo... Mais qui dit insertion possible d'image dit insertion possible de Javascript notamment, et c'est tout l'objet de ce billet.

Security Focus a révélé hier mardi 24 février 3 failles de sécurité de type XSS sous Magento.

Brièvement, les risques relatifs liés à l'exploitation de ces failles sont multiples : vol d'identifiant de session, récupération des identifiants de l'administrateur, tout cela en exploitant la technique qui m'a permis d'insérer le logo de Google sur la page du Downloader, comme vous pouvez le voir sur l'image ci-dessus...

Ces failles sont accessibles depuis 3 pages Magento :

  • 1) Le Downloader : [chemindeMagento]/downloader

Pour tester, rendez-vous à l'url suivante :

[chemindeMagento]/downloader?return=%22%3Cscript%3Ealert(xss)%3C/script%3E.

Et hop ! Une fenêtre d'alerte avec le contenu "xss" et une page "déformée".

  • 2) La page de login de l'administration : [chemindeMagento]/admin
Pour tester, entrez :

"><script>alert('xss')</script>

dans le champ "Nom d'utilisateur", mettez n'importe quoi en mot de passe, envoyez, au reload de la page vous verrez une fenêtre d'alerte avec le contenu "xss" et à nouveau une page "déformée".

  •  3) La page de renvoi du mot de passe perdu pour l'administateur : [chemindeMagento]/admin/admin/index/forgotpassword/

Même procédure que 2).

Correctifs


En attendant un correctif officiel, Fragento vous propose des patchs maison :

  • 1) Correctif pour le Downloader

Dans le fichier : downloader\Maged\Model\Session.php
A la ligne n° 58

Remplacez le code :


if (!empty($_GET['return'])) {
            $this->set('return_url', $_GET['return']);
        }



Par :

if (!empty($_GET['return'])) {
            $this->set('return_url', htmlentities($_GET['return']));
        }

 

  • 2) Correctif pour la page de login


A défaut de modifier le noyau - ce qui empêcherait toute mise à jour, modifiez le template de l'administration.

Dans le fichier : app\design\adminhtml\default\default\template\login.phtml
Ligne : 54

Remplacez le code :

value="<?php echo $username ?>"


par :

value="<?php echo htmlentities($username) ?>"

 

  • 3) Correctif pour la page de renvoi du mot de passe

 

A défaut de modifier le noyau - ce qui empêcherait toute mise à jour, modifiez le template de l'administration.

Dans le fichier : app\design\adminhtml\default\default\template\forgotpassword.phtml
Ligne : 57

Remplacez le code :

value="<?php echo $email?>"

par :

value="<?php echo htmlentities($email) ?>"

 

Remarques

 

  • Vous êtes fortement invités à diffuser le lien de cet article afin d'éviter des déconvenues aux utilisateurs de Magento ayant un site en production
  • Si vous copiez/collez les bouts de codes, assurez-vous que les guillemets sont conservés
  • D'une manière générale n'accédez jamais ni au Downloader ni à l'Administration via un lien fourni par une personne tierce, mais toujours par un accès direct, pour éviter tout risque de phising.
  • Ces correctifs n'affectent pas les fonctionnalités de Magento
  • Retrouvez cet article sur le forum ici
 

Sécurisation complémentaire ET la plus efficace au final

Moins simple à mettre en oeuvre, il existe cependant une sécurisation radicale qui limite l'accès à l'administration et au Downloader, par authentification Http.

Vous trouverez un "mode d'emploi" réalisé par Philippe ici.

 

Conclusion

D'autant plus quand il s'agit d'e-commerce où c'est un business qu'il faut protéger, la sécurité est un élément clé. La réactivité de la Communauté Francophone de Magento a permis la publication de ce patch sur le forum en moins de 24 heures. C'est parce que Magento est open-source, que la Communauté peut (et doit !) participer à l'évolution de la solution.

Nous comptons sur la réactivité de Varien pour publier une version patchée au plus vite, et nous vous encourageons à appliquer le patch proposé.

 

Compte rendu de l’Open Day Magento

Evenements

 

Open Day Magento Communauté Fragento

 

Après le barcamp de lundi s’est tenu, ce mardi 2 février, un Open Day Magento. Nombre de lignes de codes de Magento, nombre de téléchargements de la plateforme, ambition de proposer l'API(1) la plus performante du marché… Autant de points que Roy Rubin (CEO de Varien) a pu rappeler au cours de la soirée, comme il l’avait déjà fait la veille.

