Les solutions de commerce en ligne me font doucement rire...

Nouveau WRInaute
Bonjour,

Après en avoir parcouru de nombreux, j'en parviens à cette conclusion :

- la plupart de ces chers prestataires de solutions d'e-commerce se basent sur des cms (joomla!) en y intégrant et bidouillant par exemple des plugin babelfish et virtuamarket pour proposer à la vente des solutions clefs en main à des tarifs exorbitants...

Une question : connaissez-vous une solution en ligne sérieuse (je n'ai pas le temps de me lancer actuellement dans du développement) proposant url rewriting, support multilanges etc. enfin quelque chose de plus sérieux que tous ces liens commerciaux adsense sur lesquels je tombe sur google !

C'est exorbitant comme les sociétés peuvent prendre les gens pour des pigeons... et j'aurai quasiment envie de crée mon propre pack opensource (à voir avec mon agenda).

Que pensez-vous de ma vision? Vos réactions ?

J'espère qu'elles seront nombreuses et que nous pourrons partager nos expériences !

P.S. : le net, ça devient comme la bourse, le pigeon, le pigeonneur !

Salutations,

Sébastien.
 
WRInaute impliqué
humm... la plupart se basent sur du osCommerce plutot non ?
J'ai vu pas mal d'offres aussi de ce genre, en fait c'est à la fois cher et pas cher....

D'un cote c'est pas cher, car après tout 1500 € (environ les prix que j'ai pu constater) c'est pas si cher que ca pour une bonne boutique en ligne type osCommerce pré-parametrée.

D'un autre cote c'est cher, car a ce prix là, le client est "seul" devant son osCommerce, souvent sans assistance mais SURTOUT sans CONSEILS !

Quelquefois je me heurte à des comparaisons de la part de mes clients avec ce genre de service (sachant que je facture plus cher que ces packs pret à l'emploi !). Mais une fois que l'on a expliqué au client le travail à faire (charte graphique, paramètrage, conseils de présentation, prise de photos, etc...) finalement le choix du client est vite fait : pratiquement à 100% du temps le client choisi un interlocuteur physique, c'est humain...
 
WRInaute discret
Des hébergeurs proposent des blogs prêts à l'emploi.
Peut être que certains vendent dans le cadre de l'hébergement des packs de e-commerce à des prix intéressants.
 
WRInaute impliqué
Il faut différencier les prestations certes, mais le résultat est incomparables sur une prestation sur mesure et un tout prêt.
Ensuite les back office sont à adapter à chaque e-commerce et non l'inverse, ce qui donne plus de travail et augmente le tarif.

Il faut aussi cibler votre objectif et déterminer vos attentes. Si vous débuter pourquoi ne pas commencer avec un tout pret mais est-ce qu'il tiendra la route sur la distance ?
 
WRInaute discret
I-services.net va proposer une solution de boutique en ligne pour la fin de l'année, cela peut être intéréssant pour les petites boutiques .
 
WRInaute accro
holmat a dit:
Des hébergeurs proposent des blogs prêts à l'emploi.
Peut être que certains vendent dans le cadre de l'hébergement des packs de e-commerce à des prix intéressants.
sur OVH, tu peut installer en 1 click os-commerce sur ton hébergement, tout comme WordPress, dotclear, ... et nombre d'autres scripts.
Mais après, il faut voir ce qui intéresse le client ? si c'est le prix, la solution est idéale pour lui... et dans quelques mois il comprendra l'intérêt de faire appel à un prestataire pour lui adapter son script gratuit, mais pas gratuitement. :wink:
 
WRInaute impliqué
D'un cote c'est pas cher, car après tout 1500 € (environ les prix que j'ai pu constater) c'est pas si cher que ca pour une bonne boutique en ligne type osCommerce pré-parametrée.
C'est pas plus dans les 5.000 €

Je ne vois as qui peut proposer un site de e-commerce à 1.500 €, Un étudiant au Black ?
 
WRInaute accro
cloacking a dit:
Je ne vois as qui peut proposer un site de e-commerce à 1.500 €, Un étudiant au Black ?
des exemples, qui descendent jusqu'à 300 € :lol: :twisted: -http://www.codeur.com/projet-freelance-568--oscommerce.html
 
WRInaute impliqué
il faut faire la différence avec une boutique qui marche et une boutique qui ne marche pas.

1€ pour une boutique qui ne marchera jamais car c'est une solution presque gratuite sans aucune optimisation, c'est chère.

mais 5000€ a 10000€ pour une boutique sur optimisé qui te rapportera un bon chiffre d'affaire tous les mois, c'est pas chère.

je te conseil de prendre déjà une os commerce.

Pourquoi???
- un forum actif
- beaucoup de contribution gratuit.
- beaucoup de webmaster travail sur oscommerce, tu payeras moins chère l'installation de nouveau module.
- ......
 
WRInaute accro
Je n'ai jamais été (et je ne serai jamais) partisan de ces CMS et solutions Open Source!
Pourquoi?
La bonne question.... parce que les sources que vous avez sont aussi celle de votre hacker !
Comment peut-on se lancer dans un business en ligne et recommander un produit Open-source??!!! :roll:

Il y aura toujours des failles puisque la technologie s'arrête à l'imagination de son créateur mais il y aura toujours un plus malin que soi... et c'est là, tout le danger !!

On ne compte pas le nombre de versionning disponible pour chaque appli!

J'en conviens... le développement personalisé est plus long et plus honéreux mais aucun de mes cliens n'a jamais été lésé et encore moins problématique quand il s'agit de mettre à jour, une nouvelle version de son CMS venant contrer une faille de sécurité et cette mise à jour faite, on s'apperçoit au grand désarroi qu'elle n'est plus compatible avec ses développements personnalisés !

Voilà mon avis sur la question des solutions Open-source
Pour un site perso avec SPIP et compagnie --> Ok c'est cool
Mais lorsqu'on attaque le cas d'un business en ligne (générateur de tunes)... y'a pas de place pour les probabilités !!
 
WRInaute impliqué
c'est sur que c'est mieux de se le créer soit même, mais c'est vraiment pas évidant
quelques mois de travail.

mais je pense quand même la meilleur soluce pour lui c'est quand même oscommerce.
 
WRInaute passionné
passion a dit:
Je n'ai jamais été (et je ne serai jamais) partisan de ces CMS et solutions Open Source!
Pourquoi?
La bonne question.... parce que les sources que vous avez sont aussi celle de votre hacker !
Comment peut-on se lancer dans un business en ligne et recommander un produit Open-source??!!! :roll:

Il y aura toujours des failles puisque la technologie s'arrête à l'imagination de son créateur mais il y aura toujours un plus malin que soi... et c'est là, tout le danger !!

On ne compte pas le nombre de versionning disponible pour chaque appli!

