[Tech] Miglior spiegazione:
Gianni Bianchini
giannibi@firenze.linux.it
Sab 28 Dic 2002 10:28:58 CET
On Fri, 27 Dec 2002 16:46:44 +0100
Leonardo Boselli wrote:
> Ecco ... poiché lo script prende un username e una password
> inseriti, li confronta con /etc/passwd il creare username inesistenti
> non so come faccia ... l'unica cosa è che mi crei 'root' ,,, ma
> dovrebbe anche indovinarne la passwd .... e comunque visto che il
> .forward di root non viene mai esaminato il rischio è minimo.
Arriva il luogo comune del giorno: "l'errore di programmazione e' sempre
in agguato."
> Il dubbio che mi viene è invece questo, adesso:
> quello che metto in .forward di un utente lo debbo controllare "duro"
> o posso fidarmi, con l'assunto che se l'utente mette cose sballate
> perde la SUA posta...
> al massimo potrei fare un controllo che ciò che viene messo sia del
> tipo *[a-z.0-9A-Z_-]@*[a-z.0-9A-Z-] ... basta ?
Per dirne una, potresti voler impedire agli utenti di eseguire processi
o creare file dal .forward pipando la posta su questo e quel comando,
quindi escludere segni di pipe o quant'altro. Nel caso, dai un'occhiata
alla configurazione del MTA per escludere questa possibilita' a priori.
Inoltre non e' una buona idea non controllare l'input "tanto se sbaglia
perde la sua posta": anche gli errori dell'utente sono in agguato (secondo
luogo comune del giorno.)
Ciao.
Gianni.
Maggiori informazioni sulla lista
flug-tech