Vi prego ditemi qualcosa, datemi qualche consiglio...
Diavolo cosa ho sentito...problema sicurezza!
Moderatore: mod Generali
Diavolo cosa ho sentito...problema sicurezza!
Ciao ragazzi, da premettere che io sono un web designer e non un programmatore e ciò nonostante sono riuscito ad imparare abbastanza bene osCommerce, ad aggiungere le varie contributions, ad implementare la struttura del programma quasi in ogni tipo di grafica, etc...prorpio oggi, ho sentitno un mio amico programmatore (che non sentivo da molto tempo) e parlando di osCommerce mi ha detto che è poco sicuro, soprattuto sui pagamenti, mi ha fatto l'esempio dei pagamenti paypal, mi ha detto che un bravo hacker riuscirebbe a sostituire l'indirizzo e-mail con il proprio e ricevere lui dei pagamenti e altre cose di questo genere...in pratica secondo lui osCommerce strutturalmente è ottimo, non è molto complicato (almeno per semplici e-shop) ed altro ancora, ma dal punto di vista della sicurezza ha diverse pecche, questo a suo parere giustificherebbe anche il fatto che sia free...questa cosa mi ha sconvolto, sia perché diciamo che mi è un pò crollato il mondo sotto i piedi, non è stato semplicissimo da imparare, inoltre tra poco dovrei iniziare un lavoro di questo genere, anzi in parte l'ho già iniziato, dovrei fare un e-commerce per un mio amico, il quale mi ha chiesto più volte se questo sistema fosse sicuro ed affidabile...mannaggia...qualcuno di voi (magari qualcuno un pò più esperto o con esperienze simili) potrebbe dirmi se questo è vero o meno? In pù mi piacerebbe sapere, anche per una mia sicurezza personale, quali sono i modi per rendere l'e-commerce ancora più sicuro, soprattutto dal punto di vista dei pagamenti, se va bene paypal o e meglio un server di una banca, se la connessione SSL basta oppure no...approposito ho letto da qualche parte (credo proprio su questo forum) che SSL e osCommerce non vanno molto d'accordo, o quantomeno risulta difficile la sua (il certificato) installazione.
Vi prego ditemi qualcosa, datemi qualche consiglio...
Vi prego ditemi qualcosa, datemi qualche consiglio...
Re: Diavolo cosa ho sentito...problema sicurezza!
Ti giro la domanda, prova a pensare a quanti siti ci sono costruiti con oscommerce (lo e' anche googlestore), adesso dimmi quante volte hai sentito in rete parlare di frodi del genere. Se fosse cosi' facile da bucare pensi che non avrebbero gia' da tempo sfruttato questa possibilita'?Morgana ha scritto: Vi prego ditemi qualcosa, datemi qualche consiglio...
'iao
Sergio
http://www.oscomtemplate.com - E' disponibile il nuovo pacchetto free con forum di supporto
http://www.semilandia.it
http://www.semilandia.it
...non lo so, io vi chiedo questo perché non sono un grande esperto...ma è comunque possibile una cosa del genere, nel senso che in un sito dove ci sono pagamenti con paypal, è possibile cmabiare l'indirizzo e-mail di riferimento? ...inoltre, quali sono i modi per rendere il tutto ancora più sicuro, basta paypal o è meglio affidarsi alle banche?...e la connessione protetta (con certificato) occorre?
Tutto e' possibile, se sono entrati nei siti del governo americano e molti altri...Morgana ha scritto:...non lo so, io vi chiedo questo perché non sono un grande esperto...ma è comunque possibile una cosa del genere, nel senso che in un sito dove ci sono pagamenti con paypal, è possibile cmabiare l'indirizzo e-mail di riferimento?
Diciamo che per fare quello che dici imagino debbano bucarti il sito e cambiare i dati di uscita verso paypal o intercettarne la trasmissione e modificarla al volo. In questo caso occorrerebbe mettere sotto SSL la trasmissione dei dati...
In qualsiasi caso immagino che uno se ne accorgerebbe al primo colpo,se vedi un ordine nel tuo sito e non vedi il pagamento sul backoffice chiami il cliente e gli fai bloccare il pagamento
'iao
Sergio
http://www.oscomtemplate.com - E' disponibile il nuovo pacchetto free con forum di supporto
http://www.semilandia.it
http://www.semilandia.it
...questo mio amico mi aveva consgliato di passare ad un altro programma, dcendo che osCommerce era più vulnerabile rispetto ad esempio a uno di questi programmini commerciali, ma a come mi sembra di aver capito non è così...si mi è possibile farlo direi anche di quale programma si tratta...vabbè lo dico, è x-commerce (http://www.x-commerce.it), si mi aveva consigliato proprio questo, che ne pensate di tutto ciò?
... a me sembra che ti voglia fare comprare un servizio e magari ci guadagna anche qualcosa (chissa') perche' se non ho visto male di un servizio si tratta.
Scusa forse penso male e mi sbaglio pero' questa e' l'impressione.... e visto che ormai ci siamo diciamola tutta: non e' che per caso tutto cio' e' per far pubblicita' ad un software di e-commerce?
Scusa forse penso male e mi sbaglio pero' questa e' l'impressione.... e visto che ormai ci siamo diciamola tutta: non e' che per caso tutto cio' e' per far pubblicita' ad un software di e-commerce?
E' in ASPLollo ha scritto:e sopprattutto non e' che il software di e-commerce pubblicizzato utilizza osc rivisto?
se si va nella demo admin si nota che cambia la veste grafica, ma che la sostanza e' uguale identica a osc
'iao
Sergio
http://www.oscomtemplate.com - E' disponibile il nuovo pacchetto free con forum di supporto
http://www.semilandia.it
http://www.semilandia.it
io qualcosa sulla sicurezza di os commerce ho visto
che vanno fatti alcuni aggiornamenti per evitare questi bugs
E-Mail Header Injection
http://www.oscommerce.com/community/bugs,2488
Problem:
By using malicious data it is possible to inject headers into emails the online store sends.
e anche questo
HTTP Header Injection
Problem:
By using malicious data it is possible to inject headers into HTTP requests.
io ho un sito in asp ed e' stato facilmente bucato
invece oscommerce ancora mai
saluticon il mio oscommerce vendo ricambi auto e accessori.
...bello, mi fa piacere questa notizia...senti, ma nel tuo sito (non bucato) fai fatto entrambe le correzioni?...approposito io non riesco a trovare la seconda per caso è questa:
http://www.oscommerce.com/community/bug ... +Injection
http://www.oscommerce.com/community/bug ... +Injection
non so se e' la stessaMorgana ha scritto:...bello, mi fa piacere questa notizia...senti, ma nel tuo sito (non bucato) fai fatto entrambe le correzioni?...approposito io non riesco a trovare la seconda per caso è questa:
http://www.oscommerce.com/community/bug ... +Injection
no non ho ancora fatto le modifiche...
io riporto quello che ho trovato per dovere di cronaca (o qualcosa del genere) ,questo perche nessun sito e' sicuro al 100% e tralaltro non ho capito bene a che tipo di vulnerabilita' corrispondono le correzioni.
queste le ho trovate incluse in un aggiornamento
osCommerce 2.2 Milestone 2 Update 051113
con il mio oscommerce vendo ricambi auto e accessori.
Spam attraverso il contact_uszpeppe ha scritto: tralaltro non ho capito bene a che tipo di vulnerabilita' corrispondono le correzioni.
'iao
Sergio
http://www.oscomtemplate.com - E' disponibile il nuovo pacchetto free con forum di supporto
http://www.semilandia.it
http://www.semilandia.it