Perl&mail

0

0

Читаю ману по Перлу,натыкаюсь на слова, что если настроить мейлер на серваке и прописать скрипты на перле, то мол можно удалённо, с помощью писем управлять процессами (типа запускать крон...) Читаю листинг, и чего-то не вижу в упор секурности.Кто пояснит, как реализовывается в данном случае секурность??

Ссылка

←	xfree86 4.0.3 compilation трабл

Как получить доступ к перегруженному оператору объекта через указатель на этот объект

→

Какая еще секрность? Если это про какой-нибудь majordomo, то вся секурность там в том, что доступен через почту очень ограниченный набор своих, мажордомских, команд. HELP, LIST, SUBSCRIBE, короче, не помню точно. Если что-то свое ваяешь, то можно парсер обучить выцеплять пароль, или ключ, или еще чего, допустим, из темы письма.

anonymous
(19.05.03 09:35:20 MSD)

Ссылка

Да дык, SMTP это ж ведь дыра, только ленивый письмо не перехватит... Как обезопаситься от перехвата пароля?? Хули с тем, что можно запустить лишь заранее заданные операции, сам факт неприятен, особенно если во время сборки годового отчёта, кто-то "пошутить" вздумает и запустит что-нить увесистое....Линукс конечно не Винда, но хули уж тут...я тут у Джоэля читал об одних умельцах, которые через фтп линуксовый сервак пять раз подряд умудрились уронить(а правов то всего-то было - хранить и грузить/скачать файло на сервак).
PGP не предлагать - как мне сказал один знакомый комитетчик, он взломан давно и успешно, только публике об этом не говорят, дабы не усложнять себе работу.:):)

~~Tangeizer~~ ★
(19.05.03 10:41:30 MSD) автор топика

Ссылка

Параноик? :) Ну можно TLS запробовать. Схема примерно такая:
1) сервер получает запрос на выполнение от ящика Tangeizer@чего-нибудь.ru;
2) быстренько генерит и отсылает по этому адресу ключик;
3) ты читаешь почту, отсылаешь ответ с ключом в поле "Subject:";
4) команда выполняется, ключ дизаблится;
5) если просрочил (допустим 10 мин.) ключ дизаблится.

Ну вот примерно так.

Kasper ★
(19.05.03 15:20:12 MSD)

Ссылка

Т.е вместо Subject могу поставить любой другой параметр?? а если только так как у тебя,то тоже не фиг перехватить и подделать.

~~Tangeizer~~ ★
(19.05.03 16:37:51 MSD) автор топика

Ссылка

> Т.е вместо Subject могу поставить любой другой параметр?? Э-э-э... не понял?.. Еще разок, уже немножко модифицированно. Вот ты отправляешь письмо с командой, которую надо выполнить. Сервер говорит "Ага!", и посылает (используя TLS! не вынюхать!) по твоему строго оговоренному адресу письмишко с random-ключиком. Ты вытягиваешь почту по pop3s (опять не вынюхать!) сгребаешь ключик ctrl-c, давишь кнопочку реплай, заправляешь ключик в поле "Subject:" ctrl-v, а само тело письма пустое, оно уже не нужно, команда уже передана серверу и ждет лишь отмашки. Каким образом сюда может вклиниться третье лицо, даже если оно сидит в этой же сетке и снифферит трафик?

Kasper ★
(19.05.03 19:19:24 MSD)