home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / lang / tcl / 2227 < prev    next >
Encoding:
Text File  |  1992-12-22  |  1.5 KB  |  41 lines
  1. Newsgroups: comp.lang.tcl
  2. Path: sparky!uunet!eco.twg.com!twg.com!news
  3. From: "David Herron" <david@twg.com>
  4. Subject: Insecurity of tk
  5. Message-ID: <1992Dec22.212801.6306@twg.com>
  6. Sensitivity: Personal
  7. Encoding:  21 TEXT , 4 TEXT 
  8. Sender: news@twg.com (USENET News System)
  9. Conversion: Prohibited
  10. Organization: The Wollongong Group, Inc., Palo Alto, CA
  11. Conversion-With-Loss: Prohibited
  12. Date: Tue, 22 Dec 1992 21:28:12 GMT
  13. Lines: 26
  14.  
  15. It occurred to me the other day that tk creates an extreme security risk.
  16. Anybody who can connect to your server can see any tk interpretor and thus
  17. get access to any data they can see.
  18.  
  19. For research-projects that's not a big deal.  Winterp, for instance, has
  20. nearly the same problem.  But for commercial products it isn't acceptible
  21. for them to create yawning security holes.
  22.  
  23. The authorisation stuff fiddled with by xhost should close this pretty
  24. well but I wonder how many people actually use it?  I sure don't since
  25. 1) my workstation is pretty well isolated to TWG's network and 2) it has
  26. the appearance of being a lot of trouble to set up.  I don't know if it
  27. really is hard to set up and surely haven't looked into it.
  28.  
  29. What are others' thoughts?
  30.  
  31. There might be some authorisation put into tk's send command.
  32.  
  33. The send command might be removed entirely 'cept it's such a
  34. useful thing!
  35.  
  36.  
  37. <- David Herron <david@twg.com> (work) <david@davids.mmdf.com> (home)
  38. <-
  39. <- During the '80s Usenet's mantra was: "Not all the world's a VAX".
  40. <- During the '90s I hope it becomes:   "Not all the world's DOS (ick)".
  41.