Re: rsync over ssh
On 2011.12.05 at 15:43:59 +0400, Evgeny Kapun wrote:
> > При беглом просмотре текста скрипта не видно, с чего бы ему не
> > работать с -T. Весь ввод из environment все равно старательно
> > пропускается через регекспы.
> >
> > Значит, если где-то не заработает, скорее всего это действительно
> > неаккуратное обращение с untrusted вводом.
> Проблема в том, что Perl не позволяет указать, какой ввод trusted, а какой нет.
Позволяет. Пропустив через псевдо-регексп /^(.*)$/
> Например, в данном случае аргументы командной строки - trusted,
> поскольку идут из файла authorized_keys. В результате приходится
> раз-taint-чивать их вручную, чего автор скрипта не делает, поэтому
> он не работает. Я проверял.
Ну и объем требуемых правок сравним с объемом правок в первой строке для
того чтобы добавить -T.
> Разные люди пишут по-разному. Общий смысл -T такой: если Perl
> _думает_, что в программе уязвимость, то он завершает эту программу.
> Не всегда такое поведение желательно.
В программе такого объема, которую вполне реально покрыть тестами на
100% - желательно.
> Либо о том, что именно эта возможность автору не нужна. Намного опаснее
> писать от балды и думать, что -T от всего спасёт.
От всего - не спасет, естественно. Но достаточно часто расскажет что-то
интересное.
Reply to: