Warum wird die Verwendung von {{base_url}} auf einem Produktionsserver nicht empfohlen?

10

Dies ist nur für intellektuelle Zwecke, da ich neugierig bin.

Wenn ich über Google suche, kann ich keine eindeutige Antwort darauf finden. Wie der Betreff sagt, warum wird dies nicht empfohlen? Was kann schon schief gehen?

Der einzige Hinweis, den ich bekomme, betrifft eine Sicherheitswarnung, die hier veröffentlicht wird: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/, die aus einer sehr frühen Version stammt von Magento.

Es ist uns aufgefallen, dass es unter ganz bestimmten Bedingungen in Magento 1.0 bis 1.0.19870 ein Sicherheitsproblem gibt, das dazu führen kann, dass ungültige Links in Ihren Blockcache eingegeben werden.

Kann jemand vielleicht klären, was / wie das funktioniert hat, und ist es immer noch ein Problem.

TIA

security  base-url 
ProxiBlue
quelle

Antworten:

9

Ich glaube, dies war der gleiche Cache-Vergiftungsangriff wie hier:

http://seclists.org/fulldisclosure/2011/Feb/123

Kurz gesagt, wenn Sie den virtuellen Standardhost und {{base_url}} als Site-URL verwenden, kann ein Angreifer Anforderungen an Ihre Site senden, wobei der Host-Header auf evilsite.com festgelegt ist. Wenn sie dies tun und ein Cache-Fehler auftritt, enthält der generierte Cache Links zu evilsite.com und wird dann an andere Clients weitergeleitet.

Ich habe mit Leuten gesprochen, die diesen Angriff gegen sie eingesetzt haben, also ist es definitiv in freier Wildbahn.

Weitere Informationen zu dieser Art von Angriff finden Sie unter

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

Xyphus
quelle
Was ist mit der Basislink-URL, der Basis-Skin-URL, der Basismedien-URL und der Basis-JavaScript-URL?
Buttle Butkus
1

Ich habe keine Ahnung und kann mir im Moment keinen Angriff oder etwas vorstellen, das auf einem nicht definierten Basis-Uri basiert. Aber Zahlungsanbieter, Paypal IPN und andere Backpings kommen mir in den Sinn.

Allerdings möchten Sie Ihre Basis-URL steuern, um beispielsweise doppelte Inhalte für Suchmaschinen zu vermeiden. Das einzige, mit dem ich im Moment ein Problem sehe, ist SEO.

Fabian Blechschmidt
quelle
Die SEO-Vervielfältigung wäre kein Problem, wenn Sie keine Wildcard-Vhosts zulassen. Wenn die Site-Domain nur als www.example.com konfiguriert ist, erreicht nichts anderes die Magento-Site.
ProxiBlue
Dann ist Ihre Basis-URL definiert, aber Magento weiß es nicht :-) - Ja, Sie haben Recht
Fabian Blechschmidt
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.