Henrik Hald Nørgaard
2011-05-12 06:44:59 UTC
Hej Perl Mongers.
Jeg vil gerne høre om jeres erfaringer med at bruge Perls taint check i
webapplikationer.
Vores CGI-scripts hos Jobindex kører ikke med taint check slået til. Jeg har
forsøgt at slå det til i vores udviklingsmiljø og fandt hurtigt følgende
problemer:
* Vi bruger Class::Autouse. Metoden load_recursive fejler med taint check
slået til
* Vores templatesystem opbygger og evaluerer kode, der afhænger af ENV. Det
duer heller ikke med taint check
* Det modul vi bruger til at checke brugernes loginoplysninger giver
forskellige svar afhængig af, om passwordet er tainted eller ej(!), så jeg
kunne ikke logge ind
- og der er sikkert flere
Nu vil jeg gerne høre fra jer:
- Bruger I Perls taint check? Hvofor/hvorfor ikke? Hvilke problemer har det
givet at bruge taint check?
- Har I erfaringer med at få en eksisterende applikation til at køre under
taint check?
- Er det umagen værd at bruge taint check? Det giver vel ikke større
sikkerhed, men til gengæld en masse støj i koden, bare at untainte en masse
variable?
- Hvis I untainter variable: Hvordan gør I? Bruger I et modul (f.eks.
Taint::Util) eller et skræddersyet regexp for hver variabel?
Jeg kender teorien og efterlyser håndfaste, konkrete erfaringer med taint.
Med venlig hilsen
Henrik Hald Nørgaard, Programmør
Jobindex A/S, Holger Danskes Vej 91, 2000 Frederiksberg
Tlf.: +45 38 32 33 55, dir.: +45 38 32 33 81
<http://www.jobindex.dk/> www.jobindex.dk
Jeg vil gerne høre om jeres erfaringer med at bruge Perls taint check i
webapplikationer.
Vores CGI-scripts hos Jobindex kører ikke med taint check slået til. Jeg har
forsøgt at slå det til i vores udviklingsmiljø og fandt hurtigt følgende
problemer:
* Vi bruger Class::Autouse. Metoden load_recursive fejler med taint check
slået til
* Vores templatesystem opbygger og evaluerer kode, der afhænger af ENV. Det
duer heller ikke med taint check
* Det modul vi bruger til at checke brugernes loginoplysninger giver
forskellige svar afhængig af, om passwordet er tainted eller ej(!), så jeg
kunne ikke logge ind
- og der er sikkert flere
Nu vil jeg gerne høre fra jer:
- Bruger I Perls taint check? Hvofor/hvorfor ikke? Hvilke problemer har det
givet at bruge taint check?
- Har I erfaringer med at få en eksisterende applikation til at køre under
taint check?
- Er det umagen værd at bruge taint check? Det giver vel ikke større
sikkerhed, men til gengæld en masse støj i koden, bare at untainte en masse
variable?
- Hvis I untainter variable: Hvordan gør I? Bruger I et modul (f.eks.
Taint::Util) eller et skræddersyet regexp for hver variabel?
Jeg kender teorien og efterlyser håndfaste, konkrete erfaringer med taint.
Med venlig hilsen
Henrik Hald Nørgaard, Programmør
Jobindex A/S, Holger Danskes Vej 91, 2000 Frederiksberg
Tlf.: +45 38 32 33 55, dir.: +45 38 32 33 81
<http://www.jobindex.dk/> www.jobindex.dk