Re: rsync over ssh
> При беглом просмотре текста скрипта не видно, с чего бы ему не
> работать с -T. Весь ввод из environment все равно старательно
> пропускается через регекспы.
>
> Значит, если где-то не заработает, скорее всего это действительно
> неаккуратное обращение с untrusted вводом.
Проблема в том, что Perl не позволяет указать, какой ввод trusted, а какой нет. Например, в данном случае аргументы командной строки - trusted, поскольку идут из файла authorized_keys. В результате приходится раз-taint-чивать их вручную, чего автор скрипта не делает, поэтому он не работает. Я проверял.
> Кстати, use warnings там тоже не видать. Из чего следует что для автора
> Perl язык не родной. Человек, который много писал на Perl вещей, имеющих
> отношение к security обычно -wT пишет на автомате, и только потом
> задумывается, "а может убрать?" если сильно мешает. Здесь - не должно
> мешать.
Разные люди пишут по-разному. Общий смысл -T такой: если Perl _думает_, что в программе уязвимость, то он завершает эту программу. Не всегда такое поведение желательно.
> То что в языке есть такая возможность, а автор ее не использует,
> свидетельствует о том, что либо автор плохо знает язык, либо вообще
> небрежно относится к этому скрипту. И то, и другое повышает вероятность
> уязвимости.
Либо о том, что именно эта возможность автору не нужна. Намного опаснее писать от балды и думать, что -T от всего спасёт.
Reply to: