HTMLpointHTMLpoint HTMLpoint.com


 Tips: Seguridad



A veces escuchamos la siguiente pregunta: ¿es más seguro escribir un CGI en Perl, en C o en otro lenguaje?'. Pues, no os preocupéis porque la seguridad depende de cómo está escrito el CGI, no del lenguaje que se utiliza, aunque unos son más seguros que otros.

Hay que tener siempre mucho cuidado a la hora de poner en relación el CGI con la shell porque esto no se tiene que hacer nunca. Podría haber unos huecos de seguridad. Por ejemplo,
open (COMMAND, "/usr/bin/finger $utente_del_form");

o

system ("/usr/ucb/finger $utente_del_form");

o

@fecha = `usr/bin/finger $usuario_del_form`;

El usuario del form podría ser tan listo (o hacer algo sin darse cuenta) que podría crear graves problemas. O bien, si necesitáis un finger en el usuario del form, será mejor utilizar la segunda instrucción en la forma
system ("/usr/ucb/finger", $form_user);
es decir, pasando los argumentos como un listado mejor que como una cadena.

Hay que conseguir que los usuarios del sitio no interactúen NUNCA en primera persona con el intérprete Perl: si alguien pasase al intérprete perl unas líneas (después del '?') 'con mala intención', correriáis el riesgo de encontraros con el disco vacío o de ver datos privados en las manos de otros.
Parece una tontería, pero es mejor hacerlo notar.


  Volver al inicio de la página