Re: La programmazione sicura "dei poveri"

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2003 ml@sikurezza.org
Soggetto: Re: La programmazione sicura "dei poveri"
Mittente: Davide Alberani
Data: 12 Nov 2003 17:42:15 -0000

On Nov 10, Michele Albrigo <michele.albrigo@xxxxxxxx> wrote:

> L'applicazione che devo usare e' BSCW, si tratta di un cgi scritto
> in Python e distribuito sotto forma di bytecode compilato

Hmmm... se cerchi un modo per assicurarti che quel codice
giri in un ambiente protetto all'interno dell'interprete Python,
temo sia piuttosto dura, specie da quando l'introduzione delle
nuove classi ha reso obsoleti i moduli rexec e Bastion.
Ad ogni modo non ho seguito molto la cosa, ed e` probabile che
se cerchi sul newsgroup comp.lang.python troverai maggiori dettagli.

> Ho trovato in giro librerie che servirebbero per incrementare
> la sicurezza di alcune funzioni usate nella scrittura di svariati
> programmi, rimpiazzando le funzioni che lavorano su stringhe e buffer
> con versioni dotate di maggiori controlli e medesime funzionalita'.
> Idealmente, dovrei poter modificare i sorgenti dell'applicazione che
> mi interessa, ad esempio apache, richiamare, a livello di #include,
> gli header di queste librerie,

Beh, mi sempre un modo piuttosto laborioso.
Dover modificare il sorgente e ricompilare e` _molto_ scomodo.
Queste librerie di cui parli non possono funzionare come fa libsafe?
Per intenderci: loro esportano versioni protette di funzioni
tipo strcat, memcpy e cosi` via (esattamente con lo stesso nome
di quelle "normali" che si trovano nelle libc), poi si usa il
meccanismo preload del loader delle librerie: si setta la variabile
LD_PRELOAD al path della libreria da caricare prima di ogni altra (e
che finira` per "mascherare" anche le libc) oppure si scrive il path
nel file /etc/ld.so.preload (massima attenzione nel ravanare con
ld.so che basta un attimo per giocarsi il sistema).

Maggiori info:
man ld.so

-- 
(=---= alberanid@xxxxxxxxx =------------= PGP KeyID: 0x465BFD47 =---=)
 )                         Davide Alberani                          (
(=-= http://digilander.libero.it/alberanid/ =-= ICQ UIN: 83641305 =-=)

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: La programmazione sicura "dei poveri", Michele Albrigo

In risposta a:
- La programmazione sicura "dei poveri", Michele Albrigo

Data:
- precedente: R: Gestione account utenti windows, Luca Conte
- successivo: Re: Firewall, Yvette Agostini
- indice

Argomento:
- precedente: Re: R: La programmazione sicura "dei poveri", snagg
- successivo: Re: La programmazione sicura "dei poveri", Michele Albrigo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005