On Fri, Nov 17, 2000 at 12:01:36AM +0000, Michael Lestinsky wrote: > Jens Benecke <jens@jensbenecke.de> wrote: > > Wenn ich eine Datei per HTTP-Dateiupload empfange, und darauf dann > > pdflatex oder latex loslasse, gehe ich damit irgendwelche Risiken ein, > > d.h. kann in LateX-Dokumenten Code eingebettet werden, der dann > > eingefügt wird? Ich denke an sowas wie \include[/etc/passwd] oder > > sowas... > Wenn du dies ueber ein CGI oder ein PHP-Skript machst, dann wird dieses > mit der UID/GID des Apache ausgefuehrt. Soll doch jemand ruhig deine > /etc/passwd lesen. Steht ja eh nichts drin. (Stichwort Shadow-Passwörter) > Die wirklich kritischen Sachen sind sinnvollerweise passend geschützt. ja, aber selbst das ist nicht unbedingt toll. > Was spräche eigentlich dagegen, den Usern einen Account direkt auf der > Maschine zu gewähren? Ganz einfach: Keiner läßt mich an die windows-kisten ran, um was zu installieren, d.h. vorhanden ist nicht mal ein FTP client, und telnet. und keiner hat Lust, irgendwelche Shellbefehle zu lernen / einzutippen. Wie gesagt, ich suche nach einer "klickmich" Lösung, die irgendwie einen Linuxserver rechtfertigt. -- "Das zweite Gesetz der Thermodummheit: In jeder geschlossenen Denkweise bleibt die Ignoranz konstant oder nimmt zu." -- Richard Wein · http://www.hitchhikers.de/ - Die kostenlose Mitfahrzentrale für ganz Europa
Attachment:
pgpnCz44hKVX_.pgp
Description: PGP signature