salvador fandino: > En tu ejemplo, has cargado un paquete "Trojan", pero un atacante que > consigue hacer eso ya tiene el control completo del programa y puede > manipular @ISA o hacer cualquier otra cosa que le plazca directamente.
Tienes razón, @INC tambien es vulnerable a este tipo de ataques. En mi cabeza he imaginado qué pasaría si alguien consigue las credenciales de PAUSE del mantenedor de algun módulo muy usado y añadiera un exploit en $^O para crear un backdoor. Como los módulos de Perl se distribuyen en código, supongo que tarde o temprano alguien se daría cuenta, pero ¿cómo puede un autor protegerse de este tipo de ataques que podrían venir de las dependencias externas? Casi nadie firma sus paquetes en CPAN con una clave PGP y no hay ningún tipo de garantía sobre la autoría más allá de conocer la contraseña de PAUSE. De hecho, los mirrors del CPAN son todavía más vulnerables a ataques de MitM. Supongo que por eso me siento más tranquilo usando los módulos empaquetados para las distribuciones de linux. Un saludo! Alex _______________________________________________ Madrid-pm mailing list [email protected] http://mail.pm.org/mailman/listinfo/madrid-pm
