[pyar] Peligrosidad de un lambda

Ricardo Araoz ricaraoz en gmail.com
Vie Oct 1 17:14:01 ART 2010


On 01/10/10 15:57, Claudio Freire wrote:
>
>
> 2010/10/1 Roberto Alsina <ralsina en netmanagers.com.ar
> <mailto:ralsina en netmanagers.com.ar>>
>
>     On Friday 01 October 2010 15:46:39 Claudio Freire wrote:
>     > Servicios de red (no sabés en qué contexto pensaba usar el
>     código quien
>     > posteó la pregunta), setuid/setgid, entre otros.
>
>     No es trivial hacer un script python setuid/setgid...
>
>
> El tema es, escudarse en la proteción a nivel del sistema como excusa
> para programar descuidadamente, no es buena idea.
>
> eval() es abrirse de gambas, en absolutamente toda situación.

Qué loco este Guido! Cómo se le ocurre?!?!

>
> Incluso eval() permite, aún en un sistema super bien configurado, que
> alguien ejecute algún exploit de escalación de privilegios.

Todo lo que hagas con eval() lo podés hacer si tenés acceso a la máquina.
En cuanto a setuid/setgid, no se si leíste que dije "sin pedirle la
contraseña al usuario ni tenerla en el programa". Ya que si se la pedís
entonces el usuario tiene derecho a hacer lo que el sistema le deje, y
si la tenés en el programa entonces tu agujero de seguridad es muy otro. No?

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20101001/df5ddc2c/attachment.html>


More information about the pyar mailing list