#1 Le 05/03/2009, à 23:09
- Paul Vallon
Confidentialité et sécurité lundi matin business
Bonjour ;
Un petit mail pour vous faire part d'une expérience navrante. Je cherche à monter mon entreprise et ai fait le choix militant d'ubuntu comme système d'exploitation à titre personnel. Je cherche à tester les logiciels existants.
Ma curiosité m'a amené à télécharger "lundi matin business", qui en jette et semble présenter de nombreuses fonctionnalités, tout en se présentant comme libre.
Je télécharge donc les paquets debian et commence l'installation. Pendant celle ci, il m'est demandé de taper dans un terminal mon mot de passe php "root".
Pardon, répétez ? Vous voulez que je donne mon mot de passe d'administrateur ?
Peut être pas, et ce n'est peut être rien, mais en tous cas je doute. Je met l'installation en attente et je file sur le site
Je retourne sur le site de la société (c'est bien une société) qui édite le logiciel, et je regarde la page "qui sommes nous" (http://www.lundimatin.fr/site/societe_l … in_sas.php). Bon OK, ils vendent de la pub directement dans le logiciel en prétendant vouloir fluidifier les rapports commerciaux dans l'entreprise. Je veux bien.
Mais je vais un peu plus loin. Je cherche "confidentialité" sur le site. Pas une occurrence selon google(http://www.google.fr/search?hl=fr&as_qd … cher&meta=).
Là cela m'embête franchement. Etant de formation comptable, je sais que l'on ne rigole pas avec ça.
Je refuse donc de terminer l'installation. Et là, mauvaise blague : l'installation ne répond plus. Je dois donc redémarrer. Apparemment selon Synaptic, rien n'a été installé. Bon...
Donc petite question : quelqu'un a t il testé la sécurité de cette application et la confidentialité des données de l'utilisateur qui l'installe ?
Paul
#2 Le 06/03/2009, à 10:03
- phossele
Re : Confidentialité et sécurité lundi matin business
bonjour,
je transmet ta question sur la liste de l'APRIL....
très intéressant...
Avatar par Killyoh sur Crystalxp.net
Tout le monde est capable de créer un système incapable de fonctionner.
-+- Georges Courteline -+-
Hors ligne
#3 Le 21/03/2009, à 11:11
- mnttech
Re : Confidentialité et sécurité lundi matin business
Comment veux tu que LMB se connecte à ta base de données si tu ne lui indique pas ton mot de passe root? Réfléchir deux minutes avant de crier au loup.
De plus il n'y a pas de pub dans LMB.
Je précise que je suis un simple utilisateur de LMB.
#4 Le 21/04/2009, à 06:37
- Phil_SQL
Re : Confidentialité et sécurité lundi matin business
Eh t'as jamais du installer des applicaiton php/mysql mon gaillard !
Faudrait voir à apprendre le fonctionnement de ce genre de standard avant de dire des bêtises.
La base de données t'en est propriétaire, à toi de la protéger au niveau système & accès !
Les données que tu saisis pour l'installation sont envoyées à ton serveur Web & Mysql, pas au constructeur de LMB.
Je crois qu'anvant de critiquer la sécurité faudrait pt-être un peu bosser le fonctionnement des sites web & serveurs.
A+
#5 Le 21/04/2009, à 10:18
- Xarkam
Re : Confidentialité et sécurité lundi matin business
Eh t'as jamais du installer des applicaiton php/mysql mon gaillard !
Faudrait voir à apprendre le fonctionnement de ce genre de standard avant de dire des bêtises.La base de données t'en est propriétaire, à toi de la protéger au niveau système & accès !
Les données que tu saisis pour l'installation sont envoyées à ton serveur Web & Mysql, pas au constructeur de LMB.Je crois qu'anvant de critiquer la sécurité faudrait pt-être un peu bosser le fonctionnement des sites web & serveurs.
A+
Fiston, une application qui demande le pass root mysql pour s'installer c'est de la foutaise en barre.
Il a raison de s'inquiéter. Qui te dit que l'install n'envoie rien ? A faut lire le code? C'est bien connu tout le monde c'est lire du php, sql, java, c, c++ sans problèmes.
