Укрощение @Интернет@

       

Ненадежность переменных окружения


Переменные окружения очень удобны для хранения различных настроек и организации межпроцессорного взаимодействия. Единственный существенный их недостаток – абсолютная незащищенность. Бытует мнение, что удаленный пользователь не может манипулировать переменными окружения на сервере, а потому, их использование вполне безопасно.

Но это не так! Протоколы telnet, ftp и некоторые другие разрешают даже анонимному пользователю не только читать, но и изменять любые переменные окружения по своему желанию. Поэтому, полагаться на них, право же, не стоит.

Особенно опасно хранить в них пути к библиотекам или файлам данных, - в этом случае, изменив переменную окружения, злоумышленник сможет "подсунуть" программе свою "троянизированную" библиотеку, последствия использования которой очевидны. Однако, описание подобных атак, выходит за рамки протоколов http и cgi, поэтому, в этой книге подробно не рассматривается.



Содержание раздела