Чому використання {{base_url}} на виробничому сервері не рекомендується?

Це лише в інтелектуальних цілях, як мені цікаво.

Шукаючи через Google, я не можу знайти на це однозначної відповіді, тому, як каже тематика, чому це не рекомендується? Що може піти не так?

Єдине звернення, яке я отримую, стосується попередження про безпеку, розміщеного тут: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/, яке є з дуже ранньої версії Магенто.

Ми дізналися про те, що в дуже специфічних умовах у Magento 1.0 до 1.0.19870 виникає проблема безпеки, яка може спричинити введення недійсних посилань у ваш кеш-блок.

Може хтось може уточнити, що / як це працювало, і це все-таки питання.

ТІА

Я вважаю, це була та сама атака отруєння кешем, яку бачили тут:

http://seclists.org/fulldisclosure/2011/Feb/123

Якщо коротко, якщо ви використовуєте віртуальний хост за замовчуванням та {{base_url}} як URL свого сайту, зловмисник може надсилати запити на ваш сайт із заголовком хосту, встановленим на evilsite.com. Якщо вони роблять це і трапляється пропуск кеша, то сформований кеш міститиме посилання на evilsite.com, а потім це буде передано іншим клієнтам.

Я розмовляв з людьми, у яких цей напад застосовувався проти них, тож це безумовно в дикій природі.

Більш детальну інформацію про подібний напад див

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

Я поняття не маю і наразі не можу уявити собі будь-яку атаку чи щось на основі не визначеної базової ури. Але провайдери платежів, paypal IPN та інші резервні копії приходять мені на думку.

Сказавши, що ви хочете керувати своєю базовою URL-адресою, для іспиту ви зможете отримати дубльований вміст для пошукових систем. Єдине, що на даний момент я бачу проблему - це речі SEO.