[Mew-dist 05053] Re: imget APOP error

[Motonori Nakamura]

>>>>> On Fri, 12 Jun 1998 10:18:31 +0900, Atsushi Onoe <onoe at example.com> said:

> もちろん、それはわかっていて、最後の手段だと思っていたのですが、
> やはりそれしかないんでしょうか…

onoe> もちろん、そんなことはなくて、「適切な」ioctl を発行すれば良いの
onoe> ですが、私に言わせれば stty コマンドで用が足りることまでなぜ 
onoe> perl で書かなければいけないの? という気もします。

まぁ、そうなんですが、system() はできるだけ使わない方が、
セキュリティホールが発生しにくいので、system() を使わずに
ポータブルな方法があると嬉しいな、というくらいの気持です。
特に、GetPass というパスワードを扱う部分ですし。

今回の場合は、system() の引数は定数ですから、問題があるとすれば、
PATH の値くらいでしょう。ただ、RPOP のために imget を SUID root
している場合、現在の perl の実装だと root 権限を捨てきれないので、
system() を利用することには懸念があります。
でも、system() からの呼び出しを、/bin/stty のように絶対パスにして
しまって良いのなら、きっと安全でしょう。

- motonori