StateMachines: security breach #24
Comments
|
Attends y'a une etape que j'ai raté Il créé sa machine a etats et ca lui sort un programme en python c'est ca? Pourquoi ce programme serait chargé a bord? |
|
Et http on ne l'utilise nulle part pour le moment si? |
|
Bon en fait je vois (au moins) trois utilisations:
C'est la troisième utilisation qui pose un petit problème. Bon mais rien d'urgent à régler! |
|
Bha de toutes façons je suppose qu'on peut deja faire crasher rhoban server sans trop de probleme si c'est ce qu'on recherche, mais surtout l'acces au serveur permettrait de provoquer des degats mecaniques Dans le cas des galeries lafayettes le reseau ne sera bien sur pas ouvert a tous (meme pas de wifi, voire pas d'ethernet dans ce cas) :-) Ensuite y'a plusieurs choses a faire, comme ajouter une option pour n'accepter que les connexions localhost pour le cas ou tout est embarqué et peut etre ajouter un systeme de password sur le serveur? Ca serair pas trop dur a mettre sur pied, si le pass n'est pas fournit dans le premier message apres la connexion on lache le client On devrait peut etre bouger cette preocupation vers le depot Code etant donné que ça concerne plus le serveur tu ne crois pas? "Ajouter un --localhost-only et un --password=pass" Apres y'a effctivement un probleme de sandboxing dans le cas ou on offre un acces a un serveur sur une mmnet ou roboard et ou on laisse les gens coder en python dans des machines a etats (voire blocks?) |
@Gregwar
Bon telle que je la code la stm va ouvrir une brèche de sécurité
car par exemple un étudiant malicieux va pouvoir exécuter à bord du code envoyé par http...
Contre-mesure possible:
The text was updated successfully, but these errors were encountered: