[Moscow.pm] Безопасность Perl

[Alexey Shrub]

Посмотрел 17 минут:
Примеры кода без strict намекают что он 
реально юзает old perl
Невозможность указать тип аргумента 
это минус, но не это порождает 
уязвимости.
Может я что-то делал не так, но что-то не 
помню чтобы я писал функций которые 
принимают что угодно и выполняют 
разные действия в зависимости от типа 
аргументов, может у меня какой-то 
другой перл? Хотя и это не порождает 
уязвимостей.
То, что разработчика багзиллы не 
эскейпят данные подставляемые в 
запрос не косяк языка, а их косяк.
Весь его разговор крутится вокруг того 
что якобы хеши это безопасные 
структуры данных, но естественно это 
чушь, никакой универсальной 
безопасности не может быть, откуда 
перлу знать что программер будет 
данными делать - в базу вставлять или в 
html, эскейпить нужно явно в зависимости 
от того что нужно.
Дальше не хочется тратить время

On Вт, дек 29, 2015 в 12:35 , Павел Щербинин 
<dzirtik на gmail.com> wrote:
> Сегодняшний доклад про Perl на 
> конференции 32c3 - огонь!
> 
> Всем перловикам и безопасникам 
> обязательно смотреть видео:
> https://www.youtube.com/watch?v=eH_u3C2WwQ0
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mail.pm.org/pipermail/moscow-pm/attachments/20151229/1e525b90/attachment.html>