Pourquoi l'utilisation de {{base_url}} sur un serveur de production n'est-elle pas recommandée?

10

C'est uniquement à des fins intellectuelles, comme je suis curieux.

En recherchant sur google, je ne trouve pas de réponse définitive à cela, donc comme le dit le sujet, pourquoi n'est-il pas recommandé? Qu'est-ce qui peut mal tourner?

La seule référence que je reçois concerne un avertissement de sécurité publié ici: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ qui provient d'une version très ancienne de magento.

Il a été porté à notre attention que dans des conditions très spécifiques, il existe un problème de sécurité dans Magento 1.0 à 1.0.19870 qui peut entraîner l'entrée de liens non valides dans votre cache de blocs.

Quelqu'un peut-il clarifier ce qui a fonctionné et comment cela a fonctionné, et est-ce toujours un problème

TIA

ProxiBlue
la source

Réponses:

9

Je crois que c'était la même attaque d'empoisonnement de cache que celle vue ici:

http://seclists.org/fulldisclosure/2011/Feb/123

En bref, si vous utilisez l'hôte virtuel par défaut et {{base_url}} comme URL de votre site, un attaquant peut envoyer des demandes à votre site avec l'en-tête Host défini sur evilsite.com. S'ils le font et qu'un cache manque, le cache généré contiendrait des liens vers evilsite.com, puis cela serait servi à d'autres clients.

J'ai parlé à des gens qui ont utilisé cette attaque contre eux, c'est donc définitivement dans la nature.

Pour plus d'informations sur ce type d'attaque, voir

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

xyphoïde
la source
Qu'en est-il de l'URL du lien de base, de l'URL d'habillage de base, de l'URL du support de base, de l'URL JavaScript de base?
Buttle Butkus
1

Je n'ai aucune idée et ne peux imaginer pour le moment aucune attaque ou quelque chose basé sur un uri de base non défini. Mais les fournisseurs de paiement, paypal IPN et autres backpings me viennent à l'esprit.

Cela dit, vous voulez contrôler votre URL de base, par exemple pour avoud le contenu dupliqué pour les moteurs de recherche. La seule chose pour le moment où je vois un problème, c'est le SEO.

Fabian Blechschmidt
la source
La duplication SEO ne serait pas un problème si vous n'autorisez pas les vhosts génériques. Ainsi, si le domaine du site est uniquement configuré en tant que www.example.com, rien d'autre n'atteindra le site magento.
ProxiBlue
Ensuite, votre URL de base est définie mais magento ne sait pas :-) - Oui, vous avez raison
Fabian Blechschmidt