Je préfère toujours les install ou je me connecte moi même en root et ou je crée le user et la db pour qu'en suite le soft puisse s'installer.
Je pense que tu devrais l'accompagner dans des cours sur la sécu.
Osames Manager
---
Asus Rampage V Extrême | Intel i7 5820K | Corsair 16GB DDR4 | NVIDIA GeForce 770GTX
Utilisateur d'Ubuntu, Debian, et Windows
Hors ligne
#6 Le 21/04/2009, à 14:28
- Alph
Re : Confidentialité et sécurité lundi matin business
Bonjour, je ne suis pas spécialiste, mais si on modifie le mot de passe Root après l'installation, cela ne suffit pas pour être en sécurité ?
Ubuntu 16.04.1
Hors ligne
#7 Le 21/04/2009, à 18:20
- Xarkam
Re : Confidentialité et sécurité lundi matin business
Tu peut modifier le pass, mais ca ne se fait pas comme ca lorsque tu est dans une structure.
On peut aussi prendre l'exemple d'open-xchange qui lui demande carrément de virer le pass root mysql pour son installation.
Osames Manager
---
Asus Rampage V Extrême | Intel i7 5820K | Corsair 16GB DDR4 | NVIDIA GeForce 770GTX
Utilisateur d'Ubuntu, Debian, et Windows
Hors ligne
#8 Le 21/04/2009, à 19:21
- Benjamin C.
Re : Confidentialité et sécurité lundi matin business
Bonjour,
étant le représentant de la société, je m'étonne de vos propos. Comme le disent certaines personnes ici, vous criez au loup un peu vite.
Non que cela soit extrêmement grave, plus de 10000 entreprises ont a ce jour fait le choix de notre solution, mais vos propos discréditent légèrement notre travail.
Et derrière le logiciel, comme vous le dites il y a une entreprise. Si vous êtes un temps soit peu partisan des logiciels libres, la moindre des choses est de respecter notre travail et donc de ne pas lancer ce genre d'alerte sans avoir vérifier vos informations.
Pour finir, le système requiert effectivement une base de données et donc un compte MySQL.
Notre société ne propose pas de support pour Linux/Ubuntu car nous n'en avons pas les compétences. Le module d'installation a été proposé par une entreprise Suisse spécialiste d'Ubuntu justement...
#9 Le 22/04/2009, à 06:55
- kaoti
Re : Confidentialité et sécurité lundi matin business
Bonjour,
Cependant, aucun démentit dans vos propos. Qu'un étonnement !
10000 utilisateurs dites-vous ? Diantre, quel besoin alors d'une telle défense. L'entreprise est solide et n'a donc que faire de ce discours d'illuminés.
Avez-vous bien lu les posts précédents ?
moi je lis : Donc petite question : quelqu'un a t il testé la sécurité de cette application et la confidentialité des données de l'utilisateur qui l'installe ?
Cette personne attend une réponse et vous n'apportez qu'un étonnement. Je crois que les partisans des logiciels libres, comme vous dites, attendent des réponses à leurs questionnements alors que vous mêmes attendez le respect de votre travail. Votre réponse n'est pas acceptable dans un tel forum et jette, au contraire, une certaine suspicion sur votre travail pour ne pas parler de vos motivations.
Hors ligne
#10 Le 22/04/2009, à 16:45
- blackenergy
Re : Confidentialité et sécurité lundi matin business
Bonjour a tutti,
Je lis et les bras m'en tombent :
Votre réponse n'est pas acceptable dans un tel forum et jette, au contraire, une certaine suspicion sur votre travail pour ne pas parler de vos motivations.
dites donc.. vous n'y allez pas de main-morte, moi je trouve que c'est votre ponctuation qui n'est pas très "ubuntero-like" .. et en plus c'est hors sujet, tiens. Ou alors vous aviez eu une journée de m.. .
Pour répondre au premier post, qui date un peu, je suggérerai à M. Vallon d'essayer d'abord de contacter Lundi Matin; de plus maintenant il sait que le patron suit son bébé sur la Toile!
..et de faire un gentil retour d'expérience.
