अनुशंसित उत्पादन सर्वर में {{base_url}} का उपयोग क्यों नहीं किया जाता है?

यह केवल बौद्धिक उद्देश्यों के लिए है, क्योंकि मैं उत्सुक हूं।

Google के माध्यम से खोज करने पर, मुझे इसका निश्चित उत्तर नहीं मिल रहा है, इसलिए जैसा कि विषय कहता है, यह अनुशंसित क्यों नहीं है? क्या गलत हो सकता हैं?

केवल एक ही रेफरी मुझे यहां पोस्ट की गई एक सुरक्षा चेतावनी के बारे में है: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ जो बहुत प्रारंभिक संस्करण से है। Magento के।

यह हमारे ध्यान में आया है कि बहुत विशिष्ट परिस्थितियों में मैगेंटो 1.0 में 1.0.19870 के माध्यम से एक सुरक्षा मुद्दा है, जिससे आपके ब्लॉक कैश में अवैध लिंक हो सकते हैं।

क्या कोई यह स्पष्ट कर सकता है कि यह क्या / कैसे काम करता है, और क्या यह अभी भी एक मुद्दा है।

TIA

मेरा मानना ​​है कि यह वही कैश पॉइज़निंग अटैक था जैसा यहाँ देखा गया है:

http://seclists.org/fulldisclosure/2011/Feb/123

संक्षेप में, यदि आप अपने साइट URL के रूप में डिफ़ॉल्ट वर्चुअल होस्ट और {{base_url}} का उपयोग करते हैं, तो एक हमलावर आपकी साइट पर अनुरोधों को hostils के साथ evilsite.com पर भेज सकता है। यदि वे ऐसा करते हैं और कैश मिस हो जाता है, तो उत्पन्न कैश में evilsite.com के लिंक शामिल होंगे, और फिर अन्य ग्राहकों को सेवा प्रदान की जाएगी।

मैंने उन लोगों से बात की है, जिनके पास यह हमला हुआ है, उनके खिलाफ इस्तेमाल किया गया है, इसलिए यह निश्चित रूप से जंगली है।

इस तरह के हमले के बारे में अधिक जानकारी के लिए देखें

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/05/practical-http-host-header-attacks.html

मेरे पास कोई विचार नहीं है और इस समय किसी भी हमले या कुछ नहीं एक परिभाषित आधार के आधार पर कल्पना नहीं कर सकते हैं। लेकिन भुगतान प्रदाता, पेपैल आईपीएन और अन्य बैकपिंग मेरे दिमाग में आते हैं।

यह कहने के बाद कि आप खोज इंजन के लिए डुप्लिकेट सामग्री का उपयोग करने के लिए अपने बेस url को नियंत्रित करना चाहते हैं। इस समय मैं केवल एक चीज के साथ समस्या देख रहा हूं वह है एसईओ सामान।