31
我读到有关在docs Ruby的字符串方法来到翻过方法什么是Ruby的对象#污点和对象#信任方法?
tainttrustuntaintuntrust
我不知道他们做了什么,我们使用它们的情况是什么?有没有人使用过其中的任何一个例子会很好。
A
回答
48
taint和trust是Ruby安全模型的一部分。在Ruby中,每个对象都带有几个标志,它们中有两个是Trusted标志和Tainted标志。这些标志如何起作用取决于所谓的安全级别。安全级别存储在$SAFE中。
程序中的每个线程和光纤都可以拥有自己的安全级别。安全级别范围从0到4,0强制执行没有安全性,4强制执行非常多,只能在您使用eval代码时使用。你不能分配一个较低的值到$SAFE比它已经有。此外,在其中一个Ruby脚本运行作为setuid UNIX系统中,红宝石会自动将安全级别设置为1
污点
当一个对象有它的污点标志设置,这意味着,粗略,该对象是从哪里来的一个不可靠的来源,因此不能用于敏感操作。当安全级别为0时,污染标志被忽略(但仍然设置,如果你愿意,可以注意它)。有几种方法与污点有关:
taint- 使对象变脏。除了安全级别4,您可以在所有级别上污染对象。tainted?- 检查对象是否受污染。untaint- 从对象中移除污点。这可以只有用于安全级别0,1和2。
下面是来自pragprog镐(source)的示例,说明污点:
# internal data
# =============
x1 = "a string"
x1.tainted? → false
x2 = x1[2, 4]
x2.tainted? → false
x1 =~ /([a-z])/ → 0
$1.tainted? → false
# external data
# =============
y1 = ENV["HOME"]
y1.tainted? → true
y2 = y1[2, 4]
y2.tainted? → true
y1 =~ /([a-z])/ → 1
$1.tainted? → true
总之,你不能被污染的数据使用危险的方法。所以,如果你这样做在安全级别3时,你会得到一个错误:
eval(gets)
信托
信任是简单了很多。信任与对象是来自受信任的或不可信任的来源有关 - 基本上来说,它来自任何低于安全级别4或安全级别4的级别。我不确定Ruby的信任究竟会产生什么影响,但需要看这里: http://www.ruby-forum.com/topic/1887006。
这里有一些更多的资源: http://phrogz.net/ProgrammingRuby/taint.html - 对安全水平的一些伟大的东西,但我认为这1.8的 - 有一个更新版本1.9,单单只出现在书的印刷版本。
http://www.ruby-forum.com/topic/79295 - 在安全是否足够安全。
4
taint和trust每个都设置了一个标志,表示对象随处携带它。我可以告诉的唯一区别是(从ruby-doc.org),当给定受污染的对象时,某些方法调用的行为会有所不同,而信任似乎完全取决于程序员解释。
污点的主要目的是将用户输入标记为潜在危险,例如一个动态加载的脚本或CGI表单数据。然后实施清理方法,确保对象在代码中的其他地方使用之前是安全的并将它们解除。另请参阅“What's the purpose of tainting Ruby objects?”。
0
我发现这个链接给我信息有关红宝石tainted数据。
http://ruby.about.com/od/advancedruby/a/tainted.htm
"Tainted" objects are those that have come from some type of user input. Either from a file, the keyboard or the network, unless the object is a literal in the program or created by the program directly, it will be tainted. The tainted flag is always there on your objects, all you have to do is check it before you do anything unsafe. If you've confirmed that the data is indeed safe, you can then untaint the object.
+0
链接重定向到https://www.thoughtco.com/what-is-programming-958331 – infomaniac
+0
可悲的是肯定的@infomaniac。它一开始工作 – PriteshJ
相关问题
- 1. 玷污Ruby对象的目的是什么?
- 2. 什么是“方法的对象”和“类的对象”?
- 3. 什么是任意对象?
- 4. 对象[对象对象]没有方法'可拖动'为什么?
- 5. 什么是Ruby的“undef”对象?
- 6. Ruby的对象模型是什么?
- 7. 对象值从什么是在方法
- 8. Ruby中的类,对象和setter方法?
- 9. 是什么*和对象
- 10. Ruby对象空白?方法
- 11. 什么是对象SqlConnection.BeginTransaction对
- 12. PHP对象 - 什么是对象?
- 13. 是什么是什么的区别新对象{}和新的对象(){}
- 14. 为什么数组中的对象没有对象方法?
- 15. 为什么对象的方法不可用于其他对象?
- 16. 面向对象的方法是什么? (或你的方法?)
- 17. 在ruby中模拟第三方对象的最佳方法是什么?
- 18. 什么是检索对象对象的引用的“正确”方法?
- 19. thread_local和std :: future对象 - 对象的生命周期是什么?
- 20. 对象和字符串对象之间的区别是什么
- 21. 什么是顶点数组对象?
- 22. 什么是对象节点列表
- 23. 什么是节点JS对象编程?
- 24. 在Rails/Ruby中检查对象是否存在的正确方法是什么?
- 25. 为什么log4net的信息(对象除外)方法
- 26. 为什么在对象的方法中使用对象名称而不是此?
- 27. 将对象绑定到另一个对象的正确方法是什么?
- 28. 正确测试对象数组对象的最佳方法是什么?
- 29. 基于对象值浓缩对象列表的有效方法是什么?
- 30. 什么是从Ruby中的对象数组中提取嵌套对象数组的方法?>
他们是Ruby的安全模型的一部分。 – Linuxios
好的,我们有没有在某些情况下使用它,你有没有机会混淆它。词安全本身使它更有趣:) – PriteshJ
我没有与他们合作,但我可能会很快给出答案。这是我在哪里的夜晚,所以也许在早上。 – Linuxios