Amicalement,
Dernière modification par blackenergy (Le 22/04/2009, à 16:46)
Hors ligne
#11 Le 23/04/2009, à 18:44
- Xarkam
Re : Confidentialité et sécurité lundi matin business
Bonjour,
étant le représentant de la société, je m'étonne de vos propos. Comme le disent certaines personnes ici, vous criez au loup un peu vite.
Non que cela soit extrêmement grave, plus de 10000 entreprises ont a ce jour fait le choix de notre solution, mais vos propos discréditent légèrement notre travail.Et derrière le logiciel, comme vous le dites il y a une entreprise. Si vous êtes un temps soit peu partisan des logiciels libres, la moindre des choses est de respecter notre travail et donc de ne pas lancer ce genre d'alerte sans avoir vérifier vos informations.
Pour finir, le système requiert effectivement une base de données et donc un compte MySQL.
Notre société ne propose pas de support pour Linux/Ubuntu car nous n'en avons pas les compétences. Le module d'installation a été proposé par une entreprise Suisse spécialiste d'Ubuntu justement...
Bonjour,
il me semble que des cours de compréhension soit une nécessité. Où voyez-vous une alerte dans les posts précédents ? Juste des interrogations et une conversation sur le mode de fonctionnement de l'installation.
10000 entreprises on fait les choix de lmb ? Et alors ? ca ne prouve rien. Nous ne connaissons pas la politique sécuritaires de ces dite entreprises.
Et derrière l'entreprise, n'y a-t-il pas une volonté de se faire de l'argent en distribuant une version gpl faisant payer le support et le dev spécifique ? S'il vous plait soyons sérieux, vous faite comme la plus part des entreprises, vous surfez sur la vague "open source". Le jour ou cela sera passé de mode, nous n'entendrons plus parler d'un lmb opensource.
Ha bon? faut un compte mysql pour installer le bouzin ? On aurait pas devines tient.
Ici ce qui est mis en cause ce n'est pas le fait d'avoir un compte mysql mais les droits qui lui sont associés.
Une société tierce à fait un pquet ubuntu/debian ? et bien soyez clair à ce sujet sur votre site. Assumez que diable.
Osames Manager
---
Asus Rampage V Extrême | Intel i7 5820K | Corsair 16GB DDR4 | NVIDIA GeForce 770GTX
Utilisateur d'Ubuntu, Debian, et Windows
Hors ligne
#12 Le 24/04/2009, à 00:07
- blackenergy
Re : Confidentialité et sécurité lundi matin business
..une entreprise qui ne veut pas faire d'argent il y en a assez peu en fait, ou alors çà s'appelle une association.:lol:
Hors ligne
#13 Le 24/04/2009, à 01:00
- blahnotblahblah
Re : Confidentialité et sécurité lundi matin business
Contrairement à blackenergy, je rejoins les propos de kaoti car :
- le post de Paul Vallon n'accuse pas qui et quoi que ce soit mais s'interroge sur cette
demande de mot de passe root.
- la réponse de ce Benjamin C. est à côté de la plaque et surtout c'est la réponse typique d'un commercial qui ne sait pas vendre à une clientèle potentielle. Il ne sait pas traiter correctement un probable client au sens comptable du terme. C'est à pleurer !:lol:
Bien-sûr il n'est pas justifiable que pour son bon fonctionnement une application exige le mot de passe root de quoi que ce soit.
Or il ne faut pas jamais permettre qu'une application même libre s'ingénue à gérer en tant que super utilisateur le système ou sgbd ou autre ! Le réflexe de Paul Vallon est remarquable, Bravo à vous !
Si l'application commerciale de cette société a besoin d'un mot de passe root alors qu'elle n'est pas dévolue à gérer spécifiquement tout ou partie des fonctionnalités d'un compte root système ou applicatif (sgbr), alors y a problème de conception et finalement un manque de maîtrise de la gestion des droits utilisateurs !
Mais c'est pas grave, la solution est technique donc y a au moins une solution !
Ou mieux la question qui est posée à l'installation est mal fagotée !
En revanche la sortie Benjamin C. on s'en passe, elle est méprisante, politiquement correcte, s'appuie sur un propos qui n'existe pas et anti clientèle au possible (le plus grave auprès de son patron - en espérant que cela ne soit pas lui !)
