[Cascavel-pm] Perl - Cases

Thomas Britis thomas em tcnet.com.br
Terça Abril 24 11:08:15 PDT 2007


Eden Cardim wrote:
to do tamanho do bugzilla
> - < use lib qw(.) > ao meu ver, está sendo usado para adaptar a
> estrutura mal-definida (segundo os meus critérios individuais) do
> código, que mistura bibliotecas (.pl = perl library) com executáveis
> (.cgi). Se não me falha a memória, ter o diretório atual no @INC dá
> vazão a falhas de segurança, tanto é que Perl não coloca o '.' no @INC
> se o taint mode estiver ligado.

	Acredito que essa falha de segurança seria válida apenas se 'alguém' 
tivesse acesso de escrita ao diretório '.' de onde roda o CGI, já que, 
quando se faz um use lib qw(.), o diretório '.' passa a ser o primeiro 
da lista do @INC. Seria possível então utilizar um módulo 'mal' em favor 
de um módulo legítimo na estrutura normal do @INC. Porém, não sei como o 
perl se comporta tendo dois módulos com o mesmo nome no @INC. Não sei se 
ele usa o primeiro, o último, ou se não usa nenhum. A verdade é que, 
independente do que o perl fizer, ter permissão de escrita no diretório 
em que o cgi está (ou programa qualquer) é uma falha além do que 
preconiza o @INC, pois o próprio cgi poderia ser alterado.
	Tudo isso, claro, se não houver alguma outra falha de segurança que eu 
não consegui enxergar.

	De todo modo, obrigado pela resposta.

	Abraços,
-- 
Thomas Storino Britis
TCNet Informatica e Telecomunicacoes LTDA


Mais detalhes sobre a lista de discussão Cascavel-pm