[Python-es] exec seguro

[Oswaldo Hernández]

Hernan M Foffani escribió:
> 2010/5/7 Oswaldo Hernández <listas en soft-com.es>:
>> ....
>> Pero, ¿Es suficiente seguro esto?
> 
> Todo depende de qué entiendes por seguridad.
> 
> Si lo que buscas es un "sandbox" (¿se usa arenero?) ya te puedes ir
> olvidando. Y menos que menos si pretendes que esté certificado. De
> hecho el restricted-python hace tiempo que se marcó como obsoleto por
> la cantidad de agujeros que tenía.
> 

Lo que me pretendo es ser consciente del grado de seguridad que 
proporciona. No creer que es seguro 100% cuando en realidad no lo es.

Si la seguridad de que no puedan acceder a objetos 'no autorizados' es 
muy baja, pues elimino esto del proyecto y ya buscaré otra solución.

Si el factor de seguridad es razonablemente alto, pues entonces me 
gustaría conocer los 'agujeros' para estar preparado cuando surjan los 
problemas.

> 
> En definitiva, ¿Qué es lo que quieres evitar? Hay cosas muy dañinas
> que un usuario tontorrón puede hacer y que son muy difíciles de
> detener ("while 1: pass")

Ya ves, en esto no habia caido ;)

Supongo que este tipo de cosas se solucionarían realizando el exec en un 
thread distinto y controlando el tiempo que tarda en ejecutarse.

Gracias.

-- 
Oswaldo Hernández