[Madrid-pm] Selección de módulos dependiendo del S.O.

[Alex Muntada]

salvador fandino:

> En tu ejemplo, has cargado un paquete "Trojan", pero un atacante que
> consigue hacer eso ya tiene el control completo del programa y puede
> manipular @ISA o hacer cualquier otra cosa que le plazca directamente.

Tienes razón, @INC tambien es vulnerable a este tipo de ataques.

En mi cabeza he imaginado qué pasaría si alguien consigue las
credenciales de PAUSE del mantenedor de algun módulo muy usado
y añadiera un exploit en $^O para crear un backdoor.

Como los módulos de Perl se distribuyen en código, supongo que
tarde o temprano alguien se daría cuenta, pero ¿cómo puede un
autor protegerse de este tipo de ataques que podrían venir de
las dependencias externas? Casi nadie firma sus paquetes en CPAN
con una clave PGP y no hay ningún tipo de garantía sobre la
autoría más allá de conocer la contraseña de PAUSE. De hecho,
los mirrors del CPAN son todavía más vulnerables a ataques de
MitM. Supongo que por eso me siento más tranquilo usando los
módulos empaquetados para las distribuciones de linux.

Un saludo!
Alex