From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3BB1EA10.C78F11B2@infosite.ru> From: "Peter V. Saveliev" Organization: InfoCentre X-Mailer: Mozilla 4.72 [en] (Win98; I) X-Accept-Language: en MIME-Version: 1.0 To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] ./ in PATH References: <14712579128.20010926180925@beep.ru> <00ce01c14696$92b3a510$4901040a@homyakov> Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Wed Sep 26 18:40:12 2001 X-Original-Date: Wed, 26 Sep 2001 18:45:36 +0400 Archived-At: List-Archive: List-Post: Igor Homyakov wrote: > Это очень старый спор. Основная причина почему это не надо делать: > атакующий получив (или уже имея) аккоунт на вашем хосте может > записать вредоносный код в /tmp/ls (например) после чего спровоцировать > вас на cd /tmp, теперь осталось только вам выполнить ls > и "оппаньки" :)) . > > В обычной жизни, достаточно не ставить . в PATH у root-а. И в /tmp/ls не писать строчку типа "rm -rf $HOME" ;))) А на самом деле, через некоторое время само собой приходит понимание, что ./script и script - не одно и то же, хотя бы и называется одинаково. Ведь дело не в злоумышленниках, а в том, что сам можешь написать скрипт для упрощения какой-либо деструктивной операции, и _забыть_ про него. Оказавшись в нужной директории и издав соответствующую команду, сразу поймешь, где зимуют раки. А посему - да здравствует which ls перед ее употреблением ;)) -- Петр.