Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Säkerheten i linux med exempelvis dbus

Har börjat titta lite på dbus riktigt coolt leka med Smile men absolut kan det vara en säkerhetsrisk.

vad sägs om detta (förutsatt du har en kde konsole öppnad):

qdbus org.kde.konsole /Sessions/1 org.kde.konsole.Session.sendText "Hello world"

helt oskyldigt men vad sägs oom att byta ut "Hello world" mot "rm -rf ~" OBS! PROVA INTE OM DU INTE VET VAD DU DET KAN GÖRA! iofs måste man väl trycka return för att det ska exekvereras men ändå?

jag vet inte om det funkar men i praktiken borde det funka ju. iofs skulle man likaväl kunna göra det i ett bashscript om man nu är en illvillig person men låt säga att man i framtiden använder dbus i firefox ihop med javascript? Jag vet inte kanske inte går bara en tanke :-S eller i mobilen? dbus används ju flitigt i både N900, symbian och android. Så det gäller att nog vara försiktig med publika funktionsanrop via dbus?

 

 

 

 

 

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

valdermans bild

Jag förstår inte riktigt vad som är problemet; som du säger så är "risken" precis densamma oavsett om du använder shellscript, C-program eller DBus-anrop. På samma sätt som ingen idiot skulle få för sig att tillåta javascript att anropa syscalls, så har jag mycket svårt att tänka mig att någon skulle vara dum nog att baka in obegränsat DBus-stöd i webläsaren.

Faktum är att DBus har betydligt bättre stöd för att begränsa vad olika användare kan göra än andra metoder. Åtminstone om man får tro de nästintill oändliga problem med "du har inte rättigheter att göra den här åtgärden; lägg till X i policyfilen för dbus"-relaterade lustigheter man brukar få med NetworkManager, wicd, etc. (Dvs. du kan i din policyfil specifiera att vissa processer bara får peta på vissa andra processer och liknande.)

--
あるユーモアのないアホのため、シグナチャーをカエルことにした。カエルさん