J'en conviens... le développement personalisé est plus long et plus honéreux mais aucun de mes cliens n'a jamais été lésé et encore moins problématique quand il s'agit de mettre à jour, une nouvelle version de son CMS venant contrer une faille de sécurité et cette mise à jour faite, on s'apperçoit au grand désarroi qu'elle n'est plus compatible avec ses développements personnalisés !

Voilà mon avis sur la question des solutions Open-source
Pour un site perso avec SPIP et compagnie --> Ok c'est cool
Mais lorsqu'on attaque le cas d'un business en ligne (générateur de tunes)... y'a pas de place pour les probabilités !!

Tu veux dire que tu développes tes sites exclusivement sur des solutions propriétaires ou personnalisées ? Donc pas de Linux, Apache, PHP... tu développes toi même ton OS, ton serveur ... etc ?
 
WRInaute discret
Monty973 a dit:
passion a dit:
Je n'ai jamais été (et je ne serai jamais) partisan de ces CMS et solutions Open Source!
Pourquoi?
La bonne question.... parce que les sources que vous avez sont aussi celle de votre hacker !
Comment peut-on se lancer dans un business en ligne et recommander un produit Open-source??!!! :roll:

Il y aura toujours des failles puisque la technologie s'arrête à l'imagination de son créateur mais il y aura toujours un plus malin que soi... et c'est là, tout le danger !!

On ne compte pas le nombre de versionning disponible pour chaque appli!

J'en conviens... le développement personalisé est plus long et plus honéreux mais aucun de mes cliens n'a jamais été lésé et encore moins problématique quand il s'agit de mettre à jour, une nouvelle version de son CMS venant contrer une faille de sécurité et cette mise à jour faite, on s'apperçoit au grand désarroi qu'elle n'est plus compatible avec ses développements personnalisés !

Voilà mon avis sur la question des solutions Open-source
Pour un site perso avec SPIP et compagnie --> Ok c'est cool
Mais lorsqu'on attaque le cas d'un business en ligne (générateur de tunes)... y'a pas de place pour les probabilités !!

Tu veux dire que tu développes tes sites exclusivement sur des solutions propriétaires ou personnalisées ? Donc pas de Linux, Apache, PHP... tu développes toi même ton OS, ton serveur ... etc ?

et j'ajouterai que personne n'est à l'abri de bugs ...
l'avantage d'utiliser des solutions existantes est de consacrer son temps à d'autres tâches ...
 
WRInaute impliqué
cloacking a dit:
D'un cote c'est pas cher, car après tout 1500 € (environ les prix que j'ai pu constater) c'est pas si cher que ca pour une bonne boutique en ligne type osCommerce pré-parametrée.
C'est pas plus dans les 5.000 €

Je ne vois as qui peut proposer un site de e-commerce à 1.500 €, Un étudiant au Black ?

c'est clair...
mais en fait, si tu peux proposer un truc à 1500 € : installer un osCommerce brut de décoffrage sans custom graphique, à 1500 € tu peux le faire... mais bonjour la boutique !... :wink:

Perso, je suis pas dans ces tarifs... :roll:

Quant aux propositions à 300 €, la politesse et les règles du forum m'empêchent d'exposer le fond de ma pensée... :lol:
 
WRInaute passionné
passion a dit:
Je n'ai jamais été (et je ne serai jamais) partisan de ces CMS et solutions Open Source!
Pourquoi?
La bonne question.... parce que les sources que vous avez sont aussi celle de votre hacker !

Ce raisonnement me fait plutôt hurler : croire qu'on peut protéger quelque chose par obfuscation est une pure folie.
Il a été plus que prouvé que les meilleurs systèmes de protection, quels qu'ils soient, sont libres, open sources, des algorithmes parfaitement documentés...

Que le code soit disponible aux pirates, c'est un fait, mais n'importe qui d'autre y a accès, et au final cela renforce la sécurisation.
 
WRInaute passionné
passion a dit:
Je n'ai jamais été (et je ne serai jamais) partisan de ces CMS et solutions Open Source!
Pourquoi?
La bonne question.... parce que les sources que vous avez sont aussi celle de votre hacker !
Comment peut-on se lancer dans un business en ligne et recommander un produit Open-source??!!! :roll:

Il y aura toujours des failles puisque la technologie s'arrête à l'imagination de son créateur mais il y aura toujours un plus malin que soi... et c'est là, tout le danger !!

On ne compte pas le nombre de versionning disponible pour chaque appli!

J'en conviens... le développement personalisé est plus long et plus honéreux mais aucun de mes cliens n'a jamais été lésé et encore moins problématique quand il s'agit de mettre à jour, une nouvelle version de son CMS venant contrer une faille de sécurité et cette mise à jour faite, on s'apperçoit au grand désarroi qu'elle n'est plus compatible avec ses développements personnalisés !

Voilà mon avis sur la question des solutions Open-source
Pour un site perso avec SPIP et compagnie --> Ok c'est cool
Mais lorsqu'on attaque le cas d'un business en ligne (générateur de tunes)... y'a pas de place pour les probabilités !!

et bien entendu, tu installe un serveur maison aussi (apache est open source) et une BDD maison aussi (mysql est opent source) et .... J'arette là.

Sans l'open source, le WEB serait le domaine exclusif de grandes sociétés et n'aurait jamais connu le développement et le succés qu'il connait.

Alors vive l'open source !
 
WRInaute passionné
wow

généralement je laisse passer mais la c'est vraiment trop, vous incendiez le monsieur qui a mon avis a totalement raison en donnant en plus des arguments hors sujets

je repond parce que c'est toi fandecine et parce que tu m'as habitué à beaucoup mieux

les solutions informatiques ont toujours été le sujets de vulnerabilités quelles soient open source ou non

pour héberger un site on a besoin d'un ordinateur et d'une plateforme (système d'exploitation)

les systèmes d'exploitations sont donnés pour imperméable aux tentatives d'intrusion à l'instant T ou il sont complètement patchés

entre le moment ou le code qui va exploiter une faille est aboutit et la sortie de son patch, les machines utilisant le ledit code sont vulnérable à une intrusion

conclusion la fréquence des mises à jour est determinante dans la protection des données

pour héberger un site on a besoin d'un programme server qui va ouvrir un acces sur l'exterieur pour envoyer un flux de données

au hasard apache

apache est continuellement passé à loupe par les chercheurs de failles, heureusement la plupart du temps elles sont communiquées à l'editeur qui va mettre au point un patch pour le distribuer et cycliquement va mettre à jour la version installable

ses modules sont aussi très étudiés, mod_rewrite à fait l'objet de failles critiques

php aurait une faille dans les fonctions de conversion de caractère html dont la methode serait d'injecter une certaine chaine de caractères et dont le resultat serait un debordement de la pile heap
l'injection de /bin/sh apres la chaine devrait retourner un shell avec les privileges php voire même root puisque c'est la pile heap

conclusion la fréquence des mises à jour est determinante dans la protection des données

pour héberger un site on a besoin d'un script qui va nous permettre de mettre en forme les données que l'on va diffuser

au hasard os commerce

le script de part sa nature est très convoité par les hackers car le contenu de sa base de donnée est très facilement monetisable, donc les chercheurs de faille torturent le script jusqu'à ce qu'ils trouvent une faille exploitable
les exploits sont privés jusqu'au jour ou une fuite la rend publique
les developpeurs preparent un patch et le publient

notre os commerce est donc vulnerable entre le moment ou quelqu'un trouve une faille exploitable et celui ou l'on patche le script

mais vous, les utilisateurs de os commerce et autres, êtes vous sur que votre site est bien à jour ?

