Wybacz moją ignorancję, ale klucz szyfrujący służy do odszyfrowywania danych Magento, prawda? Czy jest jakiś dobry powód, aby moduł miał do niego dostęp? Natknąłem się na ten kod po zainstalowaniu Advanced Content Manager ...
<div id="banana-tracker">
<?php
$stores = Mage::app()->getStores();
$key = (string)Mage::getConfig()->getNode('global/crypt/key');
$date = (string)Mage::getConfig()->getNode('global/install/date');
$serverIp = $_SERVER['SERVER_ADDR'];
$params = 'key='.$key.'&date='.$date.'&';
foreach($stores as $store)
{
$params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
}
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />
magento-1.9
TylersSN
źródło
źródło
Odpowiedzi:
Tak ... jest dobry powód.
Chcą to wiedzieć i zalogować, na wszelki wypadek. :)
Powinieneś odinstalować rozszerzenie (najprawdopodobniej już to zrobiłeś). Nigdy nie należy używać rozszerzeń, które „dzwonią do domu”, bez względu na to, jakie dane wysyłają do domu.
Możesz wymienić tutaj rozszerzenie, aby inni mogli je zobaczyć: Zabawny / Bezużyteczny / Okropny kod z Magento Extensions
źródło
Otrzymaliśmy dzisiaj prośbę o wsparcie dotyczące tej funkcji. Rozwiązaliśmy już ten problem i usunęliśmy ten fragment kodu. Nowa wersja jest dostępna dla wszystkich naszych klientów w strefie klientów (za darmo, ponieważ oferujemy nieograniczoną aktualizację).
Wiem, że musimy to uzasadnić, więc zróbmy to:
Zdajemy sobie sprawę, że to pomyłka, i to jest siła społeczności i systemu open source: możemy naprawić i poprawić znacznie szybciej. Dziękujemy wszystkim za powiadomienie, dołożymy teraz większego wysiłku w zakresie podatności na zagrożenia.
źródło