Magento

Par Philippe Humeau – 

Suite à la divulgation à Imagine de deux failles de sécurité, l’une concernant le listing client (par l’academy Ecommerce) et l’une concernant les payements PayPal, nous avons eu beaucoup de retours.

Ces retours étaient très positifs, à l’exceptions de 4 personnes ayant considéré notre démarche de disclosure inadaptée. Ceci mériterait un débat, mais pour faire court, si nous avons autant détaillé le contenu et la méthode, c’est qu’il a été prouvé à de multiples reprises dans le monde de la sécurité que si le client ne comprend pas la faille, il ne s’en protège pas. Nous avions prévenu Magento Inc et la team sécurité, le maître de conférence, nos partenaires ainsi que nos clients, car cette faille était activement utilisée.

Lors de ma conférence à Imagine 2012, j’avais formulé le souhait que ce type de faille soit corrigée par des patchs cumulatifs, publiques et que la politique de « silent patching » (correction dans les versions ultérieures sans prévenir) soit abandonnées pour les failles critiques. (d’ailleurs, en parlant, de sécurité, Bastian Ike a aussi fait un papier en ce sens à Imagine, visible ici)

Je suis aujourd’hui ravis de la responsabilité et du sérieux avec lequel Magento Inc a répondu à ce soucis et à cette demande. En effet, le support vient d’émettre un patch et d’informer ses clients Enterprise de l’existence de celui-ci.

C’est une réelle avancée dans le comportement de l’éditeur, qui va dans le bon sens et la réaction du support de réouvrir les tickets, renvoyer le patch et prévenir ses clients EE est tout à fait louable !

Je vous joins le patch ici. C’est, en théorie, pour de l’EE 1.8+ et avant 1.10.1 puisqu’après c’est déjà patché, vous pouvez l’adapter facilement à la CE.

Une progression vers les bonnes pratiques

Ce qu’il faut retenir c’est que Magento est prêt à changer ses pratiques et se mettre en conformité avec celles du marché en terme de sécurité sur les framework Opensource. C’est un grand pas en avant. De surcroit, le fait que le support revienne vers les clients pour les informer est également une belle avancée et une marque de professionnalisme.

PayPalMais ce qu’il faut retenir également, c’est le conseil que donne Magento et qui est vrai dans tout le monde de l’opensource. On ne reste pas avec une version antédiluvienne de son logiciel, sans upgrader. Avoir une instance de Pré-Production permet de suivre le rythme des versions et de mettre à jour, sans risque, son Magento.

Effectivement, certaines versions plus majeure nécessiteront un peu de travail (comme lors de la 1.4 CE) et d’autres ne sont pas rétro compatibles (la future version 2.0) Mais dans l’ensemble, c’est faisable, rapide et simple, et cela prémunie des risques de sécurité ou des bugs que l’équipe de Magento Inc corrige de versions en versions, tout en profitant d’optimisations et de nouvelles fonctionnalités.

Evidemment, cela impose aussi de ne pas avoir un Core de Magento modifié, ce qu’il ne faut pas faire d’une manière générale.

philippe
 

Aucun commentaire