J'eus aimé une réponse appropriée du genre :
Je vous rassure, l'application ne demande pas le mot de passe root de quoi que ce soit et je vous invite à telle adresse afin de lire la section machin du mode d'emploi de l'appli qui je suis sûr apportera toute satisfaction mais si cela n'était pas le cas, n'hésitez pas à me contacter, et blah blah et blah blah !
Bref on respecte le client potentiel point barre surtout lorsque celui-ci n'insulte pas et se pose des questions légitimes !:rolleyes:
Le client a le droit de se tromper, c'est normal, lui il se fout du fonctionnement du moteur mais la sécurité c'est son problème donc c'est à vous de le rassurer et de ne surtout pas le renvoyer dans un paddock quelconque !
Non mais franchement, l'économie interne n'est pas prêt de se relancer avec des nigots pareils !
Dernière modification par blahnotblahblah (Le 24/04/2009, à 01:10)
proverbe ashanti: "Quand la maison brûle, on ne perd pas de temps à pérorer".
Hors ligne
#14 Le 27/04/2009, à 14:09
- seb24
Re : Confidentialité et sécurité lundi matin business
Bien-sûr il n'est pas justifiable que pour son bon fonctionnement une application exige le mot de passe root de quoi que ce soit.
A bon ? on installe les applications sous Linux avec une session invité je suppose...
En revanche la sortie Benjamin C. on s'en passe, elle est méprisante, politiquement correcte, s'appuie sur un propos qui n'existe pas et anti clientèle au possible (le plus grave auprès de son patron - en espérant que cela ne soit pas lui !)
En même temps les messages précédent...
Bref on respecte le client potentiel point barre surtout lorsque celui-ci n'insulte pas et se pose des questions légitimes !
Oui mais le respect doit être mutuel il me semble. Et poster un message et barrer c'est pas forcement très intelligent. On sais même pas ce qu'il lui est demandé. un compte root php ??? C'est quoi ???
Non mais franchement, l'économie interne n'est pas prêt de se relancer avec des nigots pareils !
Ce genre de remarque est je trouve un peu déplacé quand même.
Le client a le droit de se tromper, c'est normal, lui il se fout du fonctionnement du moteur mais la sécurité c'est son problème donc c'est à vous de le rassurer et de ne surtout pas le renvoyer dans un paddock quelconque !
Mmm mais il a le droit d'avoir un minimum de competence aussi.
Mini PC NUC avec Ubuntu: ebay
Hors ligne
#15 Le 27/04/2009, à 16:01
- CRM linux
Re : Confidentialité et sécurité lundi matin business
Je ne pense pas que c'est avec ce genre de remarque que l'on va faire progresser linux dans les TPE.
C'est déjà assez difficile de faire tourner sa boîte que s'il faut en plus devenir un expert de la ligne de commande, il y a beaucoup de personnes qui vont rester sous XP.
Parce que si, in fine, quand je n'arrive pas à trouver une alternative à ce dont j'ai besoin sur Linux sans mettre les mains dedans, recompiler, etc, etc... et que la seule solution soit de faire tourner mon programme sous Wine, alors je vais rester sous XP et cela ira plus vite.
Il faudrait peut-être comprendre que le gens ont autre chose dans la vie que de devenir des experts informatiques en plus de leur boulot. et je le dis d'autant plus facilement que j'ai abandonné l'idée d'utiliser linux dans mon activité professionnelle, faute de solution logicielle satisfaisante.
alors, j'essaye de progresser pour me débrouiller tout seul, mais c'est pour ma culture informatique personnelle.
sortir une solution TPE toute en 1, sans devoir rien paramétrer de compliqué, serait une bonne idée, même si la standardisation n'est pas la solution ultime.
#16 Le 27/04/2009, à 17:03
- Alph
Re : Confidentialité et sécurité lundi matin business
Bonsoir, je trouve que LMB est un bon produit. Je l'ai installé en local avec le .DEB pour le tester, et vraiment il n'y à pas plus simple, par contre concernant la sécurité je n'ai pas les connaissances pour en juger. Le grand reproche que je ferais est l'absence quasi totale de documentation, faites un tour sur le site de Cligraphcrm (EGG maintenant) et admirez la doc.
Bref deux applis qui se ressemblent, mais dont la philosophie des développeurs semble bien différente.
