perlsec - Perl のセキュリティ - perldoc.jp
perlsec - Perl のセキュリティ 説明¶ Perlは、プログラムが setuid や setgid されるような特別な権限を付加されて 実行されたときでもセキュリティ保持が容易になるように設計されています。 スクリプトの一行ごとの多重置換を行うことに基づいているような大部分の コマンドラインシェルとは違って、Perl は隠れた障害が少ないような、 より便利な評価手法を用いています。 それに加えて Perl はより多くの組み込み関数を持っているので、 ある目的を達成するために(信頼できないかもしれないような) 外部プログラムを使うことが少なくてすむのです。 Perl は、そのプログラムが異なる実ユーザー ID、実効ユーザー ID、実グループ ID、 実効グループ ID を使って実行されることを検出したときに、 自動的に 汚染モード (taint mode) と呼ばれる特別なセキュ
Perlの汚染モードに苦戦 - libnitsuji.so
Perlには「汚染モード」というのがあって、-Tオプションを使用すると有効になります。こんな感じで。 #!/usr/bin/perl -wT 汚染モードの目的はPerlに対してユーザーからのデータを追跡し、そのデータを使った危険な処理を実行しないように指示することです。 によれば、 汚染モードが有効になると、Perlはすべての変数を監視して汚染されているかどうかをチェックします。Perlは、コードの外から来たすべてのデータは汚染されていると判断します。これには、環境変数はもちろん、STDIN(またはその他の入力ファイル)から読み込まれたすべてのデータも含まれるので、CGIスクリプトがユーザから受け取るすべてのデータをカバーします。 とのことであり、 CGIスクリプトでは常に汚染モードを使うべきです。 とも言っています。一方で、慣れないとイライラするかもね、とも言っています。とりあえずこれま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
