[mdk-re] ./ in PATH

Ср Сен 26 18:40:12 MSD 2001

Igor Homyakov wrote:

> Это очень старый спор. Основная причина почему это не надо делать:
> атакующий получив (или уже имея) аккоунт на вашем хосте может
> записать вредоносный код в /tmp/ls (например) после чего спровоцировать
> вас на cd /tmp, теперь осталось только вам выполнить ls
> и "оппаньки" :)) .
>
> В обычной жизни, достаточно не ставить . в PATH у root-а.

И в /tmp/ls не писать строчку типа "rm -rf $HOME"       ;)))
А на самом деле, через некоторое время само собой приходит понимание, что
./script и script - не одно и то же, хотя бы и называется одинаково. Ведь
дело не в злоумышленниках, а в том, что сам можешь написать скрипт для
упрощения какой-либо деструктивной операции, и _забыть_ про него.
Оказавшись в нужной директории и издав соответствующую команду, сразу
поймешь, где зимуют раки. А посему - да здравствует which ls перед ее
употреблением ;))

--
Петр.