Pokud tu funkci bude psát uživatel a hrozí injektnutí zlého kódu, pak
samozřejmě souhlasím s tím, že Javascript je riziko. Vycházel jsem z formulace
"do ktereho zadam nejakou funkci", kterou jsem pochopil tak, že funkci zadá
el.wondris. Kód, který jsem uváděl, používáme pro případy, kdy je potřeba
složitější konfigurace než stylem klíč=primitivní hodnota. V našem případě je
ale tato konfigurace ukrytá před uživatelem, takže riziko injekce jsem zapomněl
zmínit.
Na knihovně jEval mě (kromě samotného přidání knihovny do projektu) odrazovala
taky major verze 0, syntaxe a nedostatečná dokumentace ve stylu "podívejte se
na test casy". Nicméně v případě, že zadání funkce by představovalo slabé
místo, bych po ní asi taky sáhl. (Chtěl jsem ještě napsat, že DOS útok á la
while(true){} se dá dosáhnout i vhodným regulárním výrazem, ale koukám na
http://jeval.sourceforge.net/docs/api/net/sourceforge/jeval/function/Function.html
, že matches tam zrovna chybí. Tak autoři možná věděli proč :-))
Tomáš Záluský
================================================
...with Ultimate flying is so easy...
http://www.frisbee.cz http://www.peaceegg.net
================================================
______________________________________________________________
> Od: "Martin Kuba" <[email protected]>
> Komu: Java <[email protected]>
> Datum: 01.09.2010 12:42
> Předmět: Re: Matematicka knihovna
>
>Ondrej Nekola napsal(a):
>> Ja kdysi neco takoveho take pouzival pro management konzoli, ale na
>> evaluaci vyrazu mi to prijde jako nemistne riziko. Evil user se muze
>> potencialne ze sandboxu prokopat, nebo alespon spustit nejakou
>> procesor vytezujici cinnost.
>
>To je pravda, prosté while(true){} by na DOS útok stačilo.
>Ale dalo by se proti tomu bojovat kontrolou, že spuštěný
>skript do určité doby skončí.
>
>Nicméně souhlasím, že jednoúčelová knihovna je bezpečnější.
>
>Makub
>--
>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>Supercomputing Center Brno Martin Kuba
>Institute of Computer Science email: [email protected]
>Masaryk University http://www.ics.muni.cz/~makub/
>Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775
>--------------------------------------------------------------
>
>
>
