¿Por qué no se recomienda utilizar {{base_url}} en un servidor de producción?

Esto es solo para fines intelectuales, como tengo curiosidad.

Al buscar en Google, no puedo encontrar una respuesta definitiva a esto, así que, como dice el sujeto, ¿por qué no se recomienda? ¿Qué puede ir mal?

La única referencia que obtengo es sobre una advertencia de seguridad publicada aquí: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ que es de una versión muy temprana de magento.

Nos ha llamado la atención que, bajo condiciones muy específicas, hay un problema de seguridad en Magento 1.0 a 1.0.19870 que puede causar que se ingresen enlaces no válidos en su caché de bloques.

¿Alguien puede aclarar qué / cómo funcionó esto, y sigue siendo un problema?

TIA

Creo que este fue el mismo ataque de envenenamiento de caché que se ve aquí:

http://seclists.org/fulldisclosure/2011/Feb/123

En resumen, si utiliza el host virtual predeterminado y {{base_url}} como la URL de su sitio, un atacante puede enviar solicitudes a su sitio con el encabezado Host configurado en evilsite.com. Si hacen esto y ocurre una falla de caché, entonces el caché generado contendría enlaces a evilsite.com, y luego se entregaría a otros clientes.

He hablado con personas que han usado este ataque contra ellos, por lo que definitivamente está en la naturaleza.

Para más información sobre este tipo de ataque ver

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

No tengo idea y no puedo imaginar por el momento ningún ataque o algo basado en una base uri no definida. Pero los proveedores de pago, IPN de PayPal y otras copias de seguridad vienen a mi mente.

Una vez dicho esto, desea controlar su URL base, por ejemplo, para mostrar contenido duplicado para motores de búsqueda. Lo único que veo en este momento es un problema de SEO.