[Allegro] {dbn}.sgf fuer avanti

Thomas Berger ThB at Gymel.com
Mi Jun 25 19:08:43 CEST 2008


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Lieber Herr Eversberg,


Bernhard Eversberg wrote:
| Thomas Berger schrieb:
|>
|> | wie in a99. (Was die Sicherheit angeht, bedenke man, daß der Nutzer
|> | von außen ja keinen eigenen FLEX zum Laufen bringen kann.)
|>
|> Soso. "var" geht also in avanti nicht?
| Doch, aber was wollen Sie damit machen?

aus _start.flx

~  Trick 17, um die INI-Einstellung  access=...  zu ermitteln:
var "F" V
var

also kann ich mit einem isolierten "var" beliebigen Code
zur Ausfuehrung bringen, wenn ich ihn nur in die iV bekomme.


|> Und die Code-Injection-Beispiele
|> am (aelteren?) RuckZuck bewiesen auch das Gegenteil:
| "bewiesen". Past tense.

Ich hatte da einen Denkfehler und ziehe das zurueck. Worauf
ich hinaus will ist ja noch drastischer: Das avanti-Prinzip
beruht ja nicht auf "stored procedures" wie bei a99 (und mir
fallen auch da mehrere Moeglichkeiten ein, eigenes zur
Ausfuehrung zu bringen), sondern eben darauf, dass der
Benutzer seinen eigenen Flex zur Verarbeitung "einreicht".
Schutz vor unbefugter Benutzung kann ueberhaupt nur durch
externe Methoden erreicht werden (dabei waere es in der
avanti.conf ein leichtes, noch einen Parameter "bind-address"
einzufuehren, die effektiv unterbinden kann, dass avanti
von jemand anderem als "localhost" ansprechbar ist)

viele Gruesse
Thomas Berger
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3-nr1 (Windows XP)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iQCVAwUBSGJ7m2ITJZieluOzAQKM+wP/UyQTi4BgXQ4pzxigAbFXcRWN/Tv2e0oP
vvIb27XBOo8mAMMB44ci2Z5edKbrE6DZqe14WTan/JSQiVBlC55ZB0npLt0PzLip
BZsJyi+bDMhuMlu3mpra8+z0PBH0IpjOQyLNWyv7l4nj9giLlvDKhX8v8U4yicrN
7Y8JMsncPAI=
=d0ry
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Allegro