[Python-de] Rexec Inkompatibilitäten (iX auf Anti-Python-Kurs?)

Carl Kleffner cmkleffner at gmx.de
Mon Okt 20 19:13:45 CEST 2003


Auch auf die Gefahr hin hier gleich geteert und
gefedert zu werden möchte ich auf den Leserbrief
eingehen. Die Sprache und der Stil des Leserbriefes 
sprechen für sich - der Autor des Briefes 
hat wohl bisher nur über Python gelesen, aber
wohl noch nichts programmiert. Ihm ist
aber sicher nicht anzulasten, das er das Pech 
hatte abgedruckt zu werden. Warum die iX solche
Beiträge auswählt ist mir ein Rätsel; ich werde 
aber weiterhin die iX lesen; der eine oder andere 
Artikel ist es ja immerhin wert.

Einem Argument diese Beitrages kann ich mich 
nicht verschliessen. "Unabsehbare Konsequenzen 
bei Einführung des  neuen Klassensystems."

Kürzlich wurde ich gefragt, ob Python auch eine
Sandbox bietet - etwa so wie Java. Dabei fiel mir
spontan rexec und Bastion ein. Dummerweise sind
beide Module bei Python-2.3 entfernt worden. Grund:
Seit Python-2.2 sind diese Module nicht mehr sicher
aufgrund der erweiterten Introspektionsmöglichkeiten
der neuen Klassen (soweit ich mich erinnern kann)
Bei Python-2.1 seinen diese Module noch sicher.

Ich muß zugeben, diese Weisheiten habe ich von
http://www.procoders.net/pythonstuff/SandBox/

>16 Jun 2003: SandBox is not secure. After a discussion 
>in the german Python list, I have to suppose that since 
>introduction of new-style classes real control of Python 
>code is not possible at all. 
>Thanks to Martin v Löwis for his hints.
>As far as I can see, SandBox.py is secure if you use 
>Python 2.1. May be this is o.k. for simple scripting tasks.

Ist das so wichtig, könnte man fragen? Für den Fragesteller
schon. Die procoders-SandBox ist in diesem konkretem 
Zusammenhang  ausreichend, aber das gilt in anderen 
Fällen sicher nicht. Als Beispiele fallen mir da über das
Netz fremdimportierte Module ein - Pyro bietet solche
Möglichkeiten. Auch pickle hat ja im Übrigen ein security
Problem, aber in pyro gibt es einen workaround mit 
xml-pickle.

Dies schreibe ich nicht, weil ich zur Zeit ein konkretes
Problem damit habe. Nur sollte man sich Kritik nicht
vorschnell verschliessen. 

Carl

-- 
NEU FÜR ALLE - GMX MediaCenter - für Fotos, Musik, Dateien...
Fotoalbum, File Sharing, MMS, Multimedia-Gruß, GMX FotoService

Jetzt kostenlos anmelden unter http://www.gmx.net

+++ GMX - die erste Adresse für Mail, Message, More! +++