[pyar] Peligrosidad de un lambda

[Claudio Freire]

2010/10/1 Ricardo Araoz <ricaraoz en gmail.com>

> Incluso eval() permite, aún en un sistema super bien configurado, que
> alguien ejecute algún exploit de escalación de privilegios.
>
>
> Todo lo que hagas con eval() lo podés hacer si tenés acceso a la máquina.
>

No si el programa corre con otros privilegios...


> En cuanto a setuid/setgid, no se si leíste que dije "sin pedirle la
> contraseña al usuario ni tenerla en el programa".
>

...y setuid/setgid es una forma de correr con otros privilegios SIN
pedir/tener la contraseña.

Un administrador del sistema, si considera que un programa X es seguro (ej:
este raw_input es seguro, no pasa naranja), puede darle permiso para correr
como otro usuario AUNQUE el que lo invoca no sepa la contraseña.

Luego... yo... como administrador... si veo un eval, lo considero un agujero
negro.
INSEGURO
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20101001/f8a599af/attachment.html>