ma soeur me montrait le site d'une concurente la semaine dernière, j'injecte une poussière dans la query string et hop un message d'erreur, je vous le donne dans le mille c'etait un os commerce

quelques manips plus tard, je decouvre que son os commerce etait une version datant de presque 2 ans

elle n'a pas encore été hackée tout simplement parce qu'elle ne vend presque rien (voire rien du tout) qu'elle ne doit pas avoir de visibilité sur les moteurs. point final


allez je vais même ouvrir une parenthese

il m'arrive de temps en temps d'aller sur les forums des editeurs pour lire les posts des mecs qui se sont fait hackés, de telecharger les patchs, d'identifier la vulnerabilité et de faire une recherche google pour trouver des sites vulnerables et verifier que j'ai correctement identifié la faille

alors dire que utiliser un gestionnaire de contenu en open source c'est bien et professionnel et que la valeur ajouté se situe dans la charte graphique, le remplissage de contenu etc...
me fait assez mal aux oreilles (vous me direz que je n'avais qu'à les boucher mais la c'est trop)

Ce raisonnement me fait plutôt hurler : croire qu'on peut protéger quelque chose par obfuscation est une pure folie.

c'est un non sens l'obfuscation n'a rien à voir, les sources php d'un script privé ne sont tout simplement pas accessible

Il a été plus que prouvé que les meilleurs systèmes de protection, quels qu'ils soient, sont libres, open sources, des algorithmes parfaitement documentés...

pourquoi tu as les sources de NOD32 par hasard ?

Que le code soit disponible aux pirates, c'est un fait, mais n'importe qui d'autre y a accès, et au final cela renforce la sécurisation.

c'est justement ce que l'on veut nous faire croire, moi j'ai trouvé une faille critique dans le programme openssh, mais tu ne la verras nulle part
et des centaines de failles sont decouvertes tous les jours, la plupart restent privées voir même inexploitées

rog
 
WRInaute passionné
Rog, vraiment désolé de te décevoir d'autant que je ne vois rien dans ce que tu dis de nature à remttre en cause ce que j'ai dit à savoir que sans l'open source le web tel qu'il est libre et ouvert à tous n'existerait pas. (et si quelqu'un n'est pas d'accord avec ça, ce sera demain matin à 8h00 dans le prés à côté de l'église :wink: je me reserve bien sur le choix des armes :mrgreen: )

Ce qui me gêne énormément dans les propos de passion, c'est le manque de cohérence : je fonctionne sur une plate forme open source mais pour telle appli, j'installe des solutions maison (sous entendu : je veux bien utiliser le travail des autres mais pas partager mon code). Donc je me prends mais je ne donne pas. comportement typiquement Latin.

C'est comme ça que je lis les propos de passion et c'est cela qui me révolte. Pour le reste, il fait comme il l'entend.

Et lorsque tu déclare avoir trouver une faille de sécurité dans openssh et que tu l'as gardée pour toi améne de l'eau, que dis-je, des tonnes d'eau à mon moulin. :lol:

Je sais que je suis un vieux con de 68ard attardé, mais à mon àge je ne changerais plus: je crois à l'échange et au partage du savoir et de la connaissance seuls gages de liberté et de progrés.
 
WRInaute impliqué
Je n'aime pas trop Oscommerce pour une raison importante :

Certes la communauté est importante et active, mais parfois même trop active : trop de mod qui peuvent générer des incompatibilités entre eux, les mises à jour d'un Oscommerce customisé est plus qu'incertaine niveau résultat (et puis il commence à être trop vieillissant). Personnellement, je commence à m'intéresser à Magento qui semble prometteur.

En général les appli PHP opensources ne proposent pas de système "automatisé" de mise à jour (un peu comme le windows update) ce qui fait que bien souvent, les clients finaux se retrouvent rapidement avec une application qui n'est plus à jour, donc sujette aux failles de sécurité.

Pour moi utiliser une appli à faible diffusion dont le code source n'est pas diffusé palie en partie à la problématique : Sans accès au code, la découverte des failles est plus difficiles et surtout représente que peu d’intérêts pour un hacker (il ne peux s’en servir à grande échelle).
 
WRInaute passionné
rog a dit:
c'est un non sens l'obfuscation n'a rien à voir, les sources php d'un script privé ne sont tout simplement pas accessible

Ne fait pas semblant de ne pas comprendre ce que j'ai dit : j'ai peut-être utilisé le mauvais terme, mais le fait est que croire qu'en ne révélant pas les sources, les algos... on est à l'abris, c'est ine grosse erreur.

Tu me cites des exemples de systèmes ouverts avec des failles (dont certaines cachées), oui, cela doit exister, mais pour des systèmes connus et bien fermés, le rapport failles inconnues/failles connues doit être largement supérieur.
Et c'est d'autant plus vrai que le site/système/programme... est connu et important.

Croire qu'on peut éviter toutes les erreurs majeures de sécurités tout seul dans son coin, et qu'on peut faire mieux qu'une communauté importante, c'est illusoire.

Si les utilisateurs de logiciels open source n'utilisent pas les mises à jour de sécurité, ils feront de même avec les logiciels "fermés".
 
WRInaute passionné
c'est un non sens l'obfuscation n'a rien à voir, les sources php d'un script privé ne sont tout simplement pas accessible

La société qui gère le script fait faillite ou encore le développeur freelance vient à mourir, que fait le Ecommerçant avec son beau site de ecommerce développé avec un script propriétaire dont personne ne connais la structure ?

Non, franchement, j'en parlait encore ce matin avec un commerçant souaitant étendre sa boutique vers le web. Je lui conceillais de s'orienter vers de l'open source pour:

1) le prix
2) la possibilité pour lui de s'informer ou de se documenter sur le produit directement en ligne via les sites communautaires.
3) la souplesse de gestion par un prestataire et la possibilité d'en changer facilement si la prestation n'est pas au rendez-vous !
 
