Communauté Magento Francophone

Avec un trafic et un nombre de membres qui augmentent de jour en jour, la migration devenait inévitable !

En marge de ça, le site n'était pas non plus toujours très stable, notamment la partie forum. Nous remercions d'ailleurs tous les membres qui nous ont et aidé et nous aident encore à améliorer le site par leurs remontées d'informations. Cette nouvelle version de Fragento servira de base solide pour l'arrivée de nouvelles fonctionnalités dans les semaines à venir ! (Stay tuned ! :))

En résumé, un serveur beaucoup plus puissant que le précédent et un site remis à plat et bien plus stable, voilà donc qui devrait permettre à la communauté Fragento de continuer de se développer !

Nous espérons que vous serez encore nombreux à nous rejoindre et que vous apprécierez tous les efforts qui sont mis en oeuvre pour vous offrir un service de qualité !

Bonjour à tous,

Comme vous le savez Fragento a été migré sur un nouveau serveur, et c'est désormais au tour du site lui-même d'être mis à jour 

En conséquence, l'accès au site sera interrompu cet après midi pour quelques dizaines de minutes.

Merci de votre compréhension !

Mise à jour de Fragento

Bonjour à tous,

Afin de faire face à l'augmentation de trafic importante sur Fragento.org, nous réalisons actuellement une migration sur un nouveau serveur.

Merci à AEngel.us qui héberge gracieusement Fragento.org, la Communauté Francophone de Magento !

L'accès au site pourra être perturbé ce week-end.

Merci pour votre compréhension

La version 1.2.1.2 de Magento est sortie ce mardi 3 mars.

Cette version corrige les 3 failles de sécurité de type XSS rendues publiques le 24 février, et pour lesquelles Fragento avait proposé un patch de sécurité dès le lendemain.

Fragento a été la seule Communauté Magento à proposer un patch pour résoudre les failles de sécurité. Ainsi, les diverses communautés Magento, notamment les communautés américaine et néerlandaise, ont pu reprendre ce patch pour le diffuser au travers d'articles sur des blogs traitant de Magento ou encore sur le forum officiel de Magento.

Comme pour toute mise à jour de Magento vous pouvez retrouver les diff files ici.

Nous vous recommandons de tester la mise à jour de votre site sur une installation de test avant de déployer la nouvelle version sur votre boutique en production. Veillez également à faire une sauvegarde de la base de données.

3 failles de sécurité de type XSS sous Magento

Bonjour à tous !

Ne vous fiez pas à l'image : le Downloader de Magento n'est pas sponsorisé par Google ! L'insert du logo de Google, sans intervenir sur le code de la page d'accueil du Downloader, est possible grâce à une faille. Bon, ici ce n'est qu'un logo... Mais qui dit insertion possible d'image dit insertion possible de Javascript notamment, et c'est tout l'objet de ce billet.

Security Focus a révélé hier mardi 24 février 3 failles de sécurité de type XSS sous Magento.

Brièvement, les risques relatifs liés à l'exploitation de ces failles sont multiples : vol d'identifiant de session, récupération des identifiants de l'administrateur, tout cela en exploitant la technique qui m'a permis d'insérer le logo de Google sur la page du Downloader, comme vous pouvez le voir sur l'image ci-dessus...

Ces failles sont accessibles depuis 3 pages Magento :

• 1) Le Downloader : [chemindeMagento]/downloader

Pour tester, rendez-vous à l'url suivante :

[chemindeMagento]/downloader?return=%22%3Cscript%3Ealert(xss)%3C/script%3E.

Et hop ! Une fenêtre d'alerte avec le contenu "xss" et une page "déformée".

• 2) La page de login de l'administration : [chemindeMagento]/admin

"><script>alert('xss')</script>

•  3) La page de renvoi du mot de passe perdu pour l'administateur : [chemindeMagento]/admin/admin/index/forgotpassword/

Correctifs

En attendant un correctif officiel, Fragento vous propose des patchs maison :

• 1) Correctif pour le Downloader

Dans le fichier : downloader\Maged\Model\Session.php
A la ligne n° 58

Remplacez le code :

if (!empty($_GET['return'])) {
            $this->set('return_url', $_GET['return']);
        }

Par :

if (!empty($_GET['return'])) {
            $this->set('return_url', htmlentities($_GET['return']));
        }

• 2) Correctif pour la page de login

A défaut de modifier le noyau - ce qui empêcherait toute mise à jour, modifiez le template de l'administration.

Dans le fichier : app\design\adminhtml\default\default\template\login.phtml
Ligne : 54

Remplacez le code :

value="<?php echo $username ?>"

par :

value="<?php echo htmlentities($username) ?>"

• 3) Correctif pour la page de renvoi du mot de passe

A défaut de modifier le noyau - ce qui empêcherait toute mise à jour, modifiez le template de l'administration.

Dans le fichier : app\design\adminhtml\default\default\template\forgotpassword.phtml
Ligne : 57

Remplacez le code :

value="<?php echo $email?>"

par :

value="<?php echo htmlentities($email) ?>"

Remarques

• Vous êtes fortement invités à diffuser le lien de cet article afin d'éviter des déconvenues aux utilisateurs de Magento ayant un site en production

• Si vous copiez/collez les bouts de codes, assurez-vous que les guillemets sont conservés

• D'une manière générale n'accédez jamais ni au Downloader ni à l'Administration via un lien fourni par une personne tierce, mais toujours par un accès direct, pour éviter tout risque de phising.

• Ces correctifs n'affectent pas les fonctionnalités de Magento

• Retrouvez cet article sur le forum ici

Sécurisation complémentaire ET la plus efficace au final

Moins simple à mettre en oeuvre, il existe cependant une sécurisation radicale qui limite l'accès à l'administration et au Downloader, par authentification Http.

Vous trouverez un "mode d'emploi" réalisé par Philippe ici.

Conclusion

D'autant plus quand il s'agit d'e-commerce où c'est un business qu'il faut protéger, la sécurité est un élément clé. La réactivité de la Communauté Francophone de Magento a permis la publication de ce patch sur le forum en moins de 24 heures. C'est parce que Magento est open-source, que la Communauté peut (et doit !) participer à l'évolution de la solution.

Nous comptons sur la réactivité de Varien pour publier une version patchée au plus vite, et nous vous encourageons à appliquer le patch proposé.