Hello Dmitry,

On Mon, Oct 08, 2001 at 11:07:01AM +0400, Dmitry V. Levin wrote:
>
> On Sat, Oct 06, 2001 at 02:35:00AM +0400, Mikhail Zabaluev wrote:
> > Я посмотрел в код perldoc, мда-с... File::Temp не используется,
> > самодельные кондиции на разные операционные системы, но для Unix все
> > относительно корректно: генерируются "уникальные" имена в /tmp/, затем
> 
> Почему не в '__secure_getenv( "TMPDIR" ) ?: P_tmpdir' ?

Так делает File::Temp. В perldoc гвоздями забито /tmp

> > (oops, даже в комментариях это отмечено) файлы создаются с флагами
> > O_WRONLY | O_EXCL | O_CREAT, заполняются, закрываются, затем
> > скармливаются разным конвертерам или листалкам -- по имени, для
> > открытия на чтение; в конце концов делается unlink. Любые файловые
> > ошибки приводят к аварийному выходу, причем временные файлы по
> > возможности удаляются и в этом случае. Никакой конфиденциальной
> > информации при этом не обрабатывается, исходные файлы доступны для
> 
> А зачем всем?
> 
> > чтения всем.

Я имел в виду, что исходная информация берется из .pm или .pod файлов,
которые всем доступны.

> Вопрос: существуют ли здесь существенные риски для
> > безопасности системы и стоит ли заниматься их устранением?
> 
> Насколько я понимаю, сферы применения perldoc имеют отношение
> преимущественно к области разработки. Если это так, то существенных рисков
> для безопасности системы наличие race conditions в perldoc не добавит.

В-общем, да. Тем не менее, в perldoc есть прокол в функциональности,
который возник именно из-за этих полумер в отношении безопасности.
Будем править.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
To be wise, the only thing you really need to know is when to say
"I don't know."