WRInaute passionné
edit : moi j'ai pas d'avion donc je vais conseiller à mon client d'aller a moscou en train ou en autobus

lol

c'est parce que certains d'entre vous ont déplacé le debat qui initialement était centré sur les cms

je vais donner un exemple sur une de mes methode de recherche de failles

je prend une usine à gaz style phpbb

j'utilise notepad++ mais je pourrai utiliser nimporte quel editeur un peu avancé

je vais faire des recherche de string sur tout les fichiers en 2 cliques

system
include
require
eval
move_uploaded
extract
select

etc..

en fait sur toutes les fonctions qui sont susceptibles de me permettre de faire executer un code arbitraire

l'etude est torchée en une ou deux heures

maintenant j'aimerai bien que l'on m'explique les avantages d'essayer de penetrer un script sans en avoir les sources

rog
 
WRInaute passionné
rog, je ne remets pas en cause ta façon de voir les chose, mais peux tu simplement répondre à ces deux problèmes que j'ai soulevé :

La société qui gère le script fait faillite ou encore le développeur freelance vient à mourir, que fait le Ecommerçant avec son beau site de ecommerce développé avec un script propriétaire dont personne ne connais la structure ?
 
WRInaute passionné
sans probleme

tu souleves des problematiques catastrophes, on peut la poser à l'inverse et on se rend vite compte que c'est encore pire

un script custom devrait faire max 20 fichiers pour 4000 lignes
un cms fera facilement dix fois plus

hors si la team arrête son activité on se retrouve avec 40 000 lignes de code orphelines au lieu de 4000

commander un code chez un prestataire voisin permet en plus d'avoir un contact direct

ensuite il n'y a pas de secrets, soit le code est bien conçu et orienté vers de futures fonctions et nimporte qui peut le reprendre
soit il sera à totalement à refaire

de plus, commander un code custom implique un contrat, des engagements ainsi que des responsabilités que l'on ne retrouvera pas chez os commerce

mais pour moi la problematique est plus : pourquoi un prestataire dont proposer des sites est le metier ne developpe pas sa propre solution de boutique en ligne

d'apres moi on peut avoir une première version très respectable avec 200h de travail

rog
 
WRInaute impliqué
oli004 a dit:
La société qui gère le script fait faillite ou encore le développeur freelance vient à mourir, que fait le Ecommerçant avec son beau site de ecommerce développé avec un script propriétaire dont personne ne connais la structure ?

Cela dépend du type de contrat qu'il y a avec le prestataire. Pour les scripts que j'ai développé, j'avais précisé dans le contrat avec mes clients, que si pour une raison ou une autre je devais cesser mon activité, les sources (parfaitement documentées mais non diffusées) leur serait fournies. Chose qui à été faite cet été pour tous mes anciens clients.

N'importe quel développeur est à même de reprendre le travail que j'ai effectué pour mes anciens clients si le besoin s'en fait sentir.

oli004 a dit:
Non, franchement, j'en parlait encore ce matin avec un commerçant souaitant étendre sa boutique vers le web. Je lui conceillais de s'orienter vers de l'open source pour:

1) le prix
2) la possibilité pour lui de s'informer ou de se documenter sur le produit directement en ligne via les sites communautaires.
3) la souplesse de gestion par un prestataire et la possibilité d'en changer facilement si la prestation n'est pas au rendez-vous !

Franchement, la plupart des clients la possibilité de se documenter sur le produit via les sites communautaires ils s'en moquent, tous ce qu'ils veulent c'est une boutique qui marche, et compte pas sur eux pour faire les mises à jours.

xTrade a dit:
Croire qu'on peut éviter toutes les erreurs majeures de sécurités tout seul dans son coin, et qu'on peut faire mieux qu'une communauté importante, c'est illusoire.

Je ne pense pas que l'on puisse éviter toutes les erreurs majeures de sécurités tout seul dans son coin, mais penser qu'une communauté importante peut faire mieux est aussi illusoire : la majorité des membres d'une communautés c'est plus pour

1. Utiliser ce qui à été développé par d’autres (la communauté est certes souvent très grande, mais il y en a beaucoup qui ne font que se servir sans comprendre comment cela fonctionne

2. Développer des modules / plugins, il y a qu’a voir par exemple la quantité incroyable de modules qu’il y a pour Oscommerce (dont de nombreux redondants). Assez peu de communautés mettent en place un système d’officialisations de module (qui garantirait une plus grande compatibilité entre chaque modules)

Il reste quand même après cela quelques membre de la communauté qui vont traquer les failles et les corriger, mais ceux la ne sont pas en général aussi nombreux que tu sembles le penser.


Les deux solutions ont chacune leurs avantages et leurs inconvénients, et je n'ai pas la prétention de dire que ma préférence à limiter l'accès à la source est la meilleure solution, mais pour l'instant, elle m'a générer beaucoup moins de soucis que les solutions opensources.
 
WRInaute occasionnel
rog a dit:
c'est parce que certains d'entre vous ont déplacé le debat qui initialement était centré sur les cms

je vais donner un exemple sur une de mes methode de recherche de failles

je prend une usine à gaz style phpbb

j'utilise notepad++ mais je pourrai utiliser nimporte quel editeur un peu avancé

je vais faire des recherche de string sur tout les fichiers en 2 cliques

system
include
require
eval
move_uploaded
extract
select

etc..

en fait sur toutes les fonctions qui sont susceptibles de me permettre de faire executer un code arbitraire

l'etude est torchée en une ou deux heures

maintenant j'aimerai bien que l'on m'explique les avantages d'essayer de penetrer un script sans en avoir les sources

rog

Je suis en train de me battre avec un forum phpbb que j'ai récupéré car j'en étais un membre actif et que l'administrateur ne voulait plus se prendre la tête avec les suppressions d'users et de posts... Tu as beau mettre tous les patchs de sécurité que tu veux, les bots en font ce qu'ils veulent! Un forum ne rapporte rien en matière d'argent et c'est pourquoi je ne cherche pas plus loin pour refondre les scripts en gardant la base. Mais je ne confierai pas un site de commerce à un script opensource...
 
WRInaute passionné
Cela dépend du type de contrat qu'il y a avec le prestataire. ....... Chose qui à été faite cet été pour tous mes anciens clients.

Si celà est prévu dès de départ alors ok, car cela constitue "une garantie en cas de problème" pour le commerçant

N'importe quel développeur est à même de reprendre le travail que j'ai effectué pour mes anciens clients si le besoin s'en fait sentir.

:roll: ça se discute. J'ai été automaticien pendant huit ans et je peux te dire que reprendre une usine à gaz pour débugger ou ajouter une fonction c'est une vraie torture.
Dans l'absolu tout est beau et tout fonctionne jusqu'au jour où il y a une merdre. Si le code est effectivement très propre, et très commenté alors c'est royal, mais pour ma part, en huit ans et sur le nombre de programme où j'ai du intervenir, c'était bordélique 9 fois sur 10! Non par manque de volonté du développeur, mais souvent par le manque de temps qu'on lui allouait.

