Mengapa menggunakan {{base_url}} di server produksi tidak disarankan?

10

Ini hanya untuk tujuan intelektual, karena saya ingin tahu.

Mencari melalui google, saya tidak dapat menemukan jawaban yang pasti untuk ini, sehingga seperti yang dikatakan subjek, mengapa tidak disarankan? Apa yang salah?

Satu-satunya referensi yang saya dapatkan adalah tentang peringatan keamanan yang diposting di sini: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ yang berasal dari versi yang sangat awal dari magento.

Telah menjadi perhatian kami bahwa dalam kondisi yang sangat spesifik ada masalah keamanan di Magento 1.0 hingga 1.0.19870 yang dapat menyebabkan tautan yang tidak valid dimasukkan ke dalam cache blok Anda.

Bisakah seseorang mengklarifikasi apa / bagaimana ini bekerja, dan apakah itu masih menjadi masalah.

TIA

security base-url ProxiBlue
sumber

Jawaban:

9

Saya percaya ini adalah serangan keracunan cache yang sama seperti yang terlihat di sini:

http://seclists.org/fulldisclosure/2011/Feb/123

Singkatnya, jika Anda menggunakan host virtual default dan {{base_url}} sebagai URL situs Anda, seorang penyerang dapat mengirim permintaan ke situs Anda dengan header Host diatur ke evilsite.com. Jika mereka melakukan ini dan cache miss terjadi, maka cache yang dihasilkan akan berisi tautan ke evilsite.com, dan kemudian itu akan disajikan ke klien lain.

Saya telah berbicara dengan orang-orang yang memiliki serangan ini digunakan untuk melawan mereka, jadi itu pasti di alam liar.

Untuk info lebih lanjut tentang serangan semacam ini, lihat

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/praktis-http-host-header-attacks.html

xyphoid
sumber
bagaimana dengan URL Base Link, URL Skin Base, URL Media Base, URL JavaScript Base?
Buttle Butkus
1

Saya tidak tahu dan tidak dapat membayangkan saat ini serangan atau sesuatu berdasarkan pada basis uri yang tidak didefinisikan. Tapi penyedia pembayaran, paypal IPN, dan backpings lainnya masuk dalam pikiran saya.

Setelah mengatakan bahwa Anda ingin mengontrol url dasar Anda, untuk exampe ke avoud duplikat konten untuk mesin pencari. Satu-satunya hal yang saya lihat saat ini adalah masalah SEO.

Fabian Blechschmidt
sumber
Duplikasi SEO tidak akan menjadi masalah jika Anda tidak mengizinkan wildcard vhosts. Jadi jika domain situs hanya dikonfigurasikan sebagai www.example.com, maka hal lain tidak akan mencapai situs magento.
ProxiBlue
Maka url dasar Anda ditentukan tetapi magento tidak tahu :-) - Ya Anda benar
Fabian Blechschmidt