Sie sind hier: News
Monday · 6.2.2012 · 3:04







Achtung: ungewolltes ausspionieren Ihres Onlineshops

Für Magento gibt es eine vielzahl kostenfreier Erweiterungen, was dazu führt, dass Shopbesitzer einem “Installationswahn” unterliegen. Allzuoft müssen wir dadurch entstandene Schäden wieder in Ordnung bringen. Was aber noch viel schlimmer ist, dass diverse Hersteller von Extensions, Scripte ausführen, welche Daten von Ihrem Shop ausspionieren.</ br></ br>

Ich möchte Ihnen das anhand der Erweiterung Autocomplete Search zeigen. Eigentlich wollte wir nur die Integration von jQuery entfernen um die Extension mit JQuery-Base benutzen zu können. Mir ist dann aufgefallen, dass in der config.xml ein Crontab eingtragen wurde. 

...
	<crontab>
		<jobs>
			<autocomplete_callhome>
				<schedule><cron_expr>0 6 * * *</cron_expr></schedule>
				<run><model>autocomplete/call::home</model></run>
			</autocomplete_callhome>
		</jobs>
	</crontab>
...

Der erste Gedanke: Es könnte ja sein, dass täglich ein Suchindex aufgebaut wird um die Performance der Suche zu beschleunigen. Allerdings wird man nach einsehen des Funktionaufrufs home eines besseren belehrt. 

<?php
/**
 * This script 'calls home' every day with information that help us to
 * guage the popularity of the module.
 *
 * The information we collect is listed below:
 *
 * 		- Store URL
 */
class TF_Autocomplete_Model_Call {
	const ENABLE = true;

	public function home() {
		if (self::ENABLE) {
			$post = new Zend_Http_Client();
			$post->setMethod(Zend_Http_Client::POST);
			$post->setUri('http://www.tonyfox.co.uk/module_stats/tracker.php');
			$post->setParameterPost(array(
				'module' => 'TF_Autocomplete',
				'module_version' => '1.1.0',
				'store_url' => Mage::getStoreConfig('web/secure/base_url')
			));

			$response = $post->request();

			echo 'Response: ' . $response->getStatus() . ' ' . $response->getMessage();
			echo $response->getBody();
		}
	}
}

An die URL www.tonyfox.co.uk/module_stats/tracker.php werden die 3 Parameter modul, module_version und store_url einmal täglich gesendet. Ich möchte dem Hersteller nicht unterstellen dass mit den damit gewonnen Daten (Shop-URL) schindluder getrieben wird, aber die Möglichkeit besteht auf alle Fälle. Es ist auch nicht in Ordnung, dass ein Hinweis darauf, nicht der Modulbeschreibung auf www.magentocommerce.de enthalten ist.

Sie müssen für sich selbst entscheiden, ob Sie das tolerieren möchten oder nicht. Indem man den Crontab aus der config.xml entfernt, kann man auf alle Fälle die Code deaktivieren.

 

Viele Grüße

Johannes Teitge

 

Twitter Webnews Mister-Wong Facebook Digg BlogMarks Share/Save/Bookmark

Links:
www.mxperts.de/achtung-ungewolltes-ausspionieren-ihres-onlineshops/
22.06.2010 14:48 Alter: 2 Jahre
<- Zurück zu: Home