Autre réflexion qui sort peut-être du sujet initial, mais a quoi bon vouloir réinventer la roue ?

A la base, un site de ecommerce c'est quoi ?

Pour le client :
1) une page d'accueil
2) une page de description de chaque article
3) une page de paiement

Pour le commerçant :
4) une interface d'administration simple de telle sorte que le commerçant puisse ajouter/modifier/supprimer des articles

Hors, c'est déja ce que propose les cms

Si le problème n'est que la sécurité, alors pourquoi ne pas utiliser un cms et le sécuriser ?
 
WRInaute passionné
très simple

1) la linearité de la logique et de la methode de programmation
un cms est developpé par une multitude de codeurs différents ce qui ralenti enormement la comprehension

2) ce sont des usines à gaz qui ont facilement 10 fois plus de code que ce dont on a besoin
donc ça prend 10 fois plus de temps

3) presque tout est basé sur des requêtes mysql qui sont souvent interminables et difficiles à comprendre

4) il faudrait encore pouvoir toutes les identifier
ce qui est pratiquement impossible car il faut des compétences multiples
ce qui implique que dans le futur ton os commerce sera vulnerable à une faille decouverte que tu n'as pas vu

et je finirai par retourner la question à l'inverse, pourquoi ne pas developper sa propre solution so commerce qui laisserait le client dans une dependance totale et ouvrirait des debouchés commerciaux serieux pour une maintenance secu et la commercialisation de nouveaux modules

rog
 
WRInaute impliqué
oli004 a dit:
:roll: ça se discute. J'ai été automaticien pendant huit ans et je peux te dire que reprendre une usine à gaz pour débugger ou ajouter une fonction c'est une vraie torture.
Dans l'absolu tout est beau et tout fonctionne jusqu'au jour où il y a une merdre. Si le code est effectivement très propre, et très commenté alors c'est royal, mais pour ma part, en huit ans et sur le nombre de programme où j'ai du intervenir, c'était bordélique 9 fois sur 10! Non par manque de volonté du développeur, mais souvent par le manque de temps qu'on lui allouait.

C'est ce qui marque un boulot fait par des mauvais développeurs, un bon développeur se débrouillera toujours pour avoir un code propre : je ne compte plus le nombre d'applis sur lesquelles ont me demande d'ajouter ou d'améliorer telle ou telle fonctionnalité un an voir plus après la livraison initiale, et si le code n'était pas correctement codé et commenté, j'aurais du y passer beaucoup plus de temps que nécessaire.


oli004 a dit:
Autre réflexion qui sort peut-être du sujet initial, mais a quoi bon vouloir réinventer la roue ?

A la base, un site de ecommerce c'est quoi ?

Pour le client :
1) une page d'accueil
2) une page de description de chaque article
3) une page de paiement

Pour le commerçant :
4) une interface d'administration simple de telle sorte que le commerçant puisse ajouter/modifier/supprimer des articles

Hors, c'est déja ce que propose les cms

Ben tout bêtement dues aux désidératas des clients qui veulent telle ou telle fonctionnalités, que l'on peut avoir individuellement grâce aux modules proposés par le CMS, mais qui souvent par malchance ne sont pas compatibles entres elles : l'exemple le plus flagrant, c'est OSCommerce : quel merdier pour installer certain modules quand tu en as déjà d'autres en exploitation. Au final tu passes un temps fou à adapter les modules, presque autant que si tu avais tout fait toi même.

oli004 a dit:
Si le problème n'est que la sécurité, alors pourquoi ne pas utiliser un cms et le sécuriser ?

Toujours avec l'exemple de OSCommerce, quand tu l'installes, que tu passes tous les correctifs, Ok il est "sécurisé" (enfin, protégé contre toutes les attaques et failles connues). Si tu laisses ton OSCommerce comme cela, et que tu fais régulièrement les mises à jours, il le restera.

par contre dès que tu ajoutes un module (et souvent suite aux demandes des clients, il y en a plusieurs) tu te retrouve avec la hantise de passer les correctifs, ben oui, les patchs de sécurité d'OSCommerce ne prennent pas en compte les modules, donc le passage de correctif en est d'autant plus désagréable.

Les problèmes de mises à jours sont ma plus grande préoccupation : La plupars outils opensources ne proposent pas de vrai système de mise à jour automatique et pour cause, la version installé par un utilisateur lambda est souvent une version “customisée” et toute mise à jour automatique risque de mettre en péril le fonctionnement du site.

Les applis que je développes ont un tronc commun qui ne vient pas intervenir sur le fonctionnement des modules spécifiques par clients. La mise à jour du noyau de base en est facilité
 
WRInaute discret
cloacking a dit:
D'un cote c'est pas cher, car après tout 1500 € (environ les prix que j'ai pu constater) c'est pas si cher que ca pour une bonne boutique en ligne type osCommerce pré-parametrée.
C'est pas plus dans les 5.000 €

Je ne vois as qui peut proposer un site de e-commerce à 1.500 €, Un étudiant au Black ?

c'est ce que je prends, (1500 HT) avec personnalisation du site, hébergement, référencement manuel et suivi 24/24 et 7j/j.
au hasard :
www.librecrit.com
www.topjeuxvideo.net
www.avenuedusac.com
www.otatoys.com (multilingue)
etc.

ceux-là sont faits en virtuemart : l'avantage c'est que le client comprend tout de suite comme mettre ses produits en ligne. pour des projets plus ambitieux sous zencart c'est plus le même prix.... et pour des projets encore plus ambiteux je ne fais plus que du conseil et je choisis les prestatiaries.
 
WRInaute discret
rog a dit:
très simple

1) la linearité de la logique et de la methode de programmation
un cms est developpé par une multitude de codeurs différents ce qui ralenti enormement la comprehension

2) ce sont des usines à gaz qui ont facilement 10 fois plus de code que ce dont on a besoin
donc ça prend 10 fois plus de temps

3

Ce n'est pas comme cela que cela se passe... on n'attaque massivement le code source que dans le cadre de gros projets. L'usage est de ne pas toucher (ou à peine) au code source et de créer des plugins (ou modifier des plugins existants) pour personnaliser les fonctions du cms. quant à la "multitude de codeurs différents" là encore, c'est généralement faux : les projet opensource important ont tous une coreteam et une hiérarchie qui n'a pas grand-chose à envier aux boites traditionnelles qui bien souvent sponsorisent et/ou fournissent des développeurs. Au hasard pour Debian.
Il ne me semble pas non plus que windows soit particulièrement sécurisé, et de toute manière tous les programmes commerciaux s'appuient et sur des librairies/frameworks/snippets dont le code est connu, et... sur l'opensource également, bien entendu. C'est fini, de réinventer la roue. au final, les problèmes sont les mêmes et que linux soit plus sécurisé que windows ne prête pas à discussion.
En outre, avec un firewall, modsec, suhosin,rootkit, etc. on arrive à très correctement blinder les cms en empêchant l'exploitation de failles avant même que les patchs soient développés.
 
