search

Arpaxad / lightlang

Automatically exported from code.google.com/p/lightlang
0 stars 0 forks source link

Security issue #81

Closed GoogleCodeExporter closed 9 years ago

GoogleCodeExporter commented 9 years ago 
http://code.google.com/p/lightlang/source/browse/trunk/lightlang/apps/sl/Makefil
e.in

        -$(CHMOD) 777 $(DESTDIR)$(INS_SL_DICTS_DIR)
        -$(CHMOD) 777 $(DESTDIR)$(INS_SL_SOUNDS_DIR)

Пожалуйста, не делай те так. Cтавьте словари 
под пользователем в домашнюю
директорию пользователя, а под рутом - в 
/usr/...

Original issue reported on code.google.com by qmel...@gmail.com on 25 Jan 2010 at 11:40

GoogleCodeExporter commented 9 years ago 
Словари - это расшаренные текстовые данные, 
никакой угрозы от того, что они находятся 
в общем пользовании нет. В движке нет багов, 
которые могут привести к выполнению 
произвольного кода. Если очень хочется, я 
могу делать на каталог sticky.

Original comment by mdevaev@gmail.com on 26 Jan 2010 at 12:16

GoogleCodeExporter commented 9 years ago

Original comment by mdevaev@gmail.com on 26 Jan 2010 at 12:17

GoogleCodeExporter commented 9 years ago

Original comment by mdevaev@gmail.com on 26 Jan 2010 at 8:44

GoogleCodeExporter commented 9 years ago

Original comment by mdevaev@gmail.com on 28 Jan 2010 at 12:37

GoogleCodeExporter commented 9 years ago 
даже если риски по безопасности 
минимальны, это нарушение, (ведущее к 
проблемам с
квотами, например)
а именно то, что под пользователем словари 
ставятся не в директорию/раздел отведенную
для пользователя.

Пожалуйста, из под рута ставьте в /usr/, как 
все. Но пользователь не должен иметь
прав на запись в системные 
директории/разделы.

Вы же не думаете, что в системе может быть 
только один пользователь кроме рута?

В прочем, это только совет, пока вы играете 
в своей "песочнице" и если вас данное
положение вполне удовлетворяет, вам ничего 
скажут, или будут за вами заботливо 
подчищать.

Удачи.

Original comment by qmel...@gmail.com on 28 Jan 2010 at 2:37

GoogleCodeExporter commented 9 years ago 
> даже если риски по безопасности 
минимальны, это нарушение
Приведите ссылку на стандарт, который я 
нарушаю.

> пользователь не должен иметь прав на 
запись в системные директории/разделы
Слово privoxy вам о чем-нибудь говорит? Там, 
например, владелец каталога /etc/privoxy - 
пользователь privoxy. То, что /usr системный 
каталог еще не 
означает, что туда никто не должен иметь 
права писать, кроме рута. Я имею в виду, 
конечно, что-то вложенное в /usr. Вас не 
смущают права 777 на /tmp? 
Или на /var/tmp? Это же тоже системные каталоги!

> ведущее к проблемам с квотами, например
Квоты надо просто настраивать 
по-человечески.

> под пользователем словари ставятся не в 
директорию/раздел отведенную для 
пользователя
Это такой подход. Ничем не лучше и не хуже 
остальных. Просто он другой.

> Вы же не думаете, что в системе может быть 
только один пользователь кроме рута?
Вы уверены, что действительно понимаете 
механизм работы прав доступа UNIX? Да, у меня 
была маленькая ошибка, не ставились sticky на 
каталоги со 
словарями. Все, больше никаких проблем нет. 
Никто не перезапишет файлы, потому что в 
рута и остальных пользователей свои, 
корректные umask`и. А так как 
на каталогах стоят стиксы, то никто не 
сможет удалить файл и создать новый с таким 
же именем, осуществив подмену.

> В прочем, это только совет, пока вы играете 
в своей "песочнице" и если вас данное 
положение вполне удовлетворяет, вам ничего 
скажут, или будут за 
вами заботливо подчищать.
Такая схема устраивает всех пользователей. 
Не устраивает конкретно вас, но только 
потому, что вы не разбираетесь в правах 
доступа и безопасности.

> Удачи.
И вам того же. Осильте наконец принципы и 
философию системы, в которой работаете.

Original comment by mdevaev@gmail.com on 28 Jan 2010 at 2:53