Ubuntu 16.04.1
Hors ligne
#17 Le 27/04/2009, à 17:31
- Alph
Re : Confidentialité et sécurité lundi matin business
Parce que si, in fine, quand je n'arrive pas à trouver une alternative à ce dont j'ai besoin sur Linux sans mettre les mains dedans, recompiler, etc, etc... et que la seule solution soit de faire tourner mon programme sous Wine, alors je vais rester sous XP et cela ira plus vite.
Mais au fait de quoi as tu besoin ?
sortir une solution TPE toute en 1, sans devoir rien paramétrer de compliqué, serait une bonne idée, même si la standardisation n'est pas la solution ultime.
J'ai trouver et cela s'appelle Laurux, pour l'instant que du bon, mais ma boite est toute petite, il y à moi et puis des bénévoles (mon épouse et ma fille ) si je devais grandir, et avoir un ou deux commerciaux, c'est sur il me faudrait autre chose, et je pencherais vers EGG je crois.
Dernière modification par Alph (Le 27/04/2009, à 17:32)
Ubuntu 16.04.1
Hors ligne
#18 Le 27/04/2009, à 18:02
- Informalys
Re : Confidentialité et sécurité lundi matin business
Bonjour à tous,
Je me présente, je suis Alain Fischele, le patron de la société Informalys qui a aidé la Monsieur Challande à faire le paquet .deb pour LMB.
Je tiens d'emblée à préciser que je n'ai pas gagné un seul centime avec LMB, mais que j'en ai pas non plus dépensé.
La personne qui a créé le paquet .deb est venu dans notre entreprise, bénévolement, pour créer ce paquet avec mon aide et sur mon infrastructure informatique.
Nous avons averti Monsieur Chalande que le paquet créé ne pourrait pas suivre les standards des paquets .deb à savoir :
- 1 paquet = 1 version
- l'ensemble de l'application dans le paquet
à cause de la méthode d'installation choisie par LMB : téléchargement de la dernière version depuis leurs serveurs.
Bon, bien... le paquet en question sert comme "support" facilitant l'installation (gestion des dépendances) et formulaires permettant d'éviter d'aller modifier les fichiers de configurations.
Maintenant, quand je lis que beaucoup d'entre-vous se plaignent du manque de documentation, ou de formulaires, mal formulés (confusion avec le compte root) je vous propose de prendre contact avec moi pour que vous puissiez bénévolement faire évoluer la cause du libre... et pourquoi pas faire repartir l'économie.
Si jamais, certains d'entre-vous l'avaient oublier, derrière Ubuntu, il y a la société Canonical Ltd, qui prévoit prochainement l'équilibre budgétaire (ce qui veut dire GAGNER de l'argent avec Ubuntu).
Aussi au vu de l'énergie déployée sur ce fil de discussion, je suis sûr que nous allons, ensembles, très rapidement sécuriser LMB et le rendre parfaitement mature.
PS - Monsieur Challande aura certainement besoin d'aide pour les modules comptables (il n'est pas expert-comptables) et moi j'aurais aussi besoin d'aide pour l'adaptation pour la Suisse... et s'il y a des représentants d'autres pays... vous êtes tous les bienvenus.
Mais en tous les cas, sachez, que juste ou faux selon vous, on ne peut pas nous accuser de ne pas essayer de faire progresser le libre dans les TPE...
Bonne soirée à tous.
Hors ligne
#19 Le 27/04/2009, à 22:39
- blahnotblahblah
Re : Confidentialité et sécurité lundi matin business
Ah si tous les responsables d'entreprise savaient s'exprimer positivement comme M. Alain Fischele !!!
Bravo pour votre intervention, votre propos est de très bonne facture.
Et rassurez vous, nous sommes conscients du rôle majeur des TPE dans l'économie française.
Mais le respect des utilisateurs métier et de la clientèle est essentielle ! C'est le B.A.BA.
Certes la conduite du changement, cela s'apprend fortement sur le tas.
C'est éprouvant mais fondamentale pour des Affaires pérennes.
Que les Affaires du libre soient des plus profitables aux TPE innovantes et/ou courageuses.
