[mdk-re] ./ in PATH

[Igor Homyakov]

----- Original Message -----
From: "Vladimir Karpinsky" <vkarpinsky на beep.ru>
To: <Mandrake-russian на altlinux.ru>
Sent: Wednesday, September 26, 2001 6:09 PM
Subject: [mdk-re] ./ in PATH


> Hello Mandrake-russian,
>
> Объясните пожалуйста мне такую штуку:
> когда-то для облегчения запуска программ из ./, я в своем(ей) .bashrc
> включил ./ в PATH. Все вроде было ничего, пока кто-то из знакомых,
> увидев это, не закричал со страшной силой: "Это делать нельзя ни в
> коем случае!" Но вот аргументировано объяснить почему это делать
> нельзя, он не смог. Я тогда-то убрал ЭТО на всякий случай, но
> неудовлетворенное любопытство гложет уже который год. Вопрос
> соответственно: можно ли ЭТО так делать или нет, если нет, то почему?

Это очень старый спор. Основная причина почему это не надо делать:
атакующий получив (или уже имея) аккоунт на вашем хосте может
записать вредоносный код в /tmp/ls (например) после чего спровоцировать
вас на cd /tmp, теперь осталось только вам выполнить ls
и "оппаньки" :)) .

В обычной жизни, достаточно не ставить . в PATH у root-а.

--
Igor Homyakov                            RAMAX International
System Administrator         Banking Technologies Department
<homyakov(at)ramax.spb.ru>              http://www.ramax.com