J'ai un ami (Flyman30 pour ceux qui connaissent) qui est en train de faire un site de vente en ligne.
 
Petits moyens et petits débits oblige, il a choisi un prestataire pourri pour faire son site : Paypal
 
Hé bien... Je suis loin d'être un crack, mais tout comme Grosbill, j'ai pu cracker le truc en 30 secondes, et ainsi être sur le point de passer une commande d'un pull à 100 € pour la somme de 1 € (j'aurais pu mettre n'importe quel autre montant)
 
Faites donc bien attention à ce que vous choisissez, et vérifiez à la main dans tous les sens la sécurité de la chose avant de vous lancer.
 
PS: Etant donné que ce prestataire est présent chez d'autres sites, je ne vous indiquerai évidement pas la démarche utilisé pour cracker la chose...
 
Mais je vous préviens juste de ne surtout pas prendre de prestataire. Et si vous l'avez déjà choisi, alors passez immédiatement à un autre. Je leur envoie de ce pas un mal pour les alerter de la faille.

J'aime bien leur "contactez-nous".
 
Bande de miséreux... Faut leur poser une question "en une seule phrase" (et on peut pas saisir plus)
 
J'ai donc broadcasté comme un goret sur toutes les emails "administratives" de leur nom de domaine (administrator, abuse, security, service, etc.) en espérant que ça va arriver dans la boîte aux lettres de quelqu'un
 
J'ai reçu un autoresponse en tout cas :
 

 
Tu les as contacté pour les prévenir d'une faille sur leur système ? Fais gaffe qu'ils ne t'accusent pas de piratage... ça c'est vu déjà plusieurs fois...

Bof, en France, il aurait au moins la jurisprudence kitetoa/Tati pour lui (même si à la base, kitetoa s'était fait méchamment rétamer la gueule. Il avait fallu que le procureur fasse appel pour qu'il y ait relaxe).
 
http://www.kitetoa.com/Pages/Texte [...] ique.shtml

Ben si ils m'accusent pour piratage, pas de problème, moi je le pirate en pour de vrai leux plus gros clients (tout comme j'ai failli acheter le portable qui est en home page de Grosbill pour 8,89 € (il est à 889,99 € )
 
C'est des purs boulets chez Grosbill, parceque ce trou de sécu présent depuis plus de 2 ans maintenant

J'adore les autoresponse...
 
C'est pathétique :

 
Pis alors là, c'est le pompom !
 

 
Qu'ils restent avec leur merdes. Franchement c'est de plus en plus l'importe pour réussir à contacter quelqu'un sur un site web...

Enorme !
 
Tu as prévenu le Flyman quand même j'espère ?

 
Oui                  

 
Mais qu'est-ce qui te fait dire que c'est le cas ? Que derrière, le site ne vérifie pas que la commande est correcte, et que les champs cachés (puisque je devine que c'est de ça qu'il s'agit) n'ont pas été modifiés ?
 
Parce que quand même, ça se saurait si en modifiant les reqûetes HTTP, on pouvait s'équiper à pas cher en hifi/vidéo/informatique/etc...
 

C'est tellement énorme que je n'aurais personnelement jamais pensé à tenter de hacker un prestataire.    
 
Qqn aurait des infos sur les prestataires réputés fiables et ceux, plus douteux, à éviter ?  

 
Malheureusement ce n'est pas le cas    
 
les boutons "ajouter au panier" sont un form qu'on ajoute dans la page avec les infos de prix, l'ID du produit, la taille, la couleur, l'account paypal, etc...

tu as cracke le systeme paypal

Ah ok. Mais dans ce cas là, je suppose que PayPal accepte le paiement, et envoie un accusé au site. A la charge du site de vérifier que la quantité d'argent reçue par Paypal est bien la bonne (de façon automatique ou manuelle. Je suppose que les accusés mettent du temps à arriver...).
 
Je dis ça, puisque beaucoup de sites avec des paiement paypal sont capables de "dire" combien tu as transféré d'argent...

 
Bien entendu on reçoit un mail de confirmation du payement avec les coordonnées du client pour la livraison  

 
donc je vois pas en quoi c'est interessant?
tu envois pas le produit si tu vois que le mec a pas paye le bon montant  

 
En tous les cas ça peut provoquer de belles contestations, en effet va prouver que l'erreur ne venait pas du webmaster ...