@SEB, désolé je ne peux souscrire à l'essentiel de tes commentaires, professionnellement, tu as tout faux.:/
Bémol sur l'usage du mot nigot, il va de soi que l'être humain étant perfectible, il a de bonnes marges de progrès devant lui.;)
Bémol sur ton premier commentaire. Dans ma phrase, le mot installation n'apparait pas. Ce n'est pas un hasard.:lol: Pourquoi ?
Le dialogue n'est pas technique !
Très cordialement,
Dernière modification par blahnotblahblah (Le 27/04/2009, à 22:41)
proverbe ashanti: "Quand la maison brûle, on ne perd pas de temps à pérorer".
Hors ligne
#20 Le 13/05/2009, à 11:05
- Phil555
Re : Confidentialité et sécurité lundi matin business
Je trouve l'interface tres conviviale et intuitive mais on en sait toujours pas plus sur la secu et les infos reçu par LMB ?
j'ai posté sur le forum LMB...
http://www.lundimatin.fr/site/forum/vie … ?f=3&t=543
@+
#21 Le 15/05/2009, à 13:09
- Alph
Re : Confidentialité et sécurité lundi matin business
Je trouve l'interface tres conviviale et intuitive mais on en sait toujours pas plus sur la secu et les infos reçu par LMB ?
j'ai posté sur le forum LMB...
http://www.lundimatin.fr/site/forum/vie … &t=543
@+
Ça ne se bouscule pas pour les réponses
Ubuntu 16.04.1
Hors ligne
#22 Le 31/05/2009, à 14:36
- JLP
Re : Confidentialité et sécurité lundi matin business
bonjour,
open source ne voudrait il pas dire que nous disposons des sources ?
cela devrait permettre à qui comprend le code de répondre à quelques questions.
mes connaissance en php et mysql ne me le permettent pas vraiment.
Pourtant par exemple, j'utilise Joomla sans m'être posé tant de questions. Peut être devrais je ...
En attendant, qu'une entreprise vive en proposant du service (Formation, assistance, dev spécifique) autour d'un soft libre, cela me parait être un cas de moins en moins rare. Si une véritable communauté existe autour de ce soft, elle retrouvera surement ces petits.
PS : en fait, je n'arrive même âs à le télécharger ce soft.
A+
JLP
-----------------------------------------------------------------------------------
JLP
Hors ligne
#23 Le 12/09/2011, à 13:21
- c-éclair
Re : Confidentialité et sécurité lundi matin business
Bonjour Paul,
J'ai, moi aussi, eu une expérience desastreuse avec Lundi Matin Business à la différence que j'avais une version Premium....Question sécurité, pas de protection de saisie, possibilité des faire des injections SQL et XSS. Le support est injoignable et à la limite, c'est peut-être une bonne chose parce qu'une fois en ligne avec eux, on a affaire à des gens d'une grande incompétence et d'une extrême agressivité. A déconseiller vivement, donc !
Hors ligne
#24 Le 12/09/2011, à 20:52
- jplemoine
Re : Confidentialité et sécurité lundi matin business
Bonsoir,
J'avais testé LMB à une époque : je ne me souviens plus des détails.
A noter : Pour la plupart des installations, j'utilise un utilisateur qui a tous les droits sur sa base (faut bien créer les tables, index,...) mais pas tout le serveur. normalement, ça fonctionne.
Je peux essayer de refaire une installation (en fin de semaine ou début de semaine prochaine) en détaillant les étapes si ça peut rassurer certains (donner )
Cordialement,
Jean-Philippe
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne
#25 Le 05/04/2016, à 23:17
- mixalon2015
Re : Confidentialité et sécurité lundi matin business
Bonjour Paul,
J'ai, moi aussi, eu une expérience desastreuse avec Lundi Matin Business à la différence que j'avais une version Premium....Question sécurité, pas de protection de saisie, possibilité des faire des injections SQL et XSS. Le support est injoignable et à la limite, c'est peut-être une bonne chose parce qu'une fois en ligne avec eux, on a affaire à des gens d'une grande incompétence et d'une extrême agressivité. A déconseiller vivement, donc !
Idem une experience tres douloureuse avec LMB et particulierement la direction d'une grande agressivité. Dommage pour ce logiciel.
Hors ligne