Por que o uso de {{base_url}} em um servidor de produção não é recomendado?

10

Isso é apenas para fins intelectuais, como estou curioso.

Pesquisando no google, não consigo encontrar uma resposta definitiva para isso. Como o assunto diz, por que não é recomendado? O que pode dar errado?

A única referência que recebo é sobre um aviso de segurança publicado aqui: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/, que é de uma versão muito antiga de magento.

Fomos informados de que, sob condições muito específicas, há um problema de segurança no Magento 1.0 a 1.0.19870 que pode fazer com que links inválidos sejam inseridos no cache do bloco.

Alguém pode talvez esclarecer o que / como isso funcionou, e ainda é um problema.

TIA

ProxiBlue
fonte

Respostas:

9

Eu acredito que este foi o mesmo ataque de envenenamento de cache como visto aqui:

http://seclists.org/fulldisclosure/2011/Feb/123

Em resumo, se você usar o host virtual padrão e o {{base_url}} como o URL do site, um invasor poderá enviar solicitações ao seu site com o cabeçalho Host definido como evilsite.com. Se eles fizerem isso e ocorrer uma falta de cache, o cache gerado conterá links para evilsite.com e será veiculado para outros clientes.

Eu falei com pessoas que tiveram esse ataque usado contra elas, então é definitivamente em estado selvagem.

Para mais informações sobre esse tipo de ataque, consulte

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/05/practical-http-host-header-attacks.html

xifóide
fonte
e quanto ao URL do Link Base, URL do Skin Base, URL da Mídia Base, URL do JavaScript Base?
Buttle Butkus
1

Não tenho ideia e não consigo imaginar, no momento, nenhum ataque ou algo baseado em um uri de base não definido. Mas os provedores de pagamento, o IPN paypal e outros backpings vêm à minha mente.

Dito isto, você deseja controlar seu URL base, por exemplo, para divulgar conteúdo duplicado para os mecanismos de pesquisa. A única coisa que vejo no momento é um problema de SEO.

Fabian Blechschmidt
fonte
A duplicação de SEO não seria um problema se você não permitir fantasmas curinga. Portanto, se o domínio do site estiver configurado apenas como www.example.com, qualquer outra coisa não chegará ao site magento.
ProxiBlue
Então você basear url é definido mas magento não sabe :-) - Sim, você está certo
Fabian Blechschmidt