[Cascavel-pm] Perl - Cases
Thomas Britis
thomas em tcnet.com.br
Terça Abril 24 11:08:15 PDT 2007
Eden Cardim wrote:
to do tamanho do bugzilla
> - < use lib qw(.) > ao meu ver, está sendo usado para adaptar a
> estrutura mal-definida (segundo os meus critérios individuais) do
> código, que mistura bibliotecas (.pl = perl library) com executáveis
> (.cgi). Se não me falha a memória, ter o diretório atual no @INC dá
> vazão a falhas de segurança, tanto é que Perl não coloca o '.' no @INC
> se o taint mode estiver ligado.
Acredito que essa falha de segurança seria válida apenas se 'alguém'
tivesse acesso de escrita ao diretório '.' de onde roda o CGI, já que,
quando se faz um use lib qw(.), o diretório '.' passa a ser o primeiro
da lista do @INC. Seria possível então utilizar um módulo 'mal' em favor
de um módulo legítimo na estrutura normal do @INC. Porém, não sei como o
perl se comporta tendo dois módulos com o mesmo nome no @INC. Não sei se
ele usa o primeiro, o último, ou se não usa nenhum. A verdade é que,
independente do que o perl fizer, ter permissão de escrita no diretório
em que o cgi está (ou programa qualquer) é uma falha além do que
preconiza o @INC, pois o próprio cgi poderia ser alterado.
Tudo isso, claro, se não houver alguma outra falha de segurança que eu
não consegui enxergar.
De todo modo, obrigado pela resposta.
Abraços,
--
Thomas Storino Britis
TCNet Informatica e Telecomunicacoes LTDA
Mais detalhes sobre a lista de discussão Cascavel-pm