Vendre en ligne avec le moins de risque possible

Signaler
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010
-
bchrist
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010
-
Bonjour! J'ai développé un site web dans lequel, je souhaite intégrer un espace de vente en ligne. j'ai souscris à un hébergement. Je ne dispose pas de moyens pour mettre en place une infrastructure avec des serveurs; ou pour souscrire un autre hébergement uniquement pour l'espace de vente en ligne. Mon souci est le suivant. Je voudrais savoir à quel niveau intégrer les articles que je vend dans l'arborescence de mon site web, et comment protéger ce répertoire de telle sorte ne puisse y avoir accès que seule ceux qui ont acquis un article et ceci après une authentification. En plus un client ne devra télécharger que l'article qu'il a acheté. Merci de m'aider. Bonne journée.

21 réponses

Messages postés
662
Date d'inscription
vendredi 26 septembre 2008
Statut
Membre
Dernière intervention
18 septembre 2009

Bonjour,

Recherches les scripts caddy, il y a des milliers de systèmes de boutique sen ligne, d el aplus simple à la plus sophistiquée.

Le choix est très vaste, aussi bien en PHP qu'en Java ou perl ou python.
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

Le problème n'est pas de vendre. Il est question, ne disposant pas d'une infrastructure, de mettre à disposition des clients, le produits qu'ils ont acquis en évitant les téléchargement qui ne sont pas consécutif à un achat. je dois utiliser l'espace disque mis à ma disposition par mon forfait d'hébergement.
Messages postés
662
Date d'inscription
vendredi 26 septembre 2008
Statut
Membre
Dernière intervention
18 septembre 2009

Les scripts de boutique en ligne bien conçus permettent le téléchargement et permettent d'éviter les téléchargements sauvages.

Mais tu dois savoir qu'une sécurité absolue et totale n'existe jamais. Pour sécuriser une boutique téléchargement, il faut y mettre certains moyens, et là ce n'est pas en HTML simple que tu y parviendras.

Il faut au moins générer des clés sécure (au minimum SGA1) pour les validations de codes de télévhargement et si possible utiliser un serveur relais sécurisé sur lequel se trouvent réellement les données vendues...
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

D'accord avec toi; securité absolue n'existe pas. Mon soucis est d'eviter que celui qui n'as pas acquis par le biais d'un achat, un produit, le telecharge. Et si jamais c possible, de faire que cela soit l'oeuvre de veritable malins. Donc dans la structure de mon site, trouver un emplacement plus ou moins securisé pour y inserer les articles à telecharger apres achat.
Messages postés
662
Date d'inscription
vendredi 26 septembre 2008
Statut
Membre
Dernière intervention
18 septembre 2009

Si ton hébergement le permet, un répertoire hors d el'arborescence racine du site, mais accessible àau serveur web..
et surtout protégé déjà par un .htaccess bien pensé.
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

mon hebergement me permet de creer un repertoire hors de l'arborescence racine du site. Excuse moi: A quoi sert le .htaccess? Fonctionne t-il avec un client ftp? Merci de m'eclairer si c possible. "Il faut au moins générer des clés sécure (au minimum SGA1) pour les validations de codes de téléchargement..." Ci possible merci de m'eclairer aussi. Bonne journée.
Messages postés
351
Date d'inscription
mercredi 21 juillet 2004
Statut
Membre
Dernière intervention
12 août 2009

Bonjour,

J'ai créé un site comme ça ici
J'utilise deux systèmes de paiement allopass et paypal.
Allopass est beaucoup plus simple à mettre en place. Avec un peu de php tu peux créer une seule page de téléchargement et en passant des paramètres tu affiche le bon bouton télécharger.
Cette page contiendra un script qui interdit l'affichage si pas de paiement (fournit pas allopass).
Pour paypal c'est assez compliqué.

