[mdk-re] [JT] Re: ./ in PATH

Ср Сен 26 19:03:03 MSD 2001

----- Original Message -----
From: "Peter V. Saveliev" <peet на infosite.ru>
To: <mandrake-russian на altlinux.ru>
Sent: Wednesday, September 26, 2001 6:45 PM
Subject: Re: [mdk-re] ./ in PATH


> Igor Homyakov wrote:
>
> > Это очень старый спор. Основная причина почему это не надо делать:
> > атакующий получив (или уже имея) аккоунт на вашем хосте может
> > записать вредоносный код в /tmp/ls (например) после чего спровоцировать
> > вас на cd /tmp, теперь осталось только вам выполнить ls
> > и "оппаньки" :)) .
> >
> > В обычной жизни, достаточно не ставить . в PATH у root-а.
>
> И в /tmp/ls не писать строчку типа "rm -rf $HOME"       ;)))
> А на самом деле, через некоторое время само собой приходит понимание, что
> ./script и script - не одно и то же, хотя бы и называется одинаково. Ведь
> дело не в злоумышленниках, а в том, что сам можешь написать скрипт для
> упрощения какой-либо деструктивной операции, и _забыть_ про него.
> Оказавшись в нужной директории и издав соответствующую команду, сразу
> поймешь, где зимуют раки. А посему - да здравствует which ls перед ее
> употреблением ;))

Со временем приходит понимание, почему не надо называть свои скрипты
так же как стандарный утилиты (случай с test, вошел уже во все FAQ)

P.S. Меня иногда совсем "переклинивает" после solaris и начинаю
    /usr/local/gnu/bin/vim набирать. :)))))
--
Igor Homyakov                            RAMAX International
System Administrator         Banking Technologies Department
<homyakov(at)ramax.spb.ru>              http://www.ramax.com