কেন একটি প্রোডাকশন সার্ভারে {{base_url} using ব্যবহারের প্রস্তাব দেওয়া হচ্ছে না?

এটি কেবল ইন্টারেক্টুয়াল উদ্দেশ্যেই, যেমন আমি আগ্রহী।

গুগলের মাধ্যমে অনুসন্ধান করে আমি এর একটি নির্দিষ্ট উত্তর খুঁজে পাচ্ছি না, সুতরাং বিষয়টি যেমনটি বলে, কেন এটি সুপারিশ করা হয় না? কী ভুল হতে পারে?

আমি যে রেফারেলটি পেয়েছি তা এখানে পোস্ট করা একটি সুরক্ষা সতর্কতা সম্পর্কে: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configration-value/ যা খুব প্রাথমিক সংস্করণ থেকে এসেছে ম্যাজেন্টোর

এটি আমাদের নজরে এসেছে যে খুব নির্দিষ্ট অবস্থার অধীনে ম্যাজেন্টো 1.0 এ 1.0.19870 এর মাধ্যমে একটি সুরক্ষা সমস্যা রয়েছে যা আপনার ব্লক ক্যাশে অবৈধ লিঙ্কগুলি প্রবেশ করতে পারে।

কেউ কীভাবে এটি কীভাবে / কীভাবে কাজ করেছে তা স্পষ্ট করে বলতে পারে এবং এটি এখনও একটি বিষয়।

টিয়া

আমি বিশ্বাস করি এটি এখানে একই ক্যাশে বিষক্রিয়ার আক্রমণ ছিল:

http://seclists.org/fulldisclosure/2011/Feb/123

সংক্ষেপে, আপনি যদি নিজের সাইটের ইউআরএল হিসাবে ডিফল্ট ভার্চুয়াল হোস্ট এবং {{base_url} use ব্যবহার করেন তবে আক্রমণকারী আপনার হোস্ট শিরোনামের সাথে ব্রাইসাইট ডট কম সেট করে আপনার সাইটে অনুরোধগুলি প্রেরণ করতে পারে। যদি তারা এটি করে এবং ক্যাশে মিস হয়ে যায়, তবে উত্পন্ন ক্যাশেটিতে ক্রেস্টসাইট ডটকমের লিঙ্ক থাকবে এবং তারপরে এটি অন্য ক্লায়েন্টদের কাছে সরবরাহ করা হবে।

আমি তাদের সাথে কথা বলেছি যারা এই আক্রমণটি তাদের বিরুদ্ধে ব্যবহার করেছিল, তাই এটি অবশ্যই বন্যের মধ্যে রয়েছে।

এই ধরণের আক্রমণ সম্পর্কে আরও তথ্যের জন্য দেখুন

http://carlos.bueno.org/2008/06/host-header-inication.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

আমার কোনও ধারণা নেই এবং এই মুহুর্তে কোনও আক্রমণ বা একটি নির্ধারিত বেস ইউরি ভিত্তিক কিছু কল্পনা করতে পারি না। তবে পেমেন্ট প্রদানকারী, পেপাল আইপিএন এবং অন্যান্য ব্যাকপিংগুলি আমার মনে আসে।

আপনি অনুসন্ধানের ইঞ্জিনগুলির জন্য সদৃশ কন্টেন্টকে উচ্চারণ করার জন্য, আপনার বেস url নিয়ন্ত্রণ করতে চান তা বলে said এই মুহুর্তে আমি যে সমস্যাটি দেখছি তার মধ্যে কেবলমাত্র এসইও স্টাফ।