[pyar] Peligrosidad de un lambda

[Claudio Freire]

2010/10/1 Roberto Alsina <ralsina en netmanagers.com.ar>

> On Friday 01 October 2010 18:22:59 QliX=D! [aka EHB] wrote:
> > Los desarrolladores deben HACERSE RESPONSABLES de la seguridad de su
> > aplicacion como algo integral, no metiendo un servicio por SSL...
> > nonono.
>
> En una aplicación de escritorio, dependiendo de donde venga el dato que se
> pasa al eval puede ser algo perfectamente seguro.
>

Correcto


> No tiene sentido hacer seguras cosas que no van a serlo nunca. Tengamos
> criterio, tener un eval no es ni mas ni menos inseguro que tener un
> interprete
> de python, o un shell.


Correcto


> El unico chiste es que no tiene que estar en un lugar
> donde te lleguen datos "extraños".
>
> No, no sanear los datos antes de pasarselos, sino no pasarle datos que no
> sabes de adonde vienen. Les recomiendo leer el articulo de taint de Juanjo
> en
> la revista ;-)
>

No es eso exactamente lo que es eval(raw_input())?

No vale la pena entonces decir

¡¡¡¡NOOO!!!! ¡¡¡¡ES INSEGURO!!!!

O sea... habrá situaciones extenuantes. Pero te atrevés a decirle a alguien
que capaz que sabe capaz que no reconocer las situaciones donde eso sí es
seguro, que eso sí puede ser seguro?

No, yo prefiero decirle que no y parecer paranoico a crear otro programador
descuidado en el mundo.

Mencionan a juanjo conti.

Mencionémoslo con un link que posteó en pythonsecurity:
http://www.codekoala.com/blog/2010/security-and-pythons-exec/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20101004/48e40dbc/attachment.html>