tätsächlich eine sicherheitslücke?
Verfasst: Samstag 26. Februar 2005, 11:47
hi zusammen,...
bezugnehmend auf diesen thread
http://python.sandtner.org/viewtopic.php?t=2847&start=2
will ich nochmal diskutieren ob die anwendung von wie ich sie gemacht habe wirklich eine sicherheitslücke ist.
abgesehen von der diskussion, war ich wirklich daran interessiert, allein schon weil mich das auch in python weitergebracht hätte, das programm so abzuändern, dass nur dann ausgeführt wird wenn keine anweisung übergeben wurde.
ich habe aber mal nachgedacht, wann denn überhaupt so ein negativer fall eintreten könnte. es müsste jmd. von aussen zugriff auf den pc haben, und wissen
1. dass ich dieses programm geschrieben habe,
2. dass in diesem programm eine funktion vorkommt, die nicht nur erlaubt, dass datentypen per gui eingegeben und dann in einer datei abgespeichert werden können
3. wie dieses programm heisst
usw. usw.
wenn er in das system eindringt und schaden anrichten will, wird er sich einer konsole bedienen (warum kompliziert, wenn es einfach auch geht) und dort, je nachdem ob er mit benutzerrechten oder root rechten agieren kann im entsprechenden verzeichnis z.b. ausführen.
verwendet er mein programm können die anweisungen auch nur dort ausgeführt werden wo ich mit benutzerrechten entsprechende aktionen ausführen kann.
es gibt anweisungen, die gefährlich sind, klar, sind dann aber über eine pythonkonsole schneller auszuführen, zu der er ja dann auch zugang hat.
es ist ein programm, das mit verantwortung zu verwenden ist.
das ist aber öfters so
kann ich ja immer verwenden, werde es aber hoffentlich nur tun, wenn es sinn macht, oder ist diese anweisung eigentlich eine sicherheitslücke???
vielleicht habe ich ja was übersehen, aber ich denke, ich kann ohne weiters für den im thread aufgezeigten thread verwenden.
eine sicherheitslücke ist für mich, wenn eine anwendung, z.b. ein browser einen fehler aufweist, der den zugang zum system ermöglicht. in meinem fall muss er ja schon zugang haben!
mfg
rolgal
Edit (Leonidas): Code in Python Tags gesetzt.
bezugnehmend auf diesen thread
http://python.sandtner.org/viewtopic.php?t=2847&start=2
will ich nochmal diskutieren ob die anwendung von
Code: Alles auswählen
eval()
abgesehen von der diskussion, war ich wirklich daran interessiert, allein schon weil mich das auch in python weitergebracht hätte, das programm so abzuändern, dass nur dann
Code: Alles auswählen
eval()
ich habe aber mal nachgedacht, wann denn überhaupt so ein negativer fall eintreten könnte. es müsste jmd. von aussen zugriff auf den pc haben, und wissen
1. dass ich dieses programm geschrieben habe,
2. dass in diesem programm eine funktion vorkommt, die nicht nur erlaubt, dass datentypen per gui eingegeben und dann in einer datei abgespeichert werden können
3. wie dieses programm heisst
usw. usw.
wenn er in das system eindringt und schaden anrichten will, wird er sich einer konsole bedienen (warum kompliziert, wenn es einfach auch geht) und dort, je nachdem ob er mit benutzerrechten oder root rechten agieren kann im entsprechenden verzeichnis z.b.
Code: Alles auswählen
rm -rf
verwendet er mein programm können die anweisungen auch nur dort ausgeführt werden wo ich mit benutzerrechten entsprechende aktionen ausführen kann.
es gibt anweisungen, die gefährlich sind, klar, sind dann aber über eine pythonkonsole schneller auszuführen, zu der er ja dann auch zugang hat.
es ist ein programm, das mit verantwortung zu verwenden ist.
das ist aber öfters so
Code: Alles auswählen
rm -rf
vielleicht habe ich ja was übersehen, aber ich denke, ich kann ohne weiters
Code: Alles auswählen
eval()
eine sicherheitslücke ist für mich, wenn eine anwendung, z.b. ein browser einen fehler aufweist, der den zugang zum system ermöglicht. in meinem fall muss er ja schon zugang haben!
mfg
rolgal
Edit (Leonidas): Code in Python Tags gesetzt.