 

Evolutions communautaires à venir

Sébastien Lepers (alias SeL sur le forum officiel) a pu relancer un appel à plus de mobilisation de la part des intervenants pour plus d’extensions communautaires et plus de documentation. A l’issue de la présentation, Sébastien et moi avons eu une discussion approfondie sur les pistes de travail à étudier et l’organisation à mettre en œuvre pour pouvoir faire face à la demande croissante. Ces pistes de travail sont actuellement développées et mises en oeuvre par Anthony (kohril, administrateur du forum) et moi. N’hésitez donc pas à entrer en contact avec nous si vous souhaitez mettre vos talents à contribution quels qu'ils soient (graphisme, développement, traduction, rédaction, tutos, etc.).


Ainsi, plus grande sera votre mobilisation, plus rapidement viendront de nombreuses évolutions (tant sur la forme que sur le fond) : guide du designer Magento adapté à la toute dernière version, guide du développeur, mise à jour de la traduction du package français, mise en place d’une nouvelle architecture de contenu pour pouvoir répondre aux besoins nouveaux et croissants de la communauté (type wiki, faq, debug complet du forum, annuaires de sites, etc.).

 

Projet MagentoJconnector

Charly Clairmont (CTO Altic) et Daniel DEYRIS (société Phidias) [contributeurs du module de paiement Ogone] ont présenté le projet MagentoJconnector basé sur les connecteurs Talend qui permettent, par exemple, une communication entre Magento et l’ERP Compière. L’utilisation de ces connecteurs permet clairement d’accélérer la production grâce à des « jobs » et une approche particulièrement efficace (sorte de boite à outils pour développeur).

 

Certification des développeurs Magento

Varien va mettre en place d’ici quelques semaines une certification « Magento Certified Developer », sous forme de QCM de 60 minutes, avec un ticket d’entrée payant. Il sera alors intéressant de voir sous quelle forme cela présenté : flou total sur le contenu de ce test ou mise en place de « training », un peu comme le fait Zend pour la préparation de la Zend Certification.

 

Evolution des équipes dédiées à Magento chez Varien...

Une discussion avec Yoav aura permis d’apprendre que le nombre de personnes travaillant sur Magento chez Varien est actuellement moins important qu’il ne l’était il y a quelques mois. Il est question de 5/6 développeurs aux USA, accompagnés d’une dizaine d'autres en Ukraine (contre plusieurs dizaines de développeurs auparavant). Bien que cela puisse paraitre paradoxal en comparaison avec l'utilisation grandissante de Magento sur les projets qui fleurissent sur la toile, on peut faire confiance à Varien pour continuer à développer Magento comme il se doit. Preuve incontestable : cette diminution de main d'oeuvre n'a pas empêché pour autant les mises en ligne fréquentes releases de qualité, apportant nombre de corrections de bugs et de nouveautés très bien pensées.

 

Attachement de Varien à la Communauté en général...

En ce qui concerne la correction des bugs actuels, Yoav a insisté sur le fait que le bug report est suivi de très près. Certains membres de la communauté ont parfois une impression négative sur la prise en compte des rapports de bugs et/ou sur la rapidité de correction : pas de crainte à avoir donc. Par ailleurs, Varien remercie et encourage les acteurs de la communauté à ne pas hésiter à poster une éventuelle correction de bug trouvée directement à la suite d’un bug report, pour que le bugfix soit plus rapidement intégré à une release.

 

... et à la Communauté française en particulier

Roy a rappelé l'importance du marché français pour Magento. D'autre part, les contacts et discussions étabies entre Magentistes, Yoav, et Roy, doivent aussi leur richesse aux caractères franchement amicaux de Roy et Yoav, cela me paraît important de le signaler Wink

Enfin, j'ai pu répondre au nom de Fragento, aux interrogations de Magentistes (ou futur Magentistes) désireux d’en savoir plus. J’ai également eu l’occasion de rencontrer certains membres du forum.

Pour conclure, on attend impatiemment la prochaine rencontre Tongue out

N’hésitez pas à réagir à cet article dans les commentaires afin de poursuivre les discussions de cet Open Day.

