Ich kann mir ehrlich gesagt kein Szenarium vorstellen, in dem es Sinn
macht, das root-Passwort bis zum Ende der Sitzung im Speicher zu
halten. Warum der Programmierer die Funktion anbietet? Das musst Du ihn
selbst fragen :-) Wahrscheinlich gibt es immer irgendwen, der die
Funktion dann doch will, so blöd sie auch sein mag.
[...]
Also wenn das Passwort im Speicher ist und meinetwegen ein Angreifer
eine Sicherheitslücke in irgendeinem aus dem Internet erreichbaren
Stück Software ausnutzt und Zugriff in dem Kontext des Benutzers
bekommt, der den Schlüsselbund freigeschaltet hat, dann hat er root-
Rechte. Das stimmt so noch nicht ganz, weil es gewisse Mechanismen
gibt, die u.U. erstmal ausgehebelt werden müssen. Aber prinzipiell ist
es so "einfach", ja.
Bei diesen Diskussionen muss man immer noch die Verhältnismäßigkeit im
Auge behalten. Wenn Du keine populäre Person bist und auch sonst
niemanden hast, der etwas von Dir will, dann ist es m.E. _äußerst_
unwahrscheinlich, dass jemand diesen Aufwand betreiben wird. Es gibt
für das oben angesprochene, jedenfalls soweit ich weiß, keine
Programme, die solche Angriffe automatisch durchführen. Jeder Angriff
wäre also dediziert und bei einem Angreifer mit einem starken Motiv hat
man sowieso fast immer verloren...