> А кто мешает в таком случае запустить /bin/bash с какими угодно
> параметрами прямо из CGI-скрипта???
>
> IMHO разницы никакой - какой shell ставить таким юзерам.
>
> // Yuri Kuzmenko, system administrator
> // LIGA ONLINE -
>
> On Thu, 20 Jan 2000, Eugene Grosbein wrote:
>
> > > А вот объясните -- чем хостинг с CGI опаснее shell-доступа???
> >
> > Самый хороший login shell для хостящегося юзера - /bin/date или аналогичный.
Вообще-то я писал о том, что ни login shell, ни CGI нельзя давать
непроверенным юзерам, какими обычно являются клиенты. И без того
с ними проблем хватает. У меня вот один хостящийся с маниакальным упорством
пытается троянов распространять через веб-старничку. А что будет, если
я начну давать login shell или CGI?
А проверять их скрипты - увольте, я тогда только этим заниматься и буду.
Вот он возьмет где-нибудь готовую гостевую книгу на perl (самое
распространенное применение CGI) на 50K исходного текста да и засунет
туда чего-нибудь эдакое. А мне сидеть и вылизывать десятки килобайт чужого
кода? А таких юзеров - десятки и каждый день все больше.
Eugene
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