WRInaute passionné
on n'attaque massivement le code source que dans le cadre de gros projets

il n'etait pas question de reprendre un code de cms pour le refaire mais de le securiser et pour cela il faut le comprendre en entier

En outre, avec un firewall, modsec, suhosin,rootkit, etc. on arrive à très correctement blinder les cms en empêchant l'exploitation de failles avant même que les patchs soient développés.

dans le cadre d'un e-shop le hacker a juste besoin d'une toute petite fenêtre sur une injection sql voire d'un LFI (local file inclusion), un fichier install oublié, un conf.bak qui trainerai etc...

enfin vraiment une poussière

safe mode
addslashes
magic quote
IDS
firewall
anti rootkit
php trackers

rien de cela ne les peut les arreter et les listes d'info perso hackées sont toujours aussi nombreuses à circuler sur le net

empêchant l'exploitation de failles avant même que les patchs soient développés
la quelqu'un t'a menti

juste un exemple avec safe mode, une recherche PHP Safe Mode Bypass donne 354 000 resutats

https://www.google.fr/search?hl=fr&safe= ... cher&meta=

rog
 
WRInaute accro
rog a dit:
mais pour moi la problematique est plus : pourquoi un prestataire dont proposer des sites est le metier ne developpe pas sa propre solution de boutique en ligne

d'apres moi on peut avoir une première version très respectable avec 200h de travail

rog
Une vrai bonne idée ça.
Peut être une histoire d'argent, les codeurs qui veux les payer ? il y a de moins en moins de travail a ce niveau ...
cette p....n d'expression réinventer la roue, combien de fois l'ai je entendu ... et pourtant, quel avantage que ce fameux code que personne ne connait et que tu maîtrise totalement puisque tu l'a pensé de A à Z...
 
WRInaute passionné
content d'avoir été utile

une ligne d'info personnel avec N°CB et cvv2 se negocie entre 0,50ct de dollar et 50$ suivant l'age, le sexe, le pays de residence, la nationalité, scan d'id, scan de driving licence, coordonnées bancaires, personne physique ou juridique, la quantité, etc......

la moyenne sur des grosses quantité reste quand même entre 0,50 et 2$

donc les sites qui contiennent moins de 500 elements n'ont aucun interet et n'attirent que des amateurs

mais les gros sites sont la cible constante d'equipes organisées et qualifiées, donc sur un projet ambitieux il vaut mieux eviter les cms

tout petit extrait des vulnerabilités publiées cette année

2007-11-22 DevMass Shopping Cart <= 1.0 Remote File Include Vulnerability 2953 R D S.W.A.T.
2007-10-02 MultiCart 1.0 Remote Blind SQL Injection Exploit 4206 R D k1tk4t
2007-09-24 DFD Cart 1.1 Multiple Remote File Inclusion Vulnerabilities 4545 R D BiNgZa
2007-09-11 X-Cart <= ? Multiple Remote File Inclusion Vulnerabilities 5469 R D aLiiF
2007-08-31 CKGold Shopping Cart 2.0 (category.php) Blind SQL Injection Exploit 4837 R D k1tk4t
2007-08-28 DL PayCart 1.01 (viewitem.php ItemID) Blind SQL Injection Exploit 2100 R D irvian
2007-08-19 Squirrelcart <= 1.x.x (cart.php) Remote File Inclusion Vulnerability 7442 R D ShaiMagal
2007-08-08 FishCart <= 3.2 RC2 (fc_example.php) Remote File Inclusion Vulnerability 5900 R D k1n9k0ng
2007-08-06 CartWeaver (Details.cfm ProdID) Remote SQL Injection Vulnerability 4230 R D meoconx
2007-06-25 BugMall Shopping Cart 2.5 (SQL/XSS) Multiple Remote Vulnerabilities 4298 R D t0pP8uZz
2007-06-02 Quick.Cart <= 2.2 RFI/LFI Remote Code Execution Exploit 5202 R D Kacper
2007-04-24 Advanced Webhost Billing System (AWBS) cart2.php RFI Vulnerability 4614 R D DamaR
2007-04-16 SunShop Shopping Cart <= 3.5 (abs_path) RFI Vulnerabilities 6696 R D irvian
2007-01-11 VP-ASP Shopping Cart 6.09 (SQL/XSS) Multiple Remote Vulnerabilities 5848 R D ajann
2007-01-03 E-SMARTCART 1.0 (product_id) Remote SQL Injection Vulnerability 3529 R D ajann
2006-12-20 Valdersoft Shopping Cart 3.0 Multiple Remote File Include Vulnerabilities 4915 R D mdx
2006-12-03 QuickCart 2.0 (categories.php) Local File Inclusion Exploit

rog
 
WRInaute passionné
maintenant que tu en parles kiwi c'est vrai que c'est bizarre mais bon, il est parti et tant pis pour lui

zeb
on pourrait même appeler les membres de wri à s'unir pour créer une crew pour monter un projet os commerce en private source

rog
 
WRInaute accro
rog a dit:
on pourrait même appeler les membres de wri à s'unir pour créer une crew pour monter un projet os commerce en private source

et perdre le code par une fuite ? hummm dangereux :wink:

Plus sérieusement, je suis sur un projet CMS avec une amie codeuse, qui est né du besoins de gérer de plus en plus de site et de se casser de moins en moins le c.l avec la partie code. Jusqu'à hier, avant de lire ce sujet et de me pencher sur des questions que je ne me posais pas) J'avais dans l'idée de le livrer 'Open source' sur la toile.

Le truc c'est que le CMS doit pouvoir gérer depuis le site de base 10 page j'usqu'a bien plus avec des modules forum et annuaire . (rien d'extraordinaire en somme) Je me disais aussi qu'un module de commerce serait un plus vu la demande qui pointe son nez chez mes contact.

La solution ne serait elle pas du coup de ne laisser en 'Open source' que la partie 'classique' et de dev une option 'private source' pour le module Commerce ? (sachant qu'une faille sur la partie publique peut très bien entacher la partie private c'est encore des questions en plus pour moi)

Quoi qu'il en soit, d'expérience vécu, mes solution perso 'private source' sont moins sources de tracas que l'open source.
J'ai un truc PHPBB que j'ai du blinder pour le spam et qui n'est plus compatible avec les mises a jour donc ... une vrai m...e
Le même problème (spam) sur un code perso m'a demandé 15 mn de dev et deux heures pour mettre a jour une petite dizaine de sites. Il n'y a pas photo sur le rendement ... (et le coût aussi)

Moi je pense que les codeurs, on en veut plu (ou moins en tous cas) les clients, ils cherchent des truc pas cher vite mis en oeuvre et la maintenance ils n'y pensent pas trop (ou ne veulent pas) c'est le rendement qui compte, et je pense qu'ils ne pensent pas sur le long terme.

