Почему не рекомендуется использовать {{base_url}} на рабочем сервере?


10

Это только для интеллектуальных целей, как мне любопытно.

Ища в гугле, я не могу найти однозначного ответа на этот вопрос, поэтому, как говорит субъект, почему это не рекомендуется? Что может пойти не так?

Единственная ссылка, которую я получаю, касается предупреждения о безопасности, размещенного здесь: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/, которое относится к очень ранней версии. мадженто.

Мы обратили наше внимание на то, что в очень специфических условиях в Magento 1.0 до 1.0.19870 существует проблема безопасности, которая может привести к тому, что недействительные ссылки будут введены в ваш блочный кеш.

Может кто-то может уточнить, что / как это работает, и это все еще проблема.

ТИА

Ответы:


9

Я полагаю, что это была та же атака с отравлением кэша, что и здесь:

http://seclists.org/fulldisclosure/2011/Feb/123

Короче говоря, если вы используете виртуальный хост по умолчанию и {{base_url}} в качестве URL-адреса своего сайта, злоумышленник может отправлять запросы на ваш сайт с заголовком Host, установленным в evilsite.com. Если они это сделают и произойдет промах кеша, то сгенерированный кеш будет содержать ссылки на evilsite.com, а затем он будет разослан другим клиентам.

Я говорил с людьми, которые использовали эту атаку против них, так что это определенно в дикой природе.

Для получения дополнительной информации об этом виде атаки см.

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html


А как насчет URL-адреса базовой ссылки, URL-адреса базовой темы оформления, URL-адреса базового носителя, URL-адреса базовой JavaScript?
Баттл Буткус

1

Я понятия не имею и не могу представить на данный момент какую-либо атаку или что-то, основанное на неопределенной базовой базе. Но провайдеры платежей, PayPal IPN и другие бэкпинги приходят мне на ум.

Сказав, что вы хотите контролировать свой базовый URL, например, для дублирования контента для поисковых систем. Единственная вещь, в которой я вижу проблему - это SEO.


Дублирование SEO не будет проблемой, если вы не разрешите использование подстановочных знаков. Таким образом, если домен сайта настроен только как www.example.com, то все остальное не будет достигать сайта magento.
ProxiBlue

Тогда ваша базовая ссылка определена, но magento не знает :-) - Да, вы правы
Фабиан Блехшмидт
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.