home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / os / vms / 19897 < prev    next >
Encoding:
Internet Message Format  |  1992-12-26  |  5.9 KB
  1. Path: sparky!uunet!portal!cup.portal.com!Chris_F_Chiesa
  2. From: Chris_F_Chiesa@cup.portal.com
  3. Newsgroups: comp.os.vms
  4. Subject: Re: HELP!!! Security problem for gurus.
  5. Message-ID: <72421@cup.portal.com>
  6. Date: Sat, 26 Dec 92 00:31:36 PST
  7. Organization: The Portal System (TM)
  8. References: <1992Dec19.025940.1@us.oracle.com>
  9.   <1992Dec22.161918.9033@ncsa.uiuc.edu> <1h9e1nINN1c9@gap.caltech.edu>
  10.   <1992Dec23.194607.26032@ncsa.uiuc.edu>
  11. Lines: 93
  12.  
  13. In a recent article whose header Portal doesn't pull in for me here,
  14. jsue@ncsa.uiuc.edu (Jeffrey L. Sue) writes:
  15. >
  16. >In article <1h9e1nINN1c9@gap.caltech.edu> carl@SOL1.GPS.CALTECH.EDU writes:
  17. >>
  18. >>Easy:  Just pick a date that's before NOW.  
  19. >Hmm....
  20. >MAIL$09A8BDA800050096.MAI doesn't like it has anything to do with a date.
  21. >
  22. > [... several paragraphs of talking-out-of-both-sides-of-his-mouth 
  23. > deleted, in which he says first that he knows quite a bit about how
  24. > VMS works, even though things like how Mail determines the "bignumber"
  25. > portion of MAIL$*.MAI files are of little use to him, and then says
  26. > that it's not worth any effort on his part to look it up, deleted]
  27.  
  28. Jeff, unfortunately this is EXACTLY the kind of attitude Carl was 
  29. originally complaining about, although the epithet "using shit for 
  30. brains" probably wasn't intended originally to refer specifically to
  31. YOU but rather to any such types who MIGHT POTENTIALLY be readers 
  32. here.  However, you seem to be waving a membership card in that club...
  33.  
  34. The whole POINT of Carl's semi-flame was that if you kept your wits
  35. about you and really peered into the depths -- even a tiny bit; this
  36. really isn't very deep at all -- of how VMS does things, you'd be 
  37. infinitely better equipped to come up with creative solutions to unu-
  38. sual requests/problems (i.e. how to hide files?  stick 'em in your
  39. Mail directory with names that you KNOW won't be re-used.  How do 
  40. you KNOW what names won't be re-used?  Be aware of how Mail assigns
  41. the names!) than some other guy who just sits back and disdains such
  42. "details" as "not worth (his) effort" to know about.  I believe that
  43. it is IMPOSSIBLE to sit here, today, and pass judgment on what infor-
  44. mation will be useful to you TOMORROW.  And Carl's point is that if 
  45. you DO pass such judgment today, it's not HIS (or MY, or anyone else's
  46. on comp.os.vms) problem, nor HIS/my/our responsibility to pull your
  47. fat out of the fire should you come up dry on something tomorrow.  It
  48. is expected that querents here make at least a token effort to solve
  49. their problems before posting their questions, and in most cases if
  50. that means a question that isn't answered in DEC manuals that expec-
  51. tation includes having ALREADY GONE BEYOND the manuals to a deeper,
  52. even if just a TAD BIT deeper, understanding of how things work.  How
  53. anyone can expect to program or manage a computer system -- VMS or 
  54. ANY kind -- without such "deeper" knowledge, is beyond me -- without
  55. it, one is just a dumb button-pusher relying on someone else (the
  56. VMS designer, the CSC call-fielder, etc.) to hold his hand when things
  57. don't magically work right.  I hate that word, "magic," but a lot of 
  58. computer users seem mighty fond of it as a concept.
  59.  
  60. Having said that, one way in which you might have put two and two 
  61. together and noticed how MAIL$*.MAI filenames were related to date/
  62. time, might have been to occasionally do some programming with date/
  63. time related System Services, and to occasionally delve into just WHAT
  64. the contents of a VMS date-time quadword happen to look like, and to
  65. notice that by golly, the strings of digits in MAIL$*.MAI filenames
  66. look awful similar to a date-time quadword examined in hexadecimal.
  67. You might then write a program to test your hypothesis, letting you
  68. type in the string of digits in a MAIL$*.MAI filename, converting it
  69. to binary, and using $ASCTIM to see what that binary value represen-
  70. ted, if anything, when interpreted as a date/time quadword.  You would
  71. then observe that the "bignumber" strings represented dates, all in 
  72. the past, all of them falling within the time span you'd been using 
  73. VMS Mail and retaining messages, etc.  It might even happen that you'd
  74. discover that the "bignumber" represented the date-and-time that the
  75. file was created/the mail message contained in that file was received.
  76. This really isn't so farfetched, either, as *I* did it entirely on
  77. my own as a second-year non-privileged VMS user while still a young
  78. college student.  (Lest you counter that your work "doesn't involve
  79. the use of time-related System Services," I suggest that it is your
  80. responsibility as a VMS user/manager to be somewhat familiar with the
  81. programming facilities provided by the system, and that you should be
  82. writing test programs to exercise your knowledge of ALL the available 
  83. System Services, Run-Time Library routines, utilities, etc.  It is 
  84. then your further responsibility, as a writer of even the smallest of
  85. test programs using System Services et al, to have some familiarity
  86. with the appearance, in memory, of the data structures used, or cre-
  87. ated, by these routines.  Examining system data structures in hexa-
  88. decimal should also become second-nature, even if you still prefer
  89. decimal as a first choice.  By doing each of these things to any sig-
  90. nificant degree, and keeping your wits about you when looking at two
  91. seemingly-unrelated areas (MAIL$*.MAI filenames, and the $GETTIM 
  92. system service, say), you stand a good chance of picking up these kinds
  93. of details in the course of everyday life, instead of having to wait
  94. years to MAYBE pick it up in someone else's comp.os.vms (or INFO-VAX)
  95. posting.  Any remark to the effect that "it's not worth (my) effort,"
  96. to me says that you DON'T CARE about knowing how things work, and that
  97. would seriously erode my confidence in, and respect for, you if you
  98. were MY overseeing System Manager! 
  99.  
  100. I don't consider this a "flame" so much as a statement of my personal
  101. standards for VMS users/managers/programmers, of which I myself am all
  102. three...
  103.  
  104. Chris Chiesa
  105.    Chris_F_Chiesa@cup.portal.com
  106.