OpenCart Community

Habe den kostenlosen Magic Filter ausprobiert.
https://www.opencart.com/index.php?rout ... load_id=38


Ein paar Dateien sind verschlüsselt. Ist das normal, bisher hatte ich das so nicht aufgefunden.

Das ist mir ein wenig suspekt, woher soll ich wissen ob die Extension nicht Daten klaut, ein Virus einschleusen wird, oder di ganze Zeit mit einem fremden Server kommuniziert.

Wie seht ihr das?

Einige Leute haben den Hersteller bereits bezüglich des verschlüsselten Code um Auskunft ersucht, aber bislang noch nie eine Antwort darauf erhalten. Ich würde daher besser darauf verzichten, wenn Du Wert auf Sicherheit legst. Man sollte vielleicht sogar OC darüber orientieren, ich glaube eher nicht, dass derartige Erweiterungen auf Opencart angeboten werden dürfen.

Ok, dann entferne ich die Erweiterung.

In Zukunft wird keine Erweiterung mehr installiert die verschlüsselten Code beinhaltet.

Danke

PS: Kann Niemand solche Erweiterungen vom Marketplace sperren/entfernen, wegen Verstoss der Regeln.

IP_CAM wrote: ↑

Mon Dec 18, 2023 6:55 pm

Einige Leute haben den Hersteller bereits bezüglich des verschlüsselten Code um Auskunft ersucht, aber bislang noch nie eine Antwort darauf erhalten. Ich würde daher besser darauf verzichten, wenn Du Wert auf Sicherheit legst. Man sollte vielleicht sogar OC darüber orientieren, ich glaube eher nicht, dass derartige Erweiterungen auf Opencart angeboten werden dürfen.

Habe mir den Spaß gemacht und die Erweiterung geladen und entschlüsselt.

Da ich generell ein problem habe mit solchen verschlüsselten Erweiterungen!
Solche sind im Marktplatz nicht erlaubt und sollten gemeldet werden - siehe Link im Fussbereich > Marketplace Support >> https://www.opencart.com/index.php?rout ... rt/support.

Was den verschlüsselten Code betrifft, so maskiert er einfach einen "Home Calling" Aufruf.
Sendet damit die Serverdaten auf der die Erweiterung installiert ist.

Das wird an diese Adresse gesendet: h t t p propertynear.co.uk/plugin_management/dashboard/get_request Desweiteren - was ich jetzt nicht wirklich verstehe warum - werden einfach Variablen verschlüsselt.

Alles eigentlich nicht wirklich notwendig und macht den Code nicht wirklich kürzer.

Generell ist diese Praxis absolut abzulehnen. Desweiteren ist sie laut Lizenz (GNU/GPL) verboten.
Machbar wäre eventuell Code zu kürzen - verringert dann die Ladezeiten (mache ich bei einigen Erweiterungen von mir ebenso).

Was mir noch weniger daran gefällt, ist einerseits das Übermitteln der Daten an eine ungesicherte Seite.
Zum Anderen, dass der Entwickler auf der Erweiterungsseite nicht auf die Anfragen zum verschlüsselten Code reagiert - oder mit sowas:

No it is not malicious code. We have encrypted our code to make it bit secure.

Absoluter Schwachsinn.

Die Erweiterung als solches macht eigentlich keinen schlechten Eindruck - auch wenn sie ziemlich sicher nicht mit 3.0.3.9 (der aktuellen am besten zu verwendeten OpenCart Version) funktionieren wird.
Und der "Heimanruf" lässt sich sehr einfach unterbinden - falls jemand dann doch diese Erweiterung verwenden möchte ..

Nur zur Info: diese Erweiterung wurde nach einer Meldung von mir gestern vom Marktplatz genommen und der Entwickler gesperrt.