Forum sur l'utilisation du module PrestaShop Merlin Backoffice »

[TIPS]Merlin et ModSecurity - Produits qui ne s'affichent pas.

» Se désabonner » Rechercher

Auteur	Message
Sitolog Inscrit le : 04/12/2011 Messages : 520	Publié : 06/06/2018 10:38:55 "Citer" Bonjour, C'est la grande mode depuis un an ou deux, les hébergeurs, sans rien nous demander, activent sur nos serveurs la fonction ModSecurity et cela pose souvent des problèmes... Quésaquo ? ModeSecurity un système de protection anti piratage ou anti attaque DDOS. Il analyse les requêtes HTTP entrantes et filtre celles qu'il juge douteuses. Il se base sur une liste de règles de sécurité plus ou moins strictes. Lors de la mise en place de ModSecurity, l'hébergeur peut choisir les règles à activer ou pas. Le problème que cela pose parfois : certaines de ces règles sont tellement strictes qu'elles bloquent certaines des requêtes SQL produites par PrestaPricing ou Merlin Backoffice. Par exemple, chez l'hébergeur O2Switch, l'activation du ModSecurity, bloque la requêtes de lecture des produits, lorsque la colonne "Quantité disponible à la vente" est affichée. La requête n'a pourtant rien de dangereux, mais voila, vos produits ne s'afficheront pas. Solutions : 1re solution, si vous êtes sur un serveur dédié ou si votre hébergeur le permet, demandez à désactiver les règles de ModSecurity connues pour poser soucis. En voici la liste : 340006 340144 340145 350156 340157 340159 350147 2ieme solution, si votre hébergeur le permet, désactivez ModSecurity. Certes, certains vous dirons que vous créez alors une faille de sécurité. C'est à mon sens discutable car il est facile de contourner ModeSecurity (voir solution 3). Chez O2Switch par exemple, cela est faisable pour chaque nom de domaine séparément, depuis le CPanel, onglet "Sécurité". 3ième solution, encrypter les requêtes HTTP envoyées par Merlin Backoffice. Cela suffit pour masquer les requêtes FTP contenues dedans et donc passer la barrière de ModSecurity qui ne voit passer qu'une série de chiffres (ce qui montre bien que ce système ne sert pas à grand chose). Comment faire : dans la 1re fenêtre (connexion), en mode interface complète, allez dans l'onglet "Paramètres avancés" et cochez l'option "Cryptage des requêtes SQL avant envoi". Crdlt Franck

Auteur

Message

Sitolog

Inscrit le : 04/12/2011

Messages : 520

Publié : 06/06/2018 10:38:55 "Citer"

Bonjour,

C'est la grande mode depuis un an ou deux, les hébergeurs, sans rien nous demander, activent sur nos serveurs la fonction ModSecurity et cela pose souvent des problèmes...

Quésaquo ? ModeSecurity un système de protection anti piratage ou anti attaque DDOS. Il analyse les requêtes HTTP entrantes et filtre celles qu'il juge douteuses.
Il se base sur une liste de règles de sécurité plus ou moins strictes.
Lors de la mise en place de ModSecurity, l'hébergeur peut choisir les règles à activer ou pas.

Le problème que cela pose parfois : certaines de ces règles sont tellement strictes qu'elles bloquent certaines des requêtes SQL produites par PrestaPricing ou Merlin Backoffice.

Par exemple, chez l'hébergeur O2Switch, l'activation du ModSecurity, bloque la requêtes de lecture des produits, lorsque la colonne "Quantité disponible à la vente" est affichée.
La requête n'a pourtant rien de dangereux, mais voila, vos produits ne s'afficheront pas.

Solutions :

1re solution, si vous êtes sur un serveur dédié ou si votre hébergeur le permet, demandez à désactiver les règles de ModSecurity connues pour poser soucis. En voici la liste :
340006
340144
340145
350156
340157
340159
350147

2ieme solution, si votre hébergeur le permet, désactivez ModSecurity. Certes, certains vous dirons que vous créez alors une faille de sécurité. C'est à mon sens discutable car il est facile de contourner ModeSecurity (voir solution 3).
Chez O2Switch par exemple, cela est faisable pour chaque nom de domaine séparément, depuis le CPanel, onglet "Sécurité".

3ième solution, encrypter les requêtes HTTP envoyées par Merlin Backoffice. Cela suffit pour masquer les requêtes FTP contenues dedans et donc passer la barrière de ModSecurity qui ne voit passer qu'une série de chiffres (ce qui montre bien que ce système ne sert pas à grand chose).
Comment faire : dans la 1re fenêtre (connexion), en mode interface complète, allez dans l'onglet "Paramètres avancés" et cochez l'option "Cryptage des requêtes SQL avant envoi".

Crdlt
Franck

Répondre Retour Forum