C'est un peut comme dans d'autres secteurs, on ne fait plu ses chaussures chez un bottier sur mesure on va chez truc ou machin, dés qu'il y a un problème on jette et on ne pense pas a ressemeler sa chaussure ou à la faire réparer. Sur le long terme, j'ai des chaussures que j'ai usées et que j'ai fait reprendre (il y belle lurette que mes pieds ne grandissent plu) certes c'est des articles coûteux mais sur la durée je m'y suis retrouvé.
 
WRInaute passionné
cette problematique existe depuis le debut du web

elle se confirme par le manque d'arguments des commerciaux qui n'arrivent pas à justifier la difference de coûts aux prospects

moi aussi j'ai un cms en V2 depuis plus de 2 ans, il manque juste une release orientée SEO pour etre parfait et il n'utilise pas de base de donnée et il est impiratable
-http://rgirardin.mine.nu/web-concept/

rog
 
WRInaute discret
rog a dit:
empêchant l'exploitation de failles avant même que les patchs soient développés
la quelqu'un t'a menti

juste un exemple avec safe mode, une recherche PHP Safe Mode Bypass donne 354 000 resutats

https://www.google.fr/search?hl=fr&safe= ... cher&meta=

rog

Le "quelqu'un", c'est moi et ma toute petite expérience. Il ne me parait pas utile ni intéressant de te montrer insultant en m'accusant de mentir. ton site "parfait" et "impiratable" est développé en php : le php a des failles. il tourne sous apache : encore des failles. Et ainsi de suite... tu n'en connais que ce qui se dit dans google, tant mieux. quant au php safe ? obsolète. et je passe sur des énormités telles que l'inutilité des firewall...
 
WRInaute passionné
mais dans un debat public tu peux t'exprimer et argumenter sur tes opinions

en passant tu peux aussi espliquer quel firewall tu utilises et comment tu le régle pour empêcher une injection de code sur un service http

rog
 
WRInaute discret
rog a dit:
mais dans un debat public tu peux t'exprimer et argumenter sur tes opinions

en passant tu peux aussi espliquer quel firewall tu utilises et comment tu le régle pour empêcher une injection de code sur un service http

rog

j'ai cité dans un précédent message quelques-uns des outils que j'utilise. voici un tout petit exemple t pour contrer certaines injections php à l'aide de modsec (fourni dans la configuration par défaut).

SecRule REQUEST_FILENAME|ARGS|ARGS_NAMES|REQUEST_HEADERS "(?:(?:\b(?:f(?:tp_(?:nb_)?f?(?:ge|pu)t|get(?:s?s|c)|scanf|write|open|read)|gz(?:(?:encod|writ)e|compress|open|read)|s(?:ession_start|candir)|read(?:(?:gz)?file|dir)|move_uploaded_file|(?:proc_|bz)open)|\$_(?:(?:pos|ge)t|session))\b|<\?(?!xml))" \
"capture,ctl:auditLogParts=+E,deny,log,auditlog,msg:'PHP Injection Attack. Matched signature <%{TX.0}>',id:'950013',severity:'2'"

pour rappel, j'utilise aussi csf, lfd, suhosin, suphp, etc. Il va de soit que je reçoit aussi toutes les heures un log de tout ce qui ressemble de près ou de loin à une attaque. Bref, rien que de très classique. les failles non résolues de joomla ont jusqu'à présent été bloquées avec succès avec mes protections avec l'aimable collaboration de cyber fatal pour test.
 
WRInaute impliqué
lafactory.com a dit:
c'est ce que je prends, (1500 HT) avec personnalisation du site, hébergement, référencement manuel et suivi 24/24 et 7j/j.

diable... quelle prestation !... à 1500 €...
Sérieusement : tu arrives à en vivre ? Non parce que déjà pour un suivi 24/24 et 7/7 il te faut des salariés... et avec 1500 € tu ne pas pas payer grand monde bien longtemps...

Mais je reviens à ma question, c'est sérieux et sincère comme question : arrives tu à en vivre à ce genre de tarifs ?
 
WRInaute discret
LeMulotNocturne a dit:
lafactory.com a dit:
c'est ce que je prends, (1500 HT) avec personnalisation du site, hébergement, référencement manuel et suivi 24/24 et 7j/j.

diable... quelle prestation !... à 1500 €...
Sérieusement : tu arrives à en vivre ? Non parce que déjà pour un suivi 24/24 et 7/7 il te faut des salariés... et avec 1500 € tu ne pas pas payer grand monde bien longtemps...

Mais je reviens à ma question, c'est sérieux et sincère comme question : arrives tu à en vivre à ce genre de tarifs ?
Je n'ai quasiment pas de retour sav et personne n'ose appeler en pleine nuit. au pire, un dimanche à 21h... Je pourrais en vivre, dans l'absolu, dans la pratique c'est plutot de l'argent de poche. immodestement, j'ai une certaine expérience. les sites que j'ai donné en exemple ont été développés en quelques heures. les sites sont stables, l'apprentissage aisé. Je n'aurais pas pu proposer une telle prestation avec zencart (pas difficile à développer, mais coté utilisateur en revanche ils n'y comprennent rien) Quant au référencement, dès lors qu'il qu'il a été pensé en amont lors du développement (url rewriting bien entendu mais j'interviens dès le choix du nom de domaine), référencer manuellement un petit site ou dix, la différence de temps n'est pas significative et c'est très étalé dans le temps.
cela dit en portage salarial c'est assez violent : -50%. D'ici un an ou deux je m'inscrirai sans doute en libéral mais ce ne sera jamais mon activité principale: juste de l'argent facile.
 
WRInaute impliqué
lafactory.com a dit:
D'ici un an ou deux je m'inscrirai sans doute en libéral mais ce ne sera jamais mon activité principale: juste de l'argent facile.

évidement... c'est incroyable mais je l'aurais parié... et gros en plus !
"Juste de l'argent facile"... Je ne vais pas te dire le fond de ma pensée car on va très rapidement se facher.

Simplement pour faire soft, je te rappelle que des gens essayent de gagner leur vie en vendant ce genre de prestations et que ton attitude de "ici on rase gratis" les met vraiment parfois dans la merde.
 
WRInaute impliqué
bigjet a dit:
Il a dit qu'il est en portage salarial, non?
Ou est le problème alors?
En portage salarial, aucun.

Au delà de ca, légal ou pas, cette politique de "je casse les prix car ce n'est que du plus pour moi" est détestable car elle pénalise vraiment le vrai job de pas mal de gens (dont de nombreux WRInautes je pense...). A 1500 € la presta que lafactory.com décrit c'est vraiment en dessous du prix du marché.