Tu dois trouver d'autres systèmes de paiements du même ordre.

thierry la fronde
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

C'est evident que pas d'acces au telechargement s'il n'y a pas achat. le probleme c'est mettre en place un espace de telecharment securisé (dans la mesure du possible) pour ceux qui ont acheté; sans toute fois disposer d'un grand domaine de serveur de relais. vendre en se ruinant le moins possible. créer un repertoire hors de l'arborescence, c bon. la suite c'est le proteger du mieux possible. htaccess c'est l'unique solution pour proteger ce repertoire? Merci. Tu vend avec paypal dans ton site; tu as forcement mis en place un systeme empechant ceux qui n'ont pas achete un cours de le consulter.
Messages postés
351
Date d'inscription
mercredi 21 juillet 2004
Statut
Membre
Dernière intervention
12 août 2009

il faut utiliser les scripts de paypal sur IPN et PDT pour contrôler les achats (ce sont des échanges asynchrone entre ton serveur et paypal), selon le résultat de retour tu autorises ou pas le téléchargement (switch ... case en php par exemple).

exemple :
<?php
switch ($article)
{
case 'cours_php' :
echo "<form action="http://Mon_url/cours_php.zip" method="post">

</form>";
break;
case ....

}?>

ma variable $article contient l'objet de l'achat.


Les téléchargements sont sous format compressés, il faut d'abord télécharger puis consulter (hors connexion par exemple).
Je n'utilise pas de lien texte vers mes téléchargements (des boutons flash ou formulaires cachés avec bouton) pour que les dossiers n'apparaissent pas.

Le mieux serait d'utiliser les api de paypal.. mais là je suis hors course.

après tout dépend du public visé par tes ventes, si tu ne t'adresses pas à des experts webmaster tu ne risques pas grand chose.

thierry la fronde
Messages postés
662
Date d'inscription
vendredi 26 septembre 2008
Statut
Membre
Dernière intervention
18 septembre 2009

Les API Paypal sont quelque peu complexes, c'est vrai.

Une excellente solution poiur qu eles noms d efichiers n'apparaissent jamais est de mettre dans le sformulaires, non le nom de fichier (puisqu'un examen du source de spages permettrait de le trouver) mais un hash md5 par exemple du nom du fichier.. et de stocker les tables de hashing en base de données.

Et la solution pour qu eles fichiers soient aussi invisibles via FTP, c'ets carrément d eles stocker eux aussi dans un champ BLOB de la Base, le hashcode servant de clé primaire..

C'ets relativement simple et peu coûteux à mettre en oeuvre si les fichiers ne dépassent pas une centaine de mégas..
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

Je n'utilise pas de lien texte vers mes téléchargements (des boutons flash ou formulaires cachés avec bouton) pour que les dossiers n'apparaissent pas.
Comment le realiser puisque le bouton flash est insere par un code. Merci

Et la solution pour qu eles fichiers soient aussi invisibles via FTP, c'ets carrément d eles stocker eux aussi dans un champ BLOB de la Base, le hashcode servant de clé primaire..

Inserer 200 fichiers de 80Mo dans una table de la base de données; n'allourdira pas la bd? Merci
Messages postés
662
Date d'inscription
vendredi 26 septembre 2008
Statut
Membre
Dernière intervention
18 septembre 2009

Bonjour,

Inserer 200 fichiers de 80Mo dans una table de la base de données; n'allourdira pas la bd?

200 fichiers de 80 mégas ne font guère que 16 gigas, ce qui reste une petite base de données. Quique, la dépendance envers le système d'exploitation pourrait intervenir, certains stsrèmes de fichiers (FAT32...) interddisant les fichiers de plus de 4 gigas.
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

Le site est hebergé sous linux. Est ce que le probleme de systeme de fichier se pose toujours? Si j'insere un fichier de 80Mo dans une table; est ce que l'enregistrement courant fera 80Mo? Merci et Bonne journée
Messages postés
662
Date d'inscription
vendredi 26 septembre 2008
Statut
Membre
Dernière intervention
18 septembre 2009

Bonjour,

Sous Linux, le système d efichier ext2 te limite à 2 Teras octets par fichier..

