From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <homyakov@ramax.spb.ru>
Message-ID: <010101c1469d$212383f0$4901040a@homyakov>
From: "Igor Homyakov" <homyakov@ramax.spb.ru>
To: <mandrake-russian@altlinux.ru>
References: <14712579128.20010926180925@beep.ru> <00ce01c14696$92b3a510$4901040a@homyakov> <3BB1EA10.C78F11B2@infosite.ru>
Organization: Ramax International
MIME-Version: 1.0
Content-Type: text/plain;
	charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200
Subject: [mdk-re] [JT]  Re: ./ in PATH
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Wed Sep 26 19:03:03 2001
X-Original-Date: Wed, 26 Sep 2001 19:08:41 +0400
Archived-At: <http://lore.altlinux.org/community/010101c1469d$212383f0$4901040a@homyakov/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

----- Original Message -----
From: "Peter V. Saveliev" <peet@infosite.ru>
To: <mandrake-russian@altlinux.ru>
Sent: Wednesday, September 26, 2001 6:45 PM
Subject: Re: [mdk-re] ./ in PATH


> Igor Homyakov wrote:
>
> > Это очень старый спор. Основная причина почему это не надо делать:
> > атакующий получив (или уже имея) аккоунт на вашем хосте может
> > записать вредоносный код в /tmp/ls (например) после чего спровоцировать
> > вас на cd /tmp, теперь осталось только вам выполнить ls
> > и "оппаньки" :)) .
> >
> > В обычной жизни, достаточно не ставить . в PATH у root-а.
>
> И в /tmp/ls не писать строчку типа "rm -rf $HOME"       ;)))
> А на самом деле, через некоторое время само собой приходит понимание, что
> ./script и script - не одно и то же, хотя бы и называется одинаково. Ведь
> дело не в злоумышленниках, а в том, что сам можешь написать скрипт для
> упрощения какой-либо деструктивной операции, и _забыть_ про него.
> Оказавшись в нужной директории и издав соответствующую команду, сразу
> поймешь, где зимуют раки. А посему - да здравствует which ls перед ее
> употреблением ;))

Со временем приходит понимание, почему не надо называть свои скрипты
так же как стандарный утилиты (случай с test, вошел уже во все FAQ)

P.S. Меня иногда совсем "переклинивает" после solaris и начинаю
    /usr/local/gnu/bin/vim набирать. :)))))
--
Igor Homyakov                            RAMAX International
System Administrator         Banking Technologies Department
<homyakov(at)ramax.spb.ru>              http://www.ramax.com