Si le client conteste, le site web lui rend son argent et dit : "pardon, on s'est trompé (ou pas), désolé".
 
Ou est-ce qu'il y a contestation possible ?  

 
Si tu le dit ...  

Par contre trouver quelquechose de pas cher pour le commerçant en tant que payment en ligne ... Ta banque te propose quoi ?

 
Un terminal ecommerce (ça remplace l'appareil qu'on trouve dans les magasins pour payer) mais ça ne gère que ça il sort un ticket de payement et c'est tout. Il faut donc trouver un hébergeur qui fasse du https et de l'ASP. les 2 que j'utilise Ikoula et Hfrance ne le propose pas  

euh... Paypal, pour info, il est recommandé par e-bay pour les paiements en lignes entre particulier. Je dis pas que e-bay soit une référence en matière de sécurité, mais Paypal étant un système utilisé par des milliers d'"ebayeur" à travers le monde, il doit quand même être rodé le machin

 
normal, ca appartient a la meme compagnie

bizare, pourquoi cela ne m'étone pas ?
 
Aprés tout ils doublent juste leurs commissions

De sources sûres, ça s'est déjà fait sur Grosbill, et donc :
- Non, ce n'est pas vérifié. Pour connaître le système qu'ils utilisent pour le paiment, je déduis que le rapprochement bancaire est manuel, et certainement que leur service comptable ne s'amuse pas à checker le montant de chaque ligne
- Et de toute façon, avant le check manuel, la transaction est approuvée côté banque, l'argent viré et surtout tous les mails de confirmation sont envoyés au client. Hors ces derniers sont depuis quelques temps des preuves légales, et à partir de là, à moins de prouver que le client a volontairement modifié les informations de la page, et que ce n'est pas un bug, la société n'a aucun recours possible.

Pour Grosbill, leur prestataire semble une copie conforme de celui que j'utilise (ex-ATOS SIPS, renommé en Merc@anet et autres selon la banque partenaire). Si c'est bien le cas, le problème ne vient en aucun cas du prestataire, mais du site de Grosbill, qui a été développé avec les pieds (et je soupçonne les développeurs d'être cul-de-jatte)

Ben ouais. Simple comme choux (encore plus facile que Grosbill qui semble avoir plus ou moins été corrigé depuis la découverte de la faille par un collègue il y a 18 mois).
 

=> Le second article coûte en réalité 100 €.

Mais c'est que c'est très intéressant comme discussion tout ça... Encore plus simple que de faire de faux codes barres pour les supermarchés

tu connais ce qu'on appelle "refus de vente" ?
 
dans ce cas, le magasin est obligé de livrer le produit, et en aucun cas annuler la transaction. dans le meilleur des cas, ils vont essayer de trouver un compromis avec le client pour qu'il paie la différence, moyennant ristourne ou autres services.
 
là où je bosse, le site que j'ai fait a été "attaqué" par des petits malin qui ont passé des commandes avec de vrais faux numéros de carte bleue. transaction ok, livrée, et pof, la banque fait opposition, parceque le détenteur de la carte a porté plein pour usurpation de numéro de carte.
ben ma boîte à tout eu dans le c*l. C'était des jolies commandes pour un totale de 30 000 €. Ils étaient content au service compta

e-Bay recommande ce truc... normal, ça leur appartient

Refus de vente ?
http://vosquestions.service-public [...] e/633.html
 
 
En l'occurence, tout ça (ton opinion et la mienne), c'est que du pipi de chat tant que le client et le vendeur ne vont pas en procès. C'est alors au juge de décider si problème il y a eu, si le problème était légitime, si un contrat tacite a été signé ou pas (c'est le problème sur le net: on ne sait jamais trop à partir de quand la vente est "conclue" ).
 
Kodak en a fait les frais en 2002 en Angleterre. Leur site web vendait un appareil photo en super promo à 150€ au lieu de 450€. Et même s'ils étaient dans leur droit, ils ont préféré livrer les produits pour éviter d'aller en justice avec les clients (mauvaise presse, et coût finalement supérieur).
 
Bref, tout ça pour dire que si un petit malin fait une couille, tu as intérêt à le remarquer, et tu as intérêt à lui rendre son argent, en lui demandant de pas faire chier son monde, sinon...
 
Quand au problème de carte-bleue volée, les sites demandent souvent que l'addresse de la carte bleue soit la même que l'addresse de livraison (c'est le cas en tout cas en Angleterre, Amazon étant la seule grosse exception). C'est une façon de plus de se prémunir...
 

