Une bonne raison pour qu'un module accède à distance à global / crypt / key?


19

Pardonnez mon ignorance, mais la clé de cryptage est utilisée pour décrypter les données Magento, non? Y a-t-il une bonne raison pour qu'un module y accède? Je suis tombé sur ce code après avoir installé Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />


3
CETTE. EST. HORRIBLE. Il n'y a aucune raison de divulguer votre clé de chiffrement.
Fabian Blechschmidt

1
C'est mauvais, très mauvais.
Anna Völkl

1
Belle prise! C'est extrêmement mauvais ...
Sander Mangel

1
Merci @Sander de nous avoir dit. Il a été supprimé de Connect.
benmarks

1
@benmarks heureux d'entendre cela. C'est extrêmement décevant pour les raisons évidentes ainsi que parce que l'application a été extrêmement impressionnante et que le développeur a été extrêmement utile et rapide dans le passé.
TylersSN

Réponses:


11

Oui ... il y a une bonne raison.
Ils veulent le savoir et l'enregistrer, au cas où. :)

Vous devez désinstaller l'extension (vous l'avez probablement déjà fait). Vous ne devez jamais utiliser d'extensions qui "téléphonent à la maison", quelles que soient les données envoyées à la maison.

Vous voudrez peut-être lister l'extension ici pour que les autres voient: Code drôle / inutile / horrible des extensions Magento


1
"téléphoner à la maison" se fait malheureusement par beaucoup de modules. Amasty et Aheadworks le font aussi: \
Sander Mangel

4
Ce gist.github.com/miguelbalparda/b57a47a010a5995bc44d peut être utilisé pour vérifier global / crypt / key depuis CLI dans tous les dossiers excelt app / code / core.
mbalparda

Donc, non seulement ils sont capables de décrypter les mots de passe des données cc (c'est une bonne chose que je ne les enregistre pas), etc. Mais j'ai payé 300 $ pour qu'ils aient cette capacité. C'est ce qui devrait être publié sur Funny.
TylersSN

1
@iUseMagentoNow. C'est drôle "ooh", pas drôle "ha ha". Vous devriez demander votre argent.
Marius

8

Nous avons reçu la demande d'assistance concernant cette fonctionnalité aujourd'hui. Nous l'avons déjà résolu et supprimons ce morceau de code. Une nouvelle version est disponible pour tous nos clients dans leur espace client (gratuitement, car nous proposons une mise à jour illimitée).

Je sais que nous devons justifier cela, alors faisons-le:

  • Le but de ce tracker était UNIQUEMENT de suivre l'utilisation non autorisée de notre extension.
  • Le tracker était uniquement affiché dans la zone d'administration (aucun de vos clients ou personne d'autre que vous et nous n'a pu le voir).
  • Nous avons également supprimé cela dans notre base de données.
  • La clé est uniquement de crypter votre mot de passe administrateur. Comme nous avons l'habitude de travailler avec vous tous par des demandes d'assistance, il se peut que vous ayez déjà envoyé vos informations d'identification par e-mail, pour obtenir de l'aide. Si nous voulions votre mot de passe, nous l'enverrions directement ... Ce n'était pas le but.
  • Même avec la clé, votre mot de passe est toujours crypté. Et l'administrateur de magento bloque l'utilisateur après quelques tentatives.

Nous reconnaissons que c'est une erreur, et c'est la force du système communautaire et open source: nous pouvons réparer et améliorer beaucoup plus rapidement. Merci à tous de nous avoir alertés, nous ferons plus d'efforts sur la vulnérabilité maintenant.


3
+1 pour avoir pris l'effort de répondre ici en public sur Magento SE!
7ochem

2
Utilisation non autorisée de l'extension?! Vous pouvez simplement utiliser le domaine pour cela.
mbalparda
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.