nicht angemeldet
Sicherheit von Perl-Scripts
Hallo!
Ich schreibe ab und zu Tools in Perl, die mir lästige Arbeit abnehmen. Also z. B. Bilder aus einem Verzeichnis auslesen und auf einer Webseite anzeigen oder diverse Konfigurationsdateien packen und in ein Verzeichnis sichern etc.
Kann ich jetzt davon ausgehen, dass Perl-Scripts die keine User-Eingabe benötigen, sondern nur über Variable im Script gesteuert werden, sicher sind? Sind Systemaufrufe in solchen Scripts unproblematisch?
Auf einschlägigen Webseiten lese ich, daß unerwartete Eingaben das große Sicherheitsrisiko sind. Wenn diese nicht vorkommen, sollte ein Script doch sicher sein, oder liege ich damit falsch?
Grüße Perlhuhn
-
Hi,
Kann ich jetzt davon ausgehen, dass Perl-Scripts die keine User-Eingabe benötigen, sondern nur über Variable im Script gesteuert werden, sicher sind? Sind Systemaufrufe in solchen Scripts unproblematisch?
ja.
Auf einschlägigen Webseiten lese ich, daß unerwartete Eingaben das große Sicherheitsrisiko sind. Wenn diese nicht vorkommen, sollte ein Script doch sicher sein, oder liege ich damit falsch?
Ach, eine Uebertreibung. Perl laeuft doch erst mal im Sicherheitskontext des "anonymen Internetnutzers" (ein vom OS speziell angelegter Nutzer).
Allerdings:
- den o.g. Nutzer adaequat berechtigen
- Vorsicht auch beim Datenzugriff, da hier manchmal der Sicherheitskontext gewechselt wird
Gruss,
Ludger-
Servus,
Allerdings:
- den o.g. Nutzer adaequat berechtigen
- Vorsicht auch beim Datenzugriff, da hier manchmal der Sicherheitskontext gewechselt wird
... und nach taint mode googlen.
Bert
--
E492: Not an editor command: Wq
ln -s /dev/brain-
... und nach taint mode googlen.
Der Begriff ist mir schon untergekommen. Allerdings hatte ich ihm nicht genügend Beachtung geschenkt. Danke.
Grüße Perlhuhn
-
ja.
Na das ist ja mal ne klare Aussage ;-)
Danke.Grüße Perlhuhn
-
Ich habe vor einigen Jahren von einem tainted-Modus gehört.
perl -wT myscript.pl
oder so ähnlich. Aber frag mich nicht weiter....
Grüße,
Wolfram