> А кто мешает в таком случае запустить /bin/bash с какими угодно
> параметрами прямо из CGI-скрипта???
>
> IMHO разницы никакой - какой shell ставить таким юзерам.
>
> // Yuri Kuzmenko, system administrator
> // LIGA ONLINE - http://www.liga.kiev.ua
>
> On Thu, 20 Jan 2000, Eugene Grosbein wrote:
>
> > > А вот объясните -- чем хостинг с CGI опаснее shell-доступа???
> >
> > Самый хороший login shell для хостящегося юзера - /bin/date или аналогичный.
Вообще-то я писал о том, что ни login shell, ни CGI нельзя давать
непроверенным юзерам, какими обычно являются клиенты. И без того
с ними проблем хватает. У меня вот один хостящийся с маниакальным упорством
пытается троянов распространять через веб-старничку. А что будет, если
я начну давать login shell или CGI?
А проверять их скрипты - увольте, я тогда только этим заниматься и буду.
Вот он возьмет где-нибудь готовую гостевую книгу на perl (самое
распространенное применение CGI) на 50K исходного текста да и засунет
туда чего-нибудь эдакое. А мне сидеть и вылизывать десятки килобайт чужого
кода? А таких юзеров - десятки и каждый день все больше.
Eugene
=============================================================================
= Apache-Talk@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 Alex Tutubalin. Design (C) 1998 Max Smolev.