subject:TeX--Web server

Jan Houstek housj0am na karlov.mff.cuni.cz
Pondělí Listopad 26 12:28:38 CET 2001


On Mon, 26 Nov 2001, Pavel Kraus wrote:

> No, ja jsem kdysi nekde (v jedne z knih o TeXu, ktere vysly v cestine)
> cetl, ze v TeXu se da naprogramovat ledacos, jako priklad tam byl
> zminovan interpreter jazyka BASIC. Vzhledem k tomu, ze umi soubory
> cist i psat, umi je i kopirovat. Prinejmensim by se tedy dal napsat
> dokument, ktery do sebe zahrne informace o konfiguraci serveru.

S tim interpretem BASICu to neni tak zhave. Sice to interpretuje basicovy
kod, ale tim se nikaj nezvetsuji moznosti TeXu co se vnejsiho prostredi
tyka. Opakuji se, ale jedine, co (krome neskodneho vytvareni dvi pdf a
log -- ledaze bychom chteli zahltit disk :-) tex umi je nacist soubor
a zapsat soubor a u obojiho si navic nejsem jisty, nakolik by to obstalo u
binarniho souboru (v principu to sice mozne je, ale prakticky by s tim
byly neskutecne potize). Rozhodne neumi spustit jakykoliv spustitelny
program ani neumi udelat neco ekvivalentniho ls.

Takze mozne skody vidim takto:

1) nepritel zapise nejaky soubor, ktery pak precte nejaky jiny program a
chova se jinak nez bychom si prali

reseni -- nedam userovi, pod kterym se TeX spousti, prava zapisu nikam
jinam nez do jedineho adresare

2) nepritel bude zapisovat velke mnozstvi dat na disk s cilem ho preplnit

reseni -- dam na dany adresar kvotu a staram se o pravidelne promazavani

3) nepritel si precte nejaky konfiguracni soubor (pomoci \input) a najde
diru v systemu kterou pak pouzije k utoku jinym zpusobem

reseni -- 1) odstranim diru. Pokud o ni nevim, a presto tam nejaka je, tak
je server nezabezpeceny s TeXem i bez nej. 2) nedam userovi spostejicimu
TeX prava cist soubory odjinud nez ze stromu /usr/share/texmf a jeho
daneho adresare.

> Proste si myslim, ze pokud se to poradne bezpecnostne neosetri, da to
> v podstate komukoliv pravo nechat na serveru pustit svuj kod s pravy
> webserveru.

Mate pravdu, ale to "poradne bezpecnostne neosetri" znamena v tomto
pripade skutecne pouze to popsane v bodech 1 - 3.

-- 
Honza Houstek



Další informace o konferenci Linux