[Python] Ma conoscevate questa roba qui?

enrico franchi enrico.franchi a gmail.com
Lun 24 Nov 2014 20:30:34 CET


2014-11-24 18:45 GMT+00:00 Carlos Catucci <carlos.catucci a gmail.com>:

>
> 2014-11-24 19:43 GMT+01:00 enrico franchi <enrico.franchi a gmail.com>:
>
>> Dovrebbe fare un check su ldap e se il job role matcha engineer e non
>> scientist non fartelo manco installare...
>
>
> No senti, caro a me ste parole cosi' non me le ha mai dette nessuno e non
> me le faccio dire certo da te, chiaro? ;)
>
> Scherzi a parte che vor di'?
>


Quella libreria, fra le varie features molto comode che offre, ti gestisce
le credenziali di accesso ai db.
E te le gestisce sparandotele in un file nella home in chiaro (base64 conta
come in chiaro, ovviamente).
E per inciso il file e' con permessi di default (644). Il che vuole dire
che, nella maggior parte delle installazioni chi ha accesso alla macchina
ha potenzialmente modo di accedere al file stesso da utente non
previlegiato (dipende tutto da come sono i permessi della home).

Il che vuole dire che se usi la libreria, come suggeriscono gli autori, per
fare "data science" (qualunque cosa voglia dire) *forse* la cosa e'
accettabile. Se la usi per smandruppare database di produzione, molto
probabilmente stai introducendo una falla non irrilevante nel sistema
(ovviamente a seconda del tipo di utente che usi per il db, etc etc etc).

Tipicamente, se io qualcuno provasse a salvare arbitrarie password di
accesso a db in chiaro sul disco vorrei la sua testa... perche' e' un
attimo farci finire dentro anche quelle di produzione.


-- 
.
..: -enrico-
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.python.it/pipermail/python/attachments/20141124/11c467c0/attachment.html>


Maggiori informazioni sulla lista Python