[pyar] Peligrosidad de un lambda

QliX=D! [aka EHB] qlixed en gmail.com
Vie Oct 1 18:41:25 ART 2010


Ufff...

2010/10/1 Ricardo Araoz <ricaraoz en gmail.com>:
[...]
>
> Creo que te referís sólo a aplicaciones web.

No. Hablo en general.

> Veamos el caso de eval(). Digamos que lo que meto dentro de eval
> proviene de una base de datos en la que tengo scripts que permito
> modificar a ciertos usuarios de confianza. Ves como siempre hay que usar
> el criterio?
> Digamos que lo que meto dentro de eval proviene del usuario local de la
> máquina y NO hago setuid. En ese caso con eval sólo se puede hacer lo
> que el usuario de todas maneras puede hacer. Ves como siempre hay que
> usar el criterio?
> En el caso que se presentó de un script que usa eval y setuid, acá el
> problema no es el eval(). Es el setuid!!!! Ves como siempre hay que usar
> el criterio?

Ok, usa el criterio que quieras, pero estas asumiendo el nivel de
riesgo con el criterio nada mas.
Asumir el nivel de riesgo es parte de un analisis completo de
seguridad, pero tus analisis de criterio presuponen un unico uso de la
aplicacion, en un entorno controlado. Entonces bajo ese nuevo entorno
estas asumiendo el nivel de riesgo. PERO los entornos no son 100%
controlables y no son monotonos.

Pero bueno parafraseando algun gran sabio te voy a decir: "Hace lo que
quieras" :)

Saludillos.
EHB



More information about the pyar mailing list