Ich schreibe an einem Pluginsystem für eine webgebundenes Perlprogramm.
Es soll Perlcode von dritten ausgeführt werden.
Das Problem dabei ist, daß ich nicht jedes hochgeladenen Script durchschauen möchte um die Ungefährlichkeit zu bescheinigen.

Es sollten alle externen Zugriffe wie print, open, exec, system, etc. aber auch eval unterdrückt bzw. entschärft sein. Alle nötigen Funktionen werden von einem Modul zur Verfügung gestellt.

Leseoperationen durch das Script werden über das Hauptprogramm verarbeitet und
Ausgaben werden formatiert und in ein Dokument umgewandelt.

Wenn mir in den nächsten Tagen nichts besseres einfällt werde ich wohl mit einer chroot-Umgebung arbeiten. Lieber wäre mir, wenn es ohne ginge.

Vielleicht(!) kann http://wiki.perl-community.de/bin/view/Wissensbasi... einen Schritt weiterhelfen, d.h. ich bin mir nicht sicher.

Schau Dir mal Safe an... Vielleicht kann man damit etwas machen...

soweit ich weiss, laesst sich das auch mit Safe.pm nicht verlässlich machen, da man
Safe wiederum auch austricksen kann. zumindest war das mal so.
ich würd mich jedenfalls nicht drauf verlassen. chroot ist auf jeden fall zusätzlich anzuraten.

"Safe" bzw. "Safe::World" scheinen genau das zu sein, was ich brauche.
Soweit ich das sehe ist es auch bei den Basismodulen.
Danke.


Was die Umgehbarkeit betrifft so ist ja nur "eval" wirklich gefährlich. Wenn ich das verbiete (ich wüßte auch nicht wozu die Pluginprogrammierer das brauchen könnten...) dann sollte es keine Probleme geben.

topeg+2007-08-22 21:59:18--

Was die Umgehbarkeit betrifft so ist ja nur "eval" wirklich gefährlich. Wenn ich das verbiete (ich wüßte auch nicht wozu die Pluginprogrammierer das brauchen könnten...) dann sollte es keine Probleme geben.

wenn du meinst. ich sag ja nur, dass Safe.pm mal angreifbar war, *obwohl* es eval verboten
hat. man konnte *ohne* eval die einstellungen von Safe wieder ändern.
ich würde mich jedenfalls nicht darauf *verlassen*

topeg+2007-08-22 21:59:18--

Was die Umgehbarkeit betrifft so ist ja nur "eval" wirklich gefährlich. Wenn ich das verbiete (ich wüßte auch nicht wozu die Pluginprogrammierer das brauchen könnten...) dann sollte es keine Probleme geben.

Ja eval ist ganz ganz Pöse, und auch unnütz! ;)

wenn ich mich richtig erinnere wird bei "eval $string" ein neue Interperterinstanz erzeugt. (bei eval{code...} ist das so weit ich mich erinnere nicht der Fall...) Und ich kann mir durchaus vorstellen, daß man dabei den überlagerten main-Namensraum erreichen kann. Aber das sind nur Vermutungen.
Und der Code in deinem Beispiel lässt sich auch anders schreiben...

topeg+2007-08-23 11:39:23--

wenn ich mich richtig erinnere wird bei "eval $string" ein neue Interperterinstanz erzeugt. (bei eval{code...} ist das so weit ich mich erinnere nicht der Fall...) Und ich kann mir durchaus vorstellen, daß man dabei den überlagerten main-Namensraum erreichen kann. Aber das sind nur Vermutungen.
Und der Code in deinem Beispiel lässt sich auch anders schreiben...

1) Ja eval{} führt keine neue Instanz aus. Es Funktioniert wie ein try: catch: in anderen Sprachen. Auch Syntaxüberprüfung findet innerhlab eines eval {} blockes statt
2) Klar lässt sich der Code auch anders schreiben, es ging hier eher um das Prinzip das eval sehr wohl nützlich ist. Und es mag spezielle Fälle geben wo man auf eval {} angewiesen ist. Auch wenn die selten sind.
3) Auch ein String eval ist erstmal nicht gefährlich. Man kann damit mit sehr wenig Code neuen Code Intern Generieren und ausführen lassen. Das kann viel Arbeiten sparen. In Bestimmten fällen kannst du damit sogar die Performance erhöhen. Kann dir aber auf der schnelle auch kein Beispiel geben, da ich darin nicht so geübt bin.

Das was du damit verhinderst ist wenn einer String eval nutzt und damit Code ausführt der aus benutzereingaben stammt. Wenn das aber unbedingt jemand machen möchte ist es nicht die Frage ob er nicht sowieso einen weg drumherum findet. Ich würde jedenfalls die Plugin Authoren nicht behindern wollen wenn sie es für gute Zwecke nutzen. Aber das musst du ja Wissen.

Ich hab dir nur Gründe genannt wofür Plugin Authoren eval nutzen könnten, und die reine benutzung von eval ist auch erstmal nicht sofort gefährlich.