Perché non è consigliabile utilizzare {{base_url}} in un server di produzione?

Questo è solo a scopo intellettuale, come sono curioso.

Cercando su google, non riesco a trovare una risposta definitiva a questo, quindi come dice il soggetto, perché non è raccomandato? Cosa può andare storto?

L'unico riferimento che ottengo riguarda un avviso di sicurezza pubblicato qui: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ che proviene da una versione molto antica di magento.

Abbiamo riscontrato che in condizioni molto specifiche esiste un problema di sicurezza in Magento da 1.0 a 1.0.19870 che può causare l'inserimento di collegamenti non validi nella cache dei blocchi.

Qualcuno può forse chiarire cosa / come ha funzionato, ed è ancora un problema.

TIA

Credo che questo sia stato lo stesso attacco di avvelenamento della cache visto qui:

http://seclists.org/fulldisclosure/2011/Feb/123

In breve, se usi l'host virtuale predefinito e {{base_url}} come URL del tuo sito, un utente malintenzionato può inviare richieste al tuo sito con l'intestazione Host impostata su evilsite.com. Se lo fanno e si verifica un errore nella cache, la cache generata conterrà i collegamenti a evilsite.com, e quindi verrebbero offerti ad altri client.

Ho parlato con persone che hanno avuto questo attacco usato contro di loro, quindi è sicuramente allo stato brado.

Per maggiori informazioni su questo tipo di attacco vedi

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

Non ne ho idea e al momento non riesco a immaginare alcun attacco o qualcosa basato su un uri di base non definito. Ma mi vengono in mente fornitori di servizi di pagamento, IPN paypal e altri supporti.

Detto questo, vuoi controllare il tuo URL di base, ad esempio per evitare contenuti duplicati per i motori di ricerca. L'unica cosa al momento in cui vedo un problema è roba SEO.