(1) A propos de l’Api Magento, Fabrice Beck a publié sur Magento Connect son extension LiveChat qui permet un chat entre les clients et des opérateurs (avec mesure de l’efficacité de l’outil > rapport d’achat du client aidé), ces derniers ayant le choix entre l’utilisation d’un système déporté constitué par le logiciel LiveChat (Microsoft Windows - .Net 3.5 requis), et une intégration à l’administration de Magento. Plus d’infos sur la fiche de l’extension - une vidéo de démo est également dispo ici).

 

Bargento : Franc succès !

Evenements
Barcamp Magento 2 février 2009, Paris

Simplement génial ! Encore félicitations aux organisateurs et merci aux sponsors !

Il faut avouer que cet évènement a été rythmé de conférences, retours d'expérience et échanges très intéressants ! Environs 120 personnes présentes pour.... allez je fais une estimation modeste en fonction des retours qu'on a pu avoir ...  99,9% de personnes satisfaites !

Au programme, discours de Roy Rubin, CEO de Varien, qui nous a présenté le futur de Magento puis retours d'expérience très intéressants de Discounteo, Teleshopping et Zadig & Voltaire. Ensuite, conférence de Phillippe Humeau qui a abordé le thème de l'optimisation des performances et de l'hébergement de Magento.

François Zisermann nous a fait réfléchir sur la séparation de Magento en plusieurs couches, Baobaz nous a présenté leur solution de référencement payant et l'équipe d'Altic nous a présenté le module de paiement qu'ils ont développé pour Ogone !

S'en est suivie une présentation de la communauté française par Sebastien Lepers (SeL) qui a présenté la partie française du site officiel, Fragento et wikigento ! Autant vous dire que le programme était chargé :-)

 

Magento, aujourd'hui ....

Roy nous a fait un bilan de l'impact Magento accompagné de chiffres vertigineux !

  • plus de 600.000 téléchargements
  • 66000 membres forment la communauté Magento internationale
  • + de 400 extensions disponibles sur Magento Connect ayant généré + de 390 000 téléchargements
  • + de 60 langues disponibles
  • + de 85 modules de paiement disponibles
  • + de 129 000 posts sur les forums officiels (et plus de 8500 sur Fragento !! ;-))
  • + de 100 partenaires sur toute la surface du globe
  • + de 210 313 lignes de code (soit un developpement de 54.96 ans pour une seule personne !)

 Et comme si ça ne suffisait pas, s'en est suivie une comparaison des trafics respectifs des sites magentocommerce.com et oscommerce.com montrant que Magento s'impose clairement !

 

... Et Magento Demain !

Roy Rubin au barcamp Magento, Paris, 02 février 2009Concernant le futur de Magento, Roy nous a annoncé la sortie de la version 1.3 pour le mois de Mars !

Dans cette version un module nommé Flat Catalog sera disponible, permettant d'améliorer nettement les performances de Magento en simplifiant les accès base de données nécessaires. Il y aura aussi un connecteur avec les Apis Amazon ainsi qu'une évolution des Apis Magento.

Varien confirme aussi sa volonté de ne vouloir faire que du E-Commerce ! Pour ceux qui voyaient déjà Magento comme une usine à gaz faisant un peu de CRM, un peu d'ERP, un peu de ci et de ça, oubliez ! Chez Varien on fait du E-Commerce et on le fait bien ! ;-)

Roy nous a aussi annoncé la probable sortie d'une version de Magento Entreprise payante, qui proposera des fonctionnalités conçues pour les projets de grande envergure !

 

La montée en charge : Magento est plus q'un osCommerce évolué !

Daniel Broche, Discounteo, au Barcamp Magento du 2 février 2009 à ParisHé oui, on ne pouvait pas faire une rencontre Magento digne de ce nom sans parler de la montée en charge de Magento :-)

Les retours de Discounteo, Zadig & Voltaire et Téléshopping sont sans appel : Magento, ça pose des problèmes de performances !

Mais ils sont aussi tous d'accord sur une chose : avec l'architecture et les optimisations appropriées, ça monte très bien en charge !

Cela rejoint le message que nous a fait clairement passer Roy Rubin à ce sujet, Magento ce n'est pas comme beaucoup le disent un oscommerce avec plus de fonctionnalités, c'est une application Web qui demande déjà un effort bien plus important à déployer, et aussi bien plus ambitieux. On voyait bien avec osCommerce combien les limitations se faisaient sentir et combien il devenait ingérable de maintenir des plate-formes complexes.

