[PHP-users 12068] Re: シェルコマンドは使わない方がいい?
UNO Shintaro
php-users@php.gr.jp
Fri, 06 Dec 2002 13:24:02 +0900
>という話の流れで、「上書き」に関して何か変なことがありしたでしょうか?
誰も上書きについては言及していなかったところに、
いきなりみつきさんから上書きという言葉が出て来たので、
何のこと?って思われる方がいらっしゃるのは無理もないかと。(^_^;)
みつきさんwroteの発言に若干言葉を補うと、
--------
コマンドのすりかえ方法は今までは上書きのみを考慮していました。
>基本コマンドはたいていrootでインストールされているので
>上書きしようと思っても難しいですよね。
>基本的なコマンドと侮っていましたが、
今回、サーチパスによるすりかえも十分ありえる話だと分かったので
>これにも絶対パスを使った方が安全なのですね。
--------
・・・のような話ですよね。
>「タイプミス」というのはコーディングの時にタイプミスして
>それでウィルスが実行される可能性があるから、やめるべきだ。ということですよね。
どちらかというと一般オペレーションのときでしょう。
コード内のミスならレビューやテストで通常、検出されるはずです。
なのでちょっとオフトピック気味(PHPからの外部ソフト呼び出しとは関連が
薄い)ですが、一例だけ紹介しますと、ウイルスではありませんが sl という
ジョークソフトがあります。これが入っているUN*X環境を操作していて、ls
を間違えて sl と打つと、画面上をSLが横切ります。
客車が延々続いたりして、全部通り過ぎるまで待たされます。(^_^;)
これのように、冗談で済めばまだいいんですけれど。
・・・で、本題に戻ると、
外部プログラムなしで済ませられる部分は、PHPの機能だけで構成する方が、
構成上の弱点を増やさないという意味では得策だろうと私は思います。
外部プログラムをキックするときは、便利さの陰にある怖さをよく認識して
下さい。皆さんから語られてる“攻撃”の例は、PHPが一般的になる以前の
古くからの常識の範疇です。
--
UNO Shintaro, 宇野 信太郎
mailto:uno@venus.dti.ne.jp
http://www.venus.dti.ne.jp/~uno/