Por que o uso de {{base_url}} em um servidor de produção não é recomendado?

Isso é apenas para fins intelectuais, como estou curioso.

Pesquisando no google, não consigo encontrar uma resposta definitiva para isso. Como o assunto diz, por que não é recomendado? O que pode dar errado?

A única referência que recebo é sobre um aviso de segurança publicado aqui: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/, que é de uma versão muito antiga de magento.

Fomos informados de que, sob condições muito específicas, há um problema de segurança no Magento 1.0 a 1.0.19870 que pode fazer com que links inválidos sejam inseridos no cache do bloco.

Alguém pode talvez esclarecer o que / como isso funcionou, e ainda é um problema.

TIA

Eu acredito que este foi o mesmo ataque de envenenamento de cache como visto aqui:

http://seclists.org/fulldisclosure/2011/Feb/123

Em resumo, se você usar o host virtual padrão e o {{base_url}} como o URL do site, um invasor poderá enviar solicitações ao seu site com o cabeçalho Host definido como evilsite.com. Se eles fizerem isso e ocorrer uma falta de cache, o cache gerado conterá links para evilsite.com e será veiculado para outros clientes.

Eu falei com pessoas que tiveram esse ataque usado contra elas, então é definitivamente em estado selvagem.

Para mais informações sobre esse tipo de ataque, consulte

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/05/practical-http-host-header-attacks.html

Não tenho ideia e não consigo imaginar, no momento, nenhum ataque ou algo baseado em um uri de base não definido. Mas os provedores de pagamento, o IPN paypal e outros backpings vêm à minha mente.

Dito isto, você deseja controlar seu URL base, por exemplo, para divulgar conteúdo duplicado para os mecanismos de pesquisa. A única coisa que vejo no momento é um problema de SEO.