Path: csiph.com!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail From: Stefan Reuther Newsgroups: de.alt.folklore.computer Subject: Re: Pascal auf Nr. 10 ;-) Date: Mon, 8 Sep 2025 18:27:15 +0200 Lines: 42 Message-ID: <109n764.2c4.1@stefan.msgid.phost.de> References: <26f84d3bd29d92a0485841d3dc2c08f1@wxp-nb-01.mouse.local> <109cdpc$14159$1@solani.org> Mime-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit X-Trace: individual.net BbE27QA7d/qGm06cPphdYwwOVINifeSeW2ubFLAgJa6yznGdlR Cancel-Lock: sha1:AIutu6e9B1wpBUwkfBW5TOY5lDg= sha256:IY6lzq66uM1VF0F/+lHtebIKX8V3JR51pnXjlsHwN6M= User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:68.0) Gecko/20100101 Thunderbird/68.12.1 Hamster/2.1.0.1538 In-Reply-To: Xref: csiph.com de.alt.folklore.computer:52040 Am 08.09.2025 um 11:16 schrieb F. W.: > Am 08.09.2025 um 10:50 schrieb Hermann Riemann: >> Am 08.09.25 um 07:08 schrieb F. W.: >>> CGI-Programme haben vor allem zwei Probleme: sie brauchen Rechte im CGI- >>> Ordner und jeder Aufruf erzeugt einen Prozess auf dem Server. >> >> Der CGI Ordner liegt bei mir irgendwo unter "/eigene_Dateien" >> Problem gibt es, wenn *.py neue Dateien anlegt, >> die dann andere Rechte haben. > > Wenn Dir da jemand ein gefaketes Excel-Dokument hineinlegt und Du das > öffnest, könnte sich ein Virus einschleichen. Oder nicht? Wer CGI-Programme entwickelt, sollte zumindest ausreichend Sachverstand haben, um "gefaketes Excel-Dokument", "hineinlegt", "Rechte im CGI-Ordner", "Virus einschleichen" und "neue Dateien, die dann andere Rechte haben" technisch präzise ausdrücken zu können. Und dann wird er feststellen, dass das alles gar kein großes Problem ist. "Rechte im CGI-Ordner" heißt: der Webserver muss die Dateien ausführen (und der Interpreter möglicherweise lesen) können. Er muss sie nicht schreiben können. Damit kann da niemand mal eben eine Datei erzeugen. Wenn jemand eine Dateiupload-Funktion baut, über die "gefakete Excel-Dokumente" hochgeladen werden und dann von anderen Leuten heruntergeladen werden können, ist das Problem die Dateiupload-Funktion, nicht CGI. Und eigentlich ist das Problem der Client-Browser, der sich von dem "gefaketen Excel-Dokument" verarschen lässt, FALLS er sich verarschen lässt. On-topic'ne Browser lassen das vielleicht noch zu, aktuelle nicht. "Prozess auf dem Server" kann in der Tat ein Problem sein. Aber solange wir nicht Facebook/Amazon/Netflix/Google sind, dürfte das eher nicht der Fall sein. Und es ist ein Problem, dass es ziemlich viel furchtbare Technologien im Umfeld von CGI gibt. Perl mit CGI.pm wäre eine, PHP eine andere, eine bash die random Umgebungsvariablen ausführt eine dritte (Shellshock). Aber das muss man ja nicht verwenden. Stefan