Сообщение Re[8]: Аналог виндовой ProgramData в Linux от 26.07.2020 10:43
Изменено 26.07.2020 10:46 vsb
Re[8]: Аналог виндовой ProgramData в Linux
Здравствуйте, ononim, Вы писали:
R>>Навредить не реально, данные имеют цифровую подпись.
O>И прям стопроцентов уверены что проверка не уязвима например к TOCTOU?
Сначала читаем в память, потом проверяем и потом используем из памяти.
O>А если например какой нить злой юзер положит ковявые файлы или пермишены на них. Все остальные смогут работать или таки DoS атака окажется успешной?
Загружаем заново и кладём на нужное место. Злой юзер сможет потратить трафик.
Вообще защищаться от злого юзера — тухлое дело. Защищаться надо от глупого юзера. Который что-то по ошибке может сделать. Например почистить эти самые кеши какой-нибудь кривой командой вроде echo > /var/caches/myprogram/download000.dat А если он реально злой — тут вы, скорей всего, уже проиграли.
R>>Навредить не реально, данные имеют цифровую подпись.
O>И прям стопроцентов уверены что проверка не уязвима например к TOCTOU?
Сначала читаем в память, потом проверяем и потом используем из памяти.
O>А если например какой нить злой юзер положит ковявые файлы или пермишены на них. Все остальные смогут работать или таки DoS атака окажется успешной?
Загружаем заново и кладём на нужное место. Злой юзер сможет потратить трафик.
Вообще защищаться от злого юзера — тухлое дело. Защищаться надо от глупого юзера. Который что-то по ошибке может сделать. Например почистить эти самые кеши какой-нибудь кривой командой вроде echo > /var/caches/myprogram/download000.dat А если он реально злой — тут вы, скорей всего, уже проиграли.
Re[8]: Аналог виндовой ProgramData в Linux
Здравствуйте, ononim, Вы писали:
R>>Навредить не реально, данные имеют цифровую подпись.
O>И прям стопроцентов уверены что проверка не уязвима например к TOCTOU?
Сначала читаем в память, потом проверяем и потом используем из памяти.
O>А если например какой нить злой юзер положит ковявые файлы или пермишены на них. Все остальные смогут работать или таки DoS атака окажется успешной?
Загружаем заново и кладём на нужное место. Злой юзер сможет потратить трафик.
Вообще защищаться от злого юзера — тухлое дело. Защищаться надо от глупого юзера. Который что-то по ошибке может сделать. Например почистить эти самые кеши какой-нибудь кривой командой вроде echo > /var/caches/myprogram/download000.dat А если он реально злой — тут вы, скорей всего, уже проиграли. Потому, что он заюзает какой-нибудь local escalation exploit которых слишком много, чтобы считать их теоретическими и вот уже он злой root.
R>>Навредить не реально, данные имеют цифровую подпись.
O>И прям стопроцентов уверены что проверка не уязвима например к TOCTOU?
Сначала читаем в память, потом проверяем и потом используем из памяти.
O>А если например какой нить злой юзер положит ковявые файлы или пермишены на них. Все остальные смогут работать или таки DoS атака окажется успешной?
Загружаем заново и кладём на нужное место. Злой юзер сможет потратить трафик.
Вообще защищаться от злого юзера — тухлое дело. Защищаться надо от глупого юзера. Который что-то по ошибке может сделать. Например почистить эти самые кеши какой-нибудь кривой командой вроде echo > /var/caches/myprogram/download000.dat А если он реально злой — тут вы, скорей всего, уже проиграли. Потому, что он заюзает какой-нибудь local escalation exploit которых слишком много, чтобы считать их теоретическими и вот уже он злой root.