[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: namazu.cgi and its path

Subject: Re: namazu.cgi and its path
From: Takahiro Kambe <taca@sky.yamashina.kyoto.jp>
To: tech-pkg-ja@jp.netbsd.org
Date: Thu, 17 May 2001 11:38:34 +0900
Message-Id: <200105170238.f4H2cY113454@edge.sky.yamashina.kyoto.jp>
In-Reply-To: <20010517105015Y.kimoto@ohnolab.org>
References: <20010516125610Z.kimoto@ohnolab.org><20010517.014758.55450254.ume@mahoroba.org><20010517105015Y.kimoto@ohnolab.org>
Delivered-To: mailing list tech-pkg-ja@jp.netbsd.org
Mailing-List: contact tech-pkg-ja-help@jp.netbsd.org; run by ezmlm-idx

In message <20010517105015Y.kimoto@ohnolab.org>
	on Thu, 17 May 2001 10:50:15 +0900,
	Masahiko Kimoto <kimoto@ohnolab.org> wrote:
>   >   URL でファイル名を指定する CGI って、得てして不用意にファイルが覗け
>   > るとかセキュリティホールになったりするのですが、その点は大丈夫でしょう
>   > か？
ということがあるので、

> そうですね。その点は悩んだのですが、ファイル名を直接指定するわけでは
> なくて、そのuserのhomeが存在して、かつその場所にnamazurcがあった場合
> だけファイルをopenするので大丈夫かな、と。

o 直接パス名等をとなるものを直接指定しない。もうちょっと抽象的な検索対
  象を表す名前で指定する。

o namazu.cgi側で環境変数 SCRIPT_FILENAME と、その指定された名前をチェッ
  クする。

とかしたら良さそうに思えますが、まだ何か穴はあるかな?

--
神戸 隆博(かんべ たかひろ)		at 仕事場

References:
- Re: namazu.cgi and its path
  - From: Masahiko Kimoto <kimoto@ohnolab.org>
- Re: namazu.cgi and its path
  - From: Hajimu UMEMOTO <ume@mahoroba.org>
- Re: namazu.cgi and its path
  - From: Masahiko Kimoto <kimoto@ohnolab.org>

Prev by Date: Re: namazu.cgi and its path
Next by Date: gcl 2.3.6 for i386/alpha
Prev by thread: Re: namazu.cgi and its path
Next by thread: mojikyo
Index(es):
- Date
- Thread