[pyar] Peligrosidad de un lambda

Roberto Alsina ralsina en netmanagers.com.ar
Lun Oct 4 12:37:53 ART 2010

Mensaje anterior: [pyar] Peligrosidad de un lambda
Próximo mensaje: [pyar] Peligrosidad de un lambda
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On Monday 04 October 2010 12:14:30 Claudio Freire wrote:
>  El unico chiste es que no tiene que estar en un lugar
>  donde te lleguen datos "extraños".
> 
>  No, no sanear los datos antes de pasarselos, sino no pasarle datos que no
>  sabes de adonde vienen. Les recomiendo leer el articulo de taint de Juanjo
> en la revista ;-)
> 
> No es eso exactamente lo que es eval(raw_input())?

No. raw_input sabés *exactamente* de adonde viene. Viene de un tipo sentado en 
la terminal, logueado con esa cuenta.

Ahora bien, de que manera te proteje no permitir eval(raw_input()) si el tipo 
puede poner "python" (ya que está logueado) y escribir lo que se le cante?

O sea, si tu modelo de amenaza no previene ningun comportamiento dañino, es 
"security theater" como dice Schneier. 

> No vale la pena entonces decir
> 
> ¡¡¡¡NOOO!!!! ¡¡¡¡ES INSEGURO!!!!
> 
> O sea... habrá situaciones extenuantes. Pero te atrevés a decirle a alguien
> que capaz que sabe capaz que no reconocer las situaciones donde eso sí es
> seguro, que eso sí puede ser seguro?

Si, hay situaciones que cansan! O querés decir atenuantes? ;-)

Mensaje anterior: [pyar] Peligrosidad de un lambda
Próximo mensaje: [pyar] Peligrosidad de un lambda
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list