Point que nous confirme d'ailleurs Daniel Broche à travers l'expérience de Discounteo qui ne regrette pas du tout d'avoir fait évoluer son site malgrès le coût que cela a demandé (+ de 100 000 euros). Oui parce qu'au final, le site est plus ergonomique, plus efficace, maintenable, conçu pour l'international et apporte de vraies évolutions et libertés pour son administration et ses évolutivités ! Un investissement au profit des années à venir ! Et ce ne sont pas les équipes de Zadig & Voltaire ou de Teleshopping qui contredisent cette vision ;-)

Enfin, on peut aussi être rassurés sur les capacités à coupler Magento à des applications tierces puisque Teleshopping est connectéa son ERP et que Discounteo est branché sur une application de CRM (Sugar CRM pour ne pas la nommer), un gestionnaire de bannières publicitaires, ...

 

Et Nous dans tout ça ?? (Avec un grand "N" !)

Nous avec un grand N ... c'est nous, c'est vous, c'est la communauté Française de Magento ! Cette communauté ce n'est pas Fragento, c'est bien plus !

Sachez que la communauté Française se développe beaucoup et à très grande vitesse, je vous préparerai bientôt à ce sujet un post pour vous présenter la progression de Fragento depuis sa création !

Nous avons échangé avec Sebastien Lepers (responsable de la partie Française du site officiel), Philippe Humeau (qui vient d'ouvrir http://www.wikigento.com), Gabriel Bouhatous (modérateur et membre superactif de Fragento que vous connaissez tous !) et moi, Anthony Cuvelier, pour mettre en place une vraie coopération !

Comme le dit si bien Philippe sur Wikigento : "Sel est assuré que nous serons très positifs et complémentaires. Fragento traite beaucoup de l’aspect fonctionnel et développement, en mode Forum, Wikigento blog et construit un Wiki sur les performances, le système & réseau, l’hébergement, l’optimisation etc… "

Si vous ne connaissez pas Wikigento, vous n'allez plus pouvoir vous en passer c'est moi qui vous le dit !

Ainsi, je vous invite d'ores et déjà à visiter le site et à contribuer à son succès comme vous le faites déjà pour Fragento ! http://www.wikigento.com

J'ai beaucoup apprécié rencontrer tout ce monde Lundi réunit autour d'un même but, d'une même passion ! Et discuter avec des personnes comme Philippe, Sébastien et Gabriel qui contribuent tous au même niveau, avec beaucoup d'énergie à développer la communauté française ça fait franchement plaisir ! Merci à eux pour tout ce qu'ils apportent et apporteront dans les mois à venir.

Barcamp Magento 2 février 2009

Qu'on se le dise, 2009 sera une année Magento !

Merci à tous les organisateurs pour cette journée et sachez que nous serons présents au prochain Barcamp... qui selon les rumeurs naissantes, se déroulera aux alentours des mois de mars/avril ... Mais d'ici là, on vous tiendra au courant ! ;-)

 

 

Sortie de Magento 1.2.1

Magento

La version 1.2.1 de Magento est désormais disponible.

Vous trouverez comme d'habitude la release note et le diff file 1.2.0.3 - 1.2.1 sur le site officiel !

Comme toujours, il est fortement déconseillé de mettre à jour directement un site en production, veillez donc à ne pas oublier de faire une sauvegarde de votre base de données et de votre site avant d'effectuer la mise à jour. Vérifiez aussi que les permissions sur le serveur sont correctes avant d'utiliser Magento Connect.

 

Sortie de Magento 1.2.0.3

Magento

La version 1.2.0.3 de Magento est sortie depuis vendredi, apportant quelques corrections de bugs mineurs concernant principalement Google Checkout et Google Optimizer.

Ainsi, si vous utilisez ces modules, il est vivement conseillé de passer à cette nouvelle version. Vous pouvez consulter la release note associée à cette version pour plus d'informations.Le diff file 1.2.0.2 - 1.2.0.3 est lui aussi disponible sur le site officiel.

Comme toujours, il est fortement déconseillé de mettre à jour directement un site en production, veillez donc à ne pas oublier de faire une sauvegarde de votre base de données et de votre site avant d'effectuer la mise à jour. Vérifiez aussi que les permissions sur le serveur sont correctes avant d'utiliser Magento Connect.

 

 
<< Début < Préc 11 12 13 14 15 16 17 18 19 Suivant > Fin >>

Page 11 de 19