osCommerceITalia

Ciao ragazzi, da premettere che io sono un web designer e non un programmatore e ciò nonostante sono riuscito ad imparare abbastanza bene osCommerce, ad aggiungere le varie contributions, ad implementare la struttura del programma quasi in ogni tipo di grafica, etc...prorpio oggi, ho sentitno un mio amico programmatore (che non sentivo da molto tempo) e parlando di osCommerce mi ha detto che è poco sicuro, soprattuto sui pagamenti, mi ha fatto l'esempio dei pagamenti paypal, mi ha detto che un bravo hacker riuscirebbe a sostituire l'indirizzo e-mail con il proprio e ricevere lui dei pagamenti e altre cose di questo genere...in pratica secondo lui osCommerce strutturalmente è ottimo, non è molto complicato (almeno per semplici e-shop) ed altro ancora, ma dal punto di vista della sicurezza ha diverse pecche, questo a suo parere giustificherebbe anche il fatto che sia free...questa cosa mi ha sconvolto, sia perché diciamo che mi è un pò crollato il mondo sotto i piedi, non è stato semplicissimo da imparare, inoltre tra poco dovrei iniziare un lavoro di questo genere, anzi in parte l'ho già iniziato, dovrei fare un e-commerce per un mio amico, il quale mi ha chiesto più volte se questo sistema fosse sicuro ed affidabile...mannaggia...qualcuno di voi (magari qualcuno un pò più esperto o con esperienze simili) potrebbe dirmi se questo è vero o meno? In pù mi piacerebbe sapere, anche per una mia sicurezza personale, quali sono i modi per rendere l'e-commerce ancora più sicuro, soprattutto dal punto di vista dei pagamenti, se va bene paypal o e meglio un server di una banca, se la connessione SSL basta oppure no...approposito ho letto da qualche parte (credo proprio su questo forum) che SSL e osCommerce non vanno molto d'accordo, o quantomeno risulta difficile la sua (il certificato) installazione.
Vi prego ditemi qualcosa, datemi qualche consiglio...

Morgana ha scritto: Vi prego ditemi qualcosa, datemi qualche consiglio...

Ti giro la domanda, prova a pensare a quanti siti ci sono costruiti con oscommerce (lo e' anche googlestore), adesso dimmi quante volte hai sentito in rete parlare di frodi del genere. Se fosse cosi' facile da bucare pensi che non avrebbero gia' da tempo sfruttato questa possibilita'?


'iao

Sergio

...non lo so, io vi chiedo questo perché non sono un grande esperto...ma è comunque possibile una cosa del genere, nel senso che in un sito dove ci sono pagamenti con paypal, è possibile cmabiare l'indirizzo e-mail di riferimento? ...inoltre, quali sono i modi per rendere il tutto ancora più sicuro, basta paypal o è meglio affidarsi alle banche?...e la connessione protetta (con certificato) occorre?

Morgana ha scritto:...non lo so, io vi chiedo questo perché non sono un grande esperto...ma è comunque possibile una cosa del genere, nel senso che in un sito dove ci sono pagamenti con paypal, è possibile cmabiare l'indirizzo e-mail di riferimento?

Tutto e' possibile, se sono entrati nei siti del governo americano e molti altri...
Diciamo che per fare quello che dici imagino debbano bucarti il sito e cambiare i dati di uscita verso paypal o intercettarne la trasmissione e modificarla al volo. In questo caso occorrerebbe mettere sotto SSL la trasmissione dei dati...
In qualsiasi caso immagino che uno se ne accorgerebbe al primo colpo,se vedi un ordine nel tuo sito e non vedi il pagamento sul backoffice chiami il cliente e gli fai bloccare il pagamento

'iao

Sergio

Quando un cliente arriva su Paypal vede oltre all'e-mail anche il nome del commerciante e a meno che paghi senza leggere dovrebbe rendersi conto che qualcosa non torna...

...questo mio amico mi aveva consgliato di passare ad un altro programma, dcendo che osCommerce era più vulnerabile rispetto ad esempio a uno di questi programmini commerciali, ma a come mi sembra di aver capito non è così...si mi è possibile farlo direi anche di quale programma si tratta...vabbè lo dico, è x-commerce (http://www.x-commerce.it), si mi aveva consigliato proprio questo, che ne pensate di tutto ciò?

a me sembra esattamente uguale identico a oscommerce....
poi mi posso sbagliare eh...

... a me sembra che ti voglia fare comprare un servizio e magari ci guadagna anche qualcosa (chissa') perche' se non ho visto male di un servizio si tratta.

Scusa forse penso male e mi sbaglio pero' questa e' l'impressione.... e visto che ormai ci siamo diciamola tutta: non e' che per caso tutto cio' e' per far pubblicita' ad un software di e-commerce?

e sopprattutto non e' che il software di e-commerce pubblicizzato utilizza osc rivisto?
se si va nella demo admin si nota che cambia la veste grafica, ma che la sostanza e' uguale identica a osc

Lollo ha scritto:e sopprattutto non e' che il software di e-commerce pubblicizzato utilizza osc rivisto?
se si va nella demo admin si nota che cambia la veste grafica, ma che la sostanza e' uguale identica a osc

E' in ASP

'iao

Sergio

ah.. ops... no visto estensione ehm... sorry

io qualcosa sulla sicurezza di os commerce ho visto
che vanno fatti alcuni aggiornamenti per evitare questi bugs

E-Mail Header Injection
http://www.oscommerce.com/community/bugs,2488
Problem:
By using malicious data it is possible to inject headers into emails the online store sends.

e anche questo

HTTP Header Injection
Problem:
By using malicious data it is possible to inject headers into HTTP requests.

io ho un sito in asp ed e' stato facilmente bucato
invece oscommerce ancora mai
saluti

...bello, mi fa piacere questa notizia...senti, ma nel tuo sito (non bucato) fai fatto entrambe le correzioni?...approposito io non riesco a trovare la seconda per caso è questa:

http://www.oscommerce.com/community/bug ... +Injection

Morgana ha scritto:...bello, mi fa piacere questa notizia...senti, ma nel tuo sito (non bucato) fai fatto entrambe le correzioni?...approposito io non riesco a trovare la seconda per caso è questa:

http://www.oscommerce.com/community/bug ... +Injection

non so se e' la stessa
no non ho ancora fatto le modifiche...
io riporto quello che ho trovato per dovere di cronaca (o qualcosa del genere) ,questo perche nessun sito e' sicuro al 100% e tralaltro non ho capito bene a che tipo di vulnerabilita' corrispondono le correzioni.
queste le ho trovate incluse in un aggiornamento
osCommerce 2.2 Milestone 2 Update 051113

zpeppe ha scritto: tralaltro non ho capito bene a che tipo di vulnerabilita' corrispondono le correzioni.

Spam attraverso il contact_us

'iao

Sergio