Pour la petite histoire, petites précisions juridiques :
 
- La vente est conclue dès les parties s'accordent sur les éléments essentiels, à savoir la chose et le prix, même s'il n'y a pas eu paiement ou livraison (hors clause suspensive);
- Le vendeur ne peut unilatéralement "annuler" ou "résilier" la vente.
 
En cas d'erreur, à défaut d'accord entre les parties, le vendeur peut postuler la nullité du contrat pour erreur.
Seul un juge peut constater la nullité de la vente ou prononcer sa résolution.
 
La question étant de savoir ce qui constitue une erreur... 50€ au lieu de 100€ ne sera probablement pas considéré comme tel, tandis que 1€ au lieu de 100€ constitue un prix manifestement dérisoire.
 
Ca c'est pour la théorie. Dans la pratique, c'est plutôt comme Lam's l'explique.

En effet, les pirates en herbe on de l'avenir devant eux (m'enfin bon, pour faire des sites toute la journée, je peux dire que c'est quand même pas compliqué de se prémunir des attaques les plus basiques...)
 
Ensuite, pour ce qui est de l'adresse de livraison identique à celle du détenteur de la carte, c'est en effet vrai, mais uniquement pour les particuliers.
Je travaille pour une filliale d'une multinationnalle (General Electric Healthcare Accessories & Supplies Europe - à mes souhaits -), et du coup, le site (bientôt situé en France, actuellement à Milwaukee) traîte des commandes émanant de France, mais aussi de toute l'Europe, l'Afrique, l'Asie, le Moyen-Orient, et parfois le Japon, l'Océanies et les deux Amériques (unités toutes indépendantes normalement, mais qui, via commande internes faites par le site, viennent s'approvisionner chez nous).
Bref, déjà, la couverture est un peu large pour ce qui est du contrôle des adresses de livraison et des adresses des cartes.
A ça, on ajoute simplement que lorsqu'il s'agit de livrer des accessoires et consommables à des hôpitaux, vous comprendrez bien qu'on ne peux pas livrer les 25 palettes de papier et seringues dans la cuisine du comptable de l'hopital, et que même au sein d'un même hôpital, il y a parfois plusieurs entrepôts pour chacun des services (sans parler des groupements d'hôpitaux, dont les entrepôts sont généralement répartis dans toute une région )
 
Bref... Pas d'autre solution que d'interdire tout bonnement le paiment par carte bleue dans les pays qui ont fait récemment de ce genre de pratiques (heureusement, quand il s'agit de régler une facture de 50 000 €, les clients passent rarement par une carte bleue pour payer, et c'est ce type de factures qui sont les plus courantes sur le site )

Tiens, j'achèterais bien quelques DVD et une petite table pour les ranger
 

 
C'est balo, quand on n'a pas de prix négocié, les DVD-R imprimables à 0.98 € ça existe pas, c'est plutôt 20 fois plus cher On sait d'où vient le trou de la sécu maintenant (c pas moi qui fixe les prix hein )
 

Arjuna, t'as pas envie de poster une petite news sur Slashdot, ça serait bient marrant. Je prédis un thread de 1000 posts au moins.

1000, petit joueur...
 
Moi je prédis 2000, s'il sort un truc genre : "I've been fired, as my job went overseas to some indian workers, because they were cheaper. But look at all the security issues I've found".
 
Et il peux arriver à 3000, s'il dit qu'il est Français, que sa boite est américaine, et qu'il y a des liens forts entre les 2 pays donc il mérite de garder son job....

Lam's, je te sens un peu aigri par la mondialisation

Hein ? Non. Nan, je disais juste que ces derniers mois, tout message à propos de off-shoring, à propos de la guerre en Irak ou à propos de Bush-Kerry atteint facilement les sommets slashdotesques.  
 
Donc si t'arrives à faire un bon gros troll à base de sécurité, de John Kerry, de mondialisation et de Microsoft contre Linux, bah tu devrais péter les records...
 
Le Hall-of-fame est principalement politique, mais les sujets sur "I lost my job to an indian worker" sont légions juste derrière:
http://slashdot.org/hof.shtml
 

Bon, beh, si t'es pas aigri, ni cynique, c'est que tu es simplement lucide.

c'est quoi ce site ?