Es geht nicht darum, was status quo ist. Sondern ob du dir dadurch eine Sicherheitslücke einfängst, die jemand der Dir oder deiner Firma schaden will, ausnutzen kann. Die hast du jetzt eingebaut. Und das du das so einfach abtust ist die angesprochene Beratungsresistenz. Das ist daher auch keine Beleidigung. Sondern das Kind beim Namen genannt.JohannX hat geschrieben: Dienstag 6. August 2019, 16:16 Ich denke das wird so passen, hab mir mehrere Formeln angesehen und mehr als () + - / und * waren nie dabei. Somit ist das Projekt nun Fertig
asc File Zeilen Suchen und entfernen
Hab mit jetzt ein paar Informationen über das "böse" eval eingeholt.
http://userpage.fu-berlin.de/~ram/pub/p ... val_python
viewtopic.php?t=2847
Soweit habe ich es nun verstanden, ist definitiv nicht die beste Wahl, so im Nachhinein...
Aber da es nur intern verwendet wird und sofern das Python Programm soweit funktioniert kann dies einer Firma übergeben werden die das Python Programm in das Hauptprogramm welches Java geschrieben ist implementieren, kann ich mal darüber hinwegsehen.
Wenn meine Python Kenntnisse mehr geworden sind und ich wieder zu solch einem Fall komme, werde ich mir den parser ansehen.
Auf Udemy gibt es wirklich gut erklärende Python Kurse
http://userpage.fu-berlin.de/~ram/pub/p ... val_python
viewtopic.php?t=2847
Soweit habe ich es nun verstanden, ist definitiv nicht die beste Wahl, so im Nachhinein...
Aber da es nur intern verwendet wird und sofern das Python Programm soweit funktioniert kann dies einer Firma übergeben werden die das Python Programm in das Hauptprogramm welches Java geschrieben ist implementieren, kann ich mal darüber hinwegsehen.
Wenn meine Python Kenntnisse mehr geworden sind und ich wieder zu solch einem Fall komme, werde ich mir den parser ansehen.
Auf Udemy gibt es wirklich gut erklärende Python Kurse
Genau. Und dann kommt der böse Mitarbeiter und schreibt den richtigen Befehl in die zu parsende Spalte und "die Firma, die das Programm in ein Hauptgramm in Java implementiert" verliert ihre Daten. Das ist dann übrigens nicht deren Schuld, sondern deine. Du hast wissentlich eine Sicherheitslücke in ein Programm eingebaut.JohannX hat geschrieben: Mittwoch 7. August 2019, 07:11Aber da es nur intern verwendet wird und sofern das Python Programm soweit funktioniert kann dies einer Firma übergeben werden die das Python Programm in das Hauptprogramm welches Java geschrieben ist implementieren, kann ich mal darüber hinwegsehen.
-
__blackjack__
- User
- Beiträge: 14047
- Registriert: Samstag 2. Juni 2018, 10:21
- Wohnort: 127.0.0.1
- Kontaktdaten:
@JohannX: Es wird nicht intern verwendet, es verarbeitet Daten die von ausserhalb kommen, die nicht unter der Kontrolle des Programms liegen. Man müsste mindestens sicherstellen, dass tatsächlich nur die erwartete Untermenge verwendet wird in dem man die Formel analysiert, zum Beispiel mit dem `ast`-Modul oder eventuell auch einfach nur mit dem `tokenize`-Modul. Zusätzlich zu dem Sicherheitsaspekt („security“) gibt es dann auch noch die andere Sicherheit („safety“) – man sollte natürlich bei Daten die von ausserhalb kommen auch entsprechend reagieren wenn die Formel syntaktisch falsch ist, oder ein Problem bei der Laufzeit hat, zum Beispiel teilen durch 0.
“Vir, intelligence has nothing to do with politics!” — Londo Mollari