sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #90635
RE: latex + cgi, sikkerhed
well det mest vigtige er jo at bruge
#!/usr/bin/perl -wT
use strict;
i starten af scriptet men så er du nok nødt til at scanne alle de imputs du vil inkludere igennem regular expressions for det du vil tillade (ikke nogen nem opgave når det er tex-kode der er tale om, men der er næppe nogen vej uden om.)
Hilsen
Søren Koch
Development Engineer.
cand.scient., PhD.
Fuel Cells and Solid State Chemistry Department
Risø National Laboratory
Frederiksborgvej 399
4000 Roskilde
Phone: (+45) 46 77 58 16
> -----Original Message-----
> From: Lars Madsen [mailto:daleif@xxxxxxxxx]
> Sent: Monday, January 08, 2007 10:48 PM
> To: sslug-teknik@xxxxxxxx
> Subject: [TEKNIK] latex + cgi, sikkerhed
>
>
> Jeg skulle gerne lave en CGI applikation (skrevet i Perl) som
> automatisk
> kompilerer data uploadet af brugerne. Dvs. jeg har ikke ingen
> kontrol over
> indholdet.
>
> Dette betyder jo blandt andet at en slem bruger kan læse alle
> de ting som
> min webserver kan læse, inkl. kildekoden til alle CGIerne på serveren.
>
> Hvilke muligheder har jeg så for at beskytte mig selv?
>
> Vi er parat til at anvende en helt separat server kun til denne
> applikation. Men kan man sikre sig på nogen som helst måde?
>
> Når man ved hvilke fuskerier som kan laves i TeX, så kan det
> godt blive
> ret svært at parse den uploadede .tex kode (nogen kende måske
> den lille
> stump TeX kode som bliver til en kendt engelsk julesang).
>
> Nogen forslag til hvad man så ellers kan prøve?
>
> Jeg havde tænkt på at køre LaTeX som chroot, men det skal man
> jo være root
> for at kunne gøre, og webserveren kører under f.eks. brugeren apache.
>
> Jeg ved at arxiv.org kører noget automatisk latex, så jeg har
> senere tænkt
> mig at spørge der.
>
>
> /daleif
>
Follow ups
References