Daniele P. wrote:
> On Monday 25 September 2006 15:48, Fabio Marcone wrote:
>>> Ma non il più sicuro, cosa succede se nella dir c'è un file che
>>> si chiama " etc" e lanci lo script in / come root?
>>>
>>> Ciao,
>>> Daniele P.
>> ciao,
>> mi hai fatto riflettere sulla cosa ma per me il problema non c'è in
>> quanto sono sicuro che eseguo il comando a partire da una directory
>> (diversa da /) che uso per le condivisioni samba.
>
> Ciao,
> Il mio voleva solo essere un esempio particolare. Fondamentalmente tu
> lasci aperto un buco che un'utente normale potrebbe sfruttare per fare
> in modo che root dia un comando su un insieme di file non previsto.
> E non è cosa buona.
>
si, è vero, come regola generale hai ragione. ma è eseguito in uno
script python all'interno di zope (in una applicazione intranet).
> Il problema comunque è generale, mai fidarsi dell'input dell'utente e mai
> dare
> per scontato la directory di esecuzione.
vero, farò un controllo sulla path che ricevo come parametro cosi da
scongiurare utilizzi illeciti.
>
> Guardando il problema da un altro punto di vista qualcuno potrebbe storcere
> il
> naso vedendo che usi uno sporco comando shell, quando potresti fare le stesse
> cose in python, guadagnando in portabilità e manutenibilità, in prestazioni
> non saprei esprimermi.
è vero, solo che in python non ho il sudo, quindi dovrei dare dei
permessi all'utente zope... insomma è più complicato di quello che sembra.
grazie per gli spunti di riflessione!
Fabio
>
> Ciao,
> Daniele P.
>
--
Dott. Fabio Marcone
2T srl
Telefono +39 - 0871- 540154
Fax +39 - 0871- 571594
Email [EMAIL PROTECTED]
Indirizzo Viale B. Croce 573
66013 Chieti Scalo (CH)
GNU/Linux registered user #400424
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
[EMAIL PROTECTED] con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a [EMAIL PROTECTED]
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
