On 2011.12.05 at 15:43:59 +0400, Evgeny Kapun wrote: > > При беглом просмотре текста скрипта не видно, с чего бы ему не > > работать с -T. Весь ввод из environment все равно старательно > > пропускается через регекспы. > > > > Значит, если где-то не заработает, скорее всего это действительно > > неаккуратное обращение с untrusted вводом. > Проблема в том, что Perl не позволяет указать, какой ввод trusted, а какой > нет.
Позволяет. Пропустив через псевдо-регексп /^(.*)$/ > Например, в данном случае аргументы командной строки - trusted, > поскольку идут из файла authorized_keys. В результате приходится > раз-taint-чивать их вручную, чего автор скрипта не делает, поэтому > он не работает. Я проверял. Ну и объем требуемых правок сравним с объемом правок в первой строке для того чтобы добавить -T. > Разные люди пишут по-разному. Общий смысл -T такой: если Perl > _думает_, что в программе уязвимость, то он завершает эту программу. > Не всегда такое поведение желательно. В программе такого объема, которую вполне реально покрыть тестами на 100% - желательно. > Либо о том, что именно эта возможность автору не нужна. Намного опаснее > писать от балды и думать, что -T от всего спасёт. От всего - не спасет, естественно. Но достаточно часто расскажет что-то интересное. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
