কেন পিএল / পাইথন অবিশ্বস্ত?

ডক্স অনুসারে:

পিএল / পাইথন কেবলমাত্র একটি "অবিশ্বস্ত" ভাষা হিসাবে উপলভ্য, যার অর্থ এটি ব্যবহারকারীরা এতে কী করতে পারে তা সীমাবদ্ধ করার কোনও উপায় সরবরাহ করে না এবং তাই এর নাম দেওয়া হয় পিপাইথোনু। পাইথনে যদি একটি নিরাপদ সম্পাদন ব্যবস্থা তৈরি করা হয় তবে ভবিষ্যতে একটি বিশ্বাসযোগ্য বৈকল্পিক plpython পাওয়া যেতে পারে।

পাইথনের নিরাপদ বাস্তবায়ন ব্যবস্থা বিকাশ করা কেন ঠিক কঠিন তবে পার্লের মতো অন্যান্য ভাষার ক্ষেত্রে নয়?

— foobar0100
সূত্র

পাইথনের অবজেক্ট মডেলের সাথে এটি করা - সবসময় এমন কোনও উপায় যা অনিরাপদ হতে পারে তার জন্য একটি রেফারেন্স পাওয়ার উপায় রয়েছে। দেখুন rexec মডিউল ডকুমেন্টেশন এবং ডক্সের সীমাবদ্ধ সঞ্চালনের অধ্যায় সমস্যার কিছু তথ্যের জন্য, সেইসাথে:

সীমাবদ্ধতা পোস্টগ্র্রেএসকিউএল এর নিজের সাথে করার মতো কিছু নয়, এগুলি সিপিথন ইন্টারপ্রেটার বাস্তবায়ন বা সম্ভবত পাইথন ল্যাঙ্গুয়েজকে এর স্বরূপে অন্তর্নিহিত।

কিছু অন্যান্য ভাষায় পারল, জাভা, জাভাস্ক্রিপ্ট এবং লুয়ার মতো রানটাইম পরীক্ষা করা হয়েছে। তাদের বেশিরভাগই একাধিক সুরক্ষার সমস্যার মুখোমুখি হয়েছেন কারণ এই জাতীয় সীমাবদ্ধ মৃত্যুর পরিবেশ সম্ভাব্য সমস্ত জেলব্রেক শোষণের বিরুদ্ধে রক্ষা করা খুব কঠিন।

পোস্টগ্র্রেএসকিউএলকে সেমিট্রাস্টেড পাইথন ইন্টারপ্রেটার যোগ করা থেকে বিরত করার কিছুই নেই, কারণ রেক্সেক অনেক কারণে "যথেষ্ট যথেষ্ট"। পোস্টগ্র্রেএসকিউএল কেবল-বেশিরভাগ ধরণের-যথেষ্ট-যথেষ্ট-তেমন আগ্রহী হওয়ার প্রবণতা রাখে না। এটি কেবল তখনই গ্রহণযোগ্য হবে যদি কেবলমাত্র সুপার-ইউজার হিসাবে চিহ্নিত হয় তবে আপনি সর্বদা নির্দিষ্ট ব্যবহারকারীদের জন্য এতে অ্যাক্সেস দিতে পারবেন। এটি অবিশ্বস্ত পাইথনের চেয়ে ভাল।

ব্যক্তিগতভাবে আমি মনে করি পিএল / ভি 8 বা এর অনুরূপ এখানে ভবিষ্যত, এবং এটি মূলভাবে সমর্থিত হওয়ার দিকে এগিয়ে যেতে দেখতে চাই।

আমি অস্পষ্টভাবে এমন একটি বিশ্বস্ত মনোর ধারণাও অন্বেষণ করেছি যা সি #, ভিবি.এনইটি, আয়রন পাইথন বা যে কোনও কিছুতে লিখিত "নিরাপদ" অ্যাসেম্বলিগুলি লোড করতে পারে তবে এই বিষয়ে তেমন কিছু করতে সক্ষম হয় নি।

