Plugin für Web Applikation (Perl/CGI)

[thread]14449[/thread]

Plugin für Web Applikation

Leser: 22

Articles: hide open all | hide show old branches

+23 replies
Escape

2010-01-05 14:25
User since
2008-07-24
312 Artikel
BenutzerIn
Habe hier ein Script das von etlichen Usern auf deren Webserver installiert ist und nun (auch in Zukunft) per Plugin mit zusätzlichen Funktionen erweitert werden soll.
Über den via 'action' hereinkommenden Parameter werden die verschiedenen Subs aufgerufen.

Beispiel:
Code: (dl )

1 2 3 4 5

my $functions = { 'admin_center' => \&disp_admin_center, 'disp_help' => \&disp_help, 'disp_list' => \&disp_list, };
Mein Ansatz ist nun, dem Hauptscript eine Subroutine hinzuzufügen die im Pluginverzeichnis nach .pl Dateien sucht und diese dann per 'require' einbindet.
Die eingebundenen Dateien sollen dann den Hash 'functions' um die keys und values der zusätzlichen Funktionen erweitern.

In einem ersten Test hat das geklappt.

Hat jemand von Euch eine bessere Methode oder einen Tipp für mich?
Last edited: 2010-01-05 14:26:38 +0100 (CET)
Die Deutsche Rechtschreibung ist Freeware; Du darfst sie kostenlos nutzen – aber sie ist nicht Open Source, d.h. Du darfst sie nicht verändern und/oder in veränderter Form veröffentlichen.
- GwenDragon
  
  2010-01-05 14:37
  User since
  2005-01-17
  14787 Artikel
  Admin1
  Die Idee mit der Dispatch-Tabelle, also deinem Hash ist in Ordnung so.
  
  Im Unterverzeichnis nach bestimmten Plugindateien zu suchen und die dann per require einzubinden ist auch in Ordnung. Wenn in den Plugins immer die gleichen Inhalte drin sind, also keine wechselnden Konfigurationsdaten oder so, dann ist require ok, dann wird das Plugin nur einmal eingebunden.
  Ansonsten wäre ein Aufruf mit do sinnvoller.
  
  Also beispielsweise so:
  
  Code (perl): (dl )
  
  do "$pluginpath/myplugin1.pl" or die ("Plugin not loaded $!");
  
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +12 replies
- bianca
  
  2010-01-05 14:39
  
  User since
  2009-09-13
  7016 Artikel
  BenutzerIn
  
  Wenn
  no strict 'refs';
  nicht anderweitig Probleme verursacht kann man die subs auch variabel mittels
  &{$name_der_sub}([parameter]);
  aufrufen und Du könntest anstatt $name_der_sub Deinen Aufrufparameter action verwenden.
  Oder hab ich das falsch verstanden?
  
  EDIT: Und vor dem Aufruf natürlich ein require der zugehörigen Datei, die man ja ähnlich nennen könnte, wodurch man dann aus dem Action Parameter den zu requirenden Dateinamen "bauen" kann. Damit bräuchte man dann keine extra Tabelle für die ganzen Module pflegen und würde nur genau das Modul requiren, das gerade aufgerufen wird und nicht persé alle.
  Last edited: 2010-01-05 14:41:48 +0100 (CET)
  10 print "Hallo"
  20 goto 10
  - +10 replies
  - pq
    
    2010-01-05 14:56
    
    User since
    2003-08-04
    12208 Artikel
    Admin1
    
    das ist genau der falsche weg. eine dispatchtabelle ist hