Hallo,

Die Sicherheitslücke besteht darin, dass in dem Zeitraum, wo es diese temporären Dateien gibt,

Du meinst wahrscheinlich, dass /tmp und die fraglichen Dateien world-readable sind und dem User gehören, unter dem der Perl-Prozess läuft, also für andere Nutzer auf dem Server prinzipiell lesbar. Das ist bei Shared-Hostern natürlich ein Problem, weshalb sie m.W. zumindest tmp-Verzeichnisse pro User verwenden.

ein Eindringling (Hacker) auf dem Server auch Zugriff darauf hat.

Angenommen der Hacker hat den Server geknackt und Root-Zugriff, hat er kompletten Zugriff auf sämtliche Web-Kommunikation. Ob die Datei dann /tmp durchläuft oder nicht, ist nicht mehr ausschlaggebend.

Ein bösartiger Hacker kann diese Daten also für eigene Zwecke missbrauchen, ohne dass der Anwender etwas davon mitbekommt.

Und der Hacker kann das nach dem Abschluss des Uploads mit den persistenten Dateien nicht mehr?! Speicherst du die Datei etwa nicht auf dem Server…?

Von solcher IT-Security sollte man als Laie die Finger lassen. Schon gar nicht Versprechungen machen, man könne mit primitiven Maßnahmen die systematische und totale Internetüberwachung von staatlichen Stellen umgehen. Das ist äußerst unseriös und zeigt, dass man von Angriffsvektoren wenig verstanden hat.

Mathias