lambda expressions als Strings, eval und die Sicherheit

sma · Sonntag 18. Oktober 2009, 11:16

Das parallele Ausführen führt IMHO nicht zu mehr sondern zu weniger Sicherheit. Das könnte ja schon Schadcode ausführen, der dann weitere Tests aushebelt.

Das du Strings parst, verhindert nicht, dass jemand ausnutzen kann, wenn du über dein Environment eine benutzerdefinierte Funktion hineinreichst, diese nutzen kann.

Code: Alles auswählen

def a(): pass

print a.__class__(a.func_code.__class__(0, 0, 1, 67, "d\x01\x00S", (None, 7), (), (), "", "", 1, ""), {})()

Stefan

ms4py · Sonntag 18. Oktober 2009, 11:50

Sorry, aber ich versteh echt gar nichts von deinem Post, weder das erste noch das zweite.

Das erste ist mir einfach nur unklar und beim zweiten kann ich mir nicht vorstellen, wie so ein Konstrukt über meinen Parser ausgeführt werden kann.

birkenfeld · Sonntag 18. Oktober 2009, 14:44

In der Tat fehlen dazu einige AST-Elemente, z.B. `Attribute`. Das sollte dann aber auch so bleiben...

ms4py · Sonntag 18. Oktober 2009, 19:05

birkenfeld hat geschrieben:In der Tat fehlen dazu einige AST-Elemente, z.B. `Attribute`. Das sollte dann aber auch so bleiben...

Also findest du meinen Parser sicher genug?
(Mehr kommt auch nicht hinzu, höchstens noch die Generierung der Funktion als LaTeX-String)

birkenfeld · Sonntag 18. Oktober 2009, 21:00

Dazu hab ich nicht genau genug hingeschaut. "Das ist 100% sicher" is aber so ne Aussage, die man besser nicht leichtsinnig macht