Oui, un BLOB est un champ binaire, 80mégas seront toujours 80 mégas.
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

Bonjour! Merci pour les infos. Dernieres choses y a t il des sites qui traitent de la question de la securité d'applications web?Que penses-tu du cgi?est-il important dans le developpement d'un espace vente? Ou trouver les cours traitant du cgi dans la langue de molaire. Encore merci. Ah j'allais oublié; beaucoup de personnes deconseillent de garder les fichiers dans un base de données. Pour quelle raison? Bonnne journée.
Messages postés
662
Date d'inscription
vendredi 26 septembre 2008
Statut
Membre
Dernière intervention
18 septembre 2009

Bonjour,

La sécurité des applications webest uen question complexe, et les sites en traitant sont plutôt relativement spécialisés, et le plus souvent en anglais. En recherchant via SecurityFocus, tu devrait peut-être glaner quelques informations.

Mai sles grosses failles d esécurité proviennent surtout d eprogrammes mal conçus ou mal paramétrés.

Le CGI est la "Common Gateway Interface", une interface cancienne qui date d el'époque où on ne pouvait pas embarquer le sinterpréteurs Perl, PHP ou Python directement en tant que module de Apache, ou Lighttpd par exemple.
L'interface CGI ets le plus souvent associée à Perl, qui reste, bien que surclassé dpeuis longtemps, encore pas mal utilisé. Les problèmes de sécurisation d'une application tournant en CGI sont les mêmes qu eceux d ela même application tournant en mode module. Si la faille est dans l'application, quel qu esoit le lieu où on l'exécute, elle restera vulnérable.

Pour c e qui est du stockage des fichiers, le sttockage en BLOB présente, aux yeux d eceratins l'inconvénient des appels indirects et de ne pouvoir être modifiés ou écrasés directement via FTP. Pour ce qui est des performances, sur le papier un stockage de fichier dans le filesystem est plus performant. Mais qu ecompte 1 milliseconde supplémentaire lorsque ton client doit downloader 80 mégas. Il s'agit avant tout de querelles de puristes. Et en cas de piratage de site, la première chose compromise est en général le système d efichiers, avant la base de données.
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

Pour ce qui est des performances, sur le papier un stockage de fichier dans le filesystem est plus performant. Mais qu ecompte 1 milliseconde supplémentaire lorsque ton client doit downloader 80 mégas.

Quel peut etre le ratio entre un fichier stocké dans la bd et un fichier stocké dans le filesystem. Prenons l'exemple type d'un fichier de 80Mo. Merci
Messages postés
662
Date d'inscription
vendredi 26 septembre 2008
Statut
Membre
Dernière intervention
18 septembre 2009

Bonjour,

Là, les différences en performances dépendent de la valeur alouée par l'initialisation my.cnf au paramètre max_allowed_packet. Par défaut, les tables myisam ont une taille d epaquet de 1 méga (que tu peux, pour optimiser MySQL pour tes besoins, passer à 16 mégas, ce qui, pour un transfert de 80 mégas ne nécessite que 5 transferts de paquets entre disque et mémoire). Dans ce cas, la différence en temps d'accès entre filesystem et base de données devient quasi négligeable.

Les avis indiquant que le stockage image ou fichiers binaires en blobs alourdit considérablement n'est pourtant pas faux. En cas d'hébergements mutualisés (la majorité des cas), comme on ne peut pas toucher au my.cnf, et que d eplus le serveur MySQL est partagé entre une collection de sites et domaines, le stockage en BLOB peut être un facteur de ralentissement.

L'opération n'est conseillée que sur un serveur dédié, avec un SGBD (MySQL, PostgreSQL s'y prêtent bien, Oracle beaucoup moins, et DB2 IBM, pas du tout) parfaitement configuré et optimisé pour les transferts lourds.
Messages postés
28
Date d'inscription
lundi 9 janvier 2006
Statut
Membre
Dernière intervention
15 février 2010

Bonjour
S'il vous plait, pouvez-vous m'aider avec cette erreur?
PHP Startup: mm_create(0, /session_mm_cgi32018) failed, err mm:core: failed to acquire shared memory segment (Invalid argument) in Unknown on line 0

J'aimerais savoir à quoi elle est due et comment y remedier.
Merci pour vos eclaircissements.
Messages postés
91
Date d'inscription
mercredi 15 novembre 2006
Statut
Membre
Dernière intervention
25 juillet 2011

bonjours bchrist

Es tu de ja satisfait pour tes questions sur la vente en ligne ?
marcelolipi
1 2