Perso je n'ai pas envie de me transformer en Chinois.
 
WRInaute discret
Bienvenue dans le monde du ouebe. En fait bienvenue dans la réalité tout court...
Je ne vois pas pourquoi lafactory.com devrait se priver de revenus sous pretexte que d'autres vont crever. Si ce qu'il fait est legal, c'est tout benef pour les consommateurs et je salue l'initiative.

De toute façon, ça pénalise le job de personne parce qu'un client sérieux ira toujours voir un spécialiste. Ça fait juste ouvrir la porte à certaines personnes qui n'ont pas forcément les moyens de se payer les services d'un spécialiste.
 
WRInaute discret
LeMulotNocturne a dit:
Au delà de ca, légal ou pas, cette politique de "je casse les prix car ce n'est que du plus pour moi" est détestable car elle pénalise vraiment le vrai job de pas mal de gens (dont de nombreux WRInautes je pense...). A 1500 € la presta que lafactory.com décrit c'est vraiment en dessous du prix du marché.

Le marché exagère : si quelqu'un veut que je lui installe virtuemart, zencart, oscommerce... je le fais gratuitement, parce que c'est l'affaire de dix minutes. Pas vraiment difficile de lancer un script qui se charge de tout. 1500 euros HT pour quelques heures de travail, c'est parfaitement raisonnable. Tant pis pour ceux qui font moins bien que moi en y passant davantage de temps. Quant aux accusations de black, elles sont ridicules et s'il faut alerter les modérateurs, c'est plutot sur les accusations diffamatoires qui portent atteinte à mon honneur personnel et professionnel.
 
WRInaute discret
bigjet a dit:
De toute façon, ça pénalise le job de personne parce qu'un client sérieux ira toujours voir un spécialiste. Ça fait juste ouvrir la porte à certaines personnes qui n'ont pas forcément les moyens de se payer les services d'un spécialiste.

Ce qui pénalise tout le monde, ce sont les "spécialistes" qui prennent les gens pour des c... parce qu'il n'y connaissent rien. Je pourrais avoir cent fois plus de clients, mais ils sont traumatisés par le baratin qu'on leur sert et se tournent vers des solutions inefficaces telles que shop factory plutot que de prendre le risque de se faire entuber. J'ai eu l'occasion de lire des devis consternants, pleins de mots ronflants, volontairement incompréhensibles et franchement mensongers. Ce sont ces camelots qui ruinent les gens sérieux, et pas x ou y qui prennent 300 euros en espagne, slovaquie ou algérie via paypal.
 
WRInaute impliqué
lafactory.com a dit:
Je pourrais avoir cent fois plus de clients, mais ils sont traumatisés par le baratin qu'on leur sert et se tournent vers des solutions inefficaces telles que shop factory plutot que de prendre le risque de se faire entuber. J'ai eu l'occasion de lire des devis consternants, pleins de mots ronflants, volontairement incompréhensibles et franchement mensongers

Ah ! ben voilà un point sur lequel nous sommes parfaitement d'accord, sincèrement ! J'ai le même constat.

Pour le reste je reconnais que je me suis allé un peu vite en raccourci (preuve de ma bonne foi, j'ai édité deux posts :wink: ), et le but n'est certainement pas de "diffamer" ou de te porter atteinte, ce n'est pas le genre de la maison (d'ailleurs si cela avait été le cas je pense que les modos se seraient bien chargé de censurer mes propos).

Mais sur le fond, je reste sur ma position. Une fois la triple lame URSSAF, RSI, CIPAV passée, tu racles déjà 50% mini. :cry: Ensuite il y a tous les frais incontournables : voiture, téléphone, PC, logiciels, taxes diverses et variées telles que Taxe Pro, Taxe sur les ordures menagères (je viens de la découvrir celle-là, elle m'a beaucoup fait rire... jaune...), enfin bref...

Sincèrement, fais ton calcul et comptabilise tous tes frais relatifs à ton activité amortis sur l'ensemble de tes prestas. Le résultat est impressionant...
 
WRInaute impliqué
LeMulotNocturne a dit:
Mais sur le fond, je reste sur ma position. Une fois la triple lame URSSAF, RSI, CIPAV passée, tu racles déjà 50% mini. :cry: Ensuite il y a tous les frais incontournables : voiture, téléphone, PC, logiciels, taxes diverses et variées telles que Taxe Pro, Taxe sur les ordures menagères (je viens de la découvrir celle-là, elle m'a beaucoup fait rire... jaune...), enfin bref...

Sincèrement, fais ton calcul et comptabilise tous tes frais relatifs à ton activité amortis sur l'ensemble de tes prestas. Le résultat est impressionant...

Je partage certains points de vue et suis dans la même situation de la triple lame qui rase de près pas laisse toujours un petit poil pour qu'il repousse.... Enfin j'ai une expérience sur le "professionnalisme" de prestataires web, et ce n'est pas jolie jolie.

Ils vendent des prestations chères et un internaute un peu débrouillard leur montre par A+B que ce qu'il font ou disent est mauvais pour leur site... comme dans toutes professions, il y a les sérieux et les voyous... mais bon une fois de devis signé vous êtes coincé... :cry: :x
 
WRInaute discret
LeMulotNocturne a dit:
Mais sur le fond, je reste sur ma position. Une fois la triple lame URSSAF, RSI, CIPAV passée, tu racles déjà 50% mini. :cry: Ensuite il y a tous les frais incontournables : voiture, téléphone, PC, logiciels, taxes diverses et variées telles que Taxe Pro, Taxe sur les ordures menagères (je viens de la découvrir celle-là, elle m'a beaucoup fait rire... jaune...), enfin bref...

Sincèrement, fais ton calcul et comptabilise tous tes frais relatifs à ton activité amortis sur l'ensemble de tes prestas. Le résultat est impressionant...

en portage salarial j'ai 45% de charges plus 5% de commission. puis les impots bien sur. Mais je n'ai pas d'autres frais : Je fais bénévolement La Factory depuis une douzaine d'années, j'ai donc déjà les outils et mon propre serveur. Pas de frais de voiture non plus : je ne me déplace jamais pour gagner des clients. s'ils veulent venir, j'ai mon bureau en plein centre de Paris. En libéral, je devrais logiquement gagner davantage puisque je pourrais justement imputer tout ce que je paye en tant que particulier. Je pense que mon modèle est reproductible et viable, au moins dans le cadre d'une activité secondaire, à condition d'avoir mon expérience pour réaliser un site haut de gamme personnalisé en quelques dizaines de minutes. J'envisage donc entre autres d'organiser des formations. à tout hasard j'ai déposé ecommercefacile.fr
 
Discussions similaires
Haut