— ক্রেগ রিঞ্জার
সূত্র

কেন এটি অবিশ্বস্ত বলে বিবেচিত হয় তার কারণ হিসাবে আমি এটি কখনও দেখিনি। ডিফল্টরূপে, জাভা, ভি 8, টিসিএল, আর এবং অন্যান্য অবিশ্বস্ত হিসাবে বিবেচিত হয়। একমাত্র কারণ পার্ল বিশ্বস্ত হয় খ্রিস্টপূর্ব তারা অর্ণবপোত একটি বিশেষ পোস্টগ্রি সঙ্গে পার্ল সংস্করণ বিশ্বস্ত postgresql.org/docs/11/plperl-trusted.html

— TheSteve0

@ দ্য স্টিভ0 আপনি এটিকে তেমনটি দেখেন নি তবে সে কারণেই এটি। পোস্টগ্রেএসকিউএলএর plpythonu ব্যবহার করতেন এবং উপরে লিঙ্কিতভাবে পাইথন rexecমডিউলটিকে অন্তর্নিহিত সুরক্ষিত হিসাবে হ্রাস করার পরে এটি সরানো হয়েছিল । আমি কল্পনা করি সম্ভবত পাইপিআই ব্যবহার করে কোনও পলপাইথন পিজি তখন ব্যবহার করতে পারে এমন একটি সীমাবদ্ধ মোড সরবরাহ করতে সক্ষম হতে পারে। অনেক কাজ আছে কিনা তা দেখার জন্য আমি তাকাইনি। আপনি একটি "পার্লের বিশেষ বিশ্বাসযোগ্য সংস্করণ" সম্পর্কেও ভুল - এটি বাস্তবে একেবারে সাধারণ পার্ল, একই দোভাষী প্লেপারল এবং প্লেপারলুতে ব্যবহৃত হয়। পার্থক্যটি রানটাইম কনফিগারেশন।

— ক্রেগ রিঞ্জার

@ TheSteve0 plperl পারল ইন্টারপ্রেটার উদাহরণগুলি রানটাইম সময়ে আলাদাভাবে কনফিগার করে। গ্যারি বিশদের জন্য plperl.c দেখুন , বিশেষত pp_require_safeএবং plperl_trusted_init। সীমাবদ্ধ পার্লের মৃত্যুদণ্ড কার্যকর হওয়ার আসল সুরক্ষার বিষয়ে আমি মতামত জানার পক্ষে যথেষ্ট জানি না know আমি লুয়ার একটি বিশ্বস্ত সংস্করণ দেখতে বা বিশ্বস্ত জাভাস্ক্রিপ্ট দোভাষী, আরও ভাল মাইন্ডशेअर এবং গ্রহণ গ্রহণ করতে পছন্দ করব। তবে আমাদের যা আছে তা আপাতত plperl।

— ক্রেগ রিঞ্জার

@ দ্য স্টিভ0 বিটিডাব্লু, জাভা বা গ্রোভী কোড ব্যবহার করে জাভা জেভিএম, বা সি # বা ভিবি.এনইটি ব্যবহার করে মনো ভিএম ব্যবহারযোগ্য হবে বলে মনে হয় কারণ উভয় রানটাইমের শক্তিশালী স্যান্ডবক্স এবং সুরক্ষা ব্যবস্থাপনার বৈশিষ্ট্য রয়েছে। উদাহরণস্বরূপ জাভার সিকিউরিটি ম্যানেজার। তবে দুর্ভাগ্যক্রমে উভয় রানটাইমই হেভিওয়েট-স্টার্টআপ, থ্রেডড, শেয়ারড-ওয়েল-ডিফল্ট এক্সিকিউশন মডেলগুলি পোস্টগ্র্রেএসকিউএল এর লাইটওয়েট প্রক্রিয়া ভাগ করে নেওয়ার জন্য-কিছুই-না-ডিফল্ট কাঁটাচামচ () - এক্সিকিউট ছাড়া মডেল ব্যবহার করে। তারা সত্যিই কাঁটাচামচ () সক্ষম নয়। সুতরাং আমরা এগুলি পোস্টগ্র্রেএসকিউএলে খুব কার্যকরভাবে ব্যবহার করতে পারি না।

— ক্রেগ রিঞ্জার

এখানে পাঠকরা এই গিটহাব ইস্যুতে আগ্রহী হতে পারে আমি মনো প্রকল্পে পুনরায় কাঁটাচামচ () চালানোর সময়

— ক্রেগ