[Allegro] {dbn}.sgf fuer avanti
Bernhard Eversberg
ev at biblio.tu-bs.de
Mi Jun 25 19:15:20 CEST 2008
Thomas Berger schrieb:
> ~ Trick 17, um die INI-Einstellung access=... zu ermitteln:
> var "F" V
> var
>
> also kann ich mit einem isolierten "var" beliebigen Code
> zur Ausfuehrung bringen, wenn ich ihn nur in die iV bekomme.
>
Erstens kriegen Sie ihn aber mit avanti nicht hinein und zweitens
führt "var" keinen Code aus sondern formatiert nur einen String.
> ... Worauf
> ich hinaus will ist ja noch drastischer: Das avanti-Prinzip
> beruht ja nicht auf "stored procedures" wie bei a99 (und mir
> fallen auch da mehrere Moeglichkeiten ein, eigenes zur
> Ausfuehrung zu bringen),
Dann führen Sie die mal vor, vage Anspielungen bringen uns da nicht
weiter. Schreiben Sie einen Trick 16, wie man sowas machen kann.
> sondern eben darauf, dass der
> Benutzer seinen eigenen Flex zur Verarbeitung "einreicht".
> Schutz vor unbefugter Benutzung kann ueberhaupt nur durch
> externe Methoden erreicht werden (dabei waere es in der
> avanti.conf ein leichtes, noch einen Parameter "bind-address"
> einzufuehren, die effektiv unterbinden kann, dass avanti
> von jemand anderem als "localhost" ansprechbar ist)
>
Das können wir uns ja mal überlegen, aber auch hier sehe ich
nur eine vage Vermutung, daß man sowas machen könnte, keinen
Beweis.
B.E.
Mehr Informationen über die Mailingliste Allegro