> При беглом просмотре текста скрипта не видно, с чего бы ему не > работать с -T. Весь ввод из environment все равно старательно > пропускается через регекспы. > > Значит, если где-то не заработает, скорее всего это действительно > неаккуратное обращение с untrusted вводом. Проблема в том, что Perl не позволяет указать, какой ввод trusted, а какой нет. Например, в данном случае аргументы командной строки - trusted, поскольку идут из файла authorized_keys. В результате приходится раз-taint-чивать их вручную, чего автор скрипта не делает, поэтому он не работает. Я проверял.
> Кстати, use warnings там тоже не видать. Из чего следует что для автора > Perl язык не родной. Человек, который много писал на Perl вещей, имеющих > отношение к security обычно -wT пишет на автомате, и только потом > задумывается, "а может убрать?" если сильно мешает. Здесь - не должно > мешать. Разные люди пишут по-разному. Общий смысл -T такой: если Perl _думает_, что в программе уязвимость, то он завершает эту программу. Не всегда такое поведение желательно. > То что в языке есть такая возможность, а автор ее не использует, > свидетельствует о том, что либо автор плохо знает язык, либо вообще > небрежно относится к этому скрипту. И то, и другое повышает вероятность > уязвимости. Либо о том, что именно эта возможность автору не нужна. Намного опаснее писать от балды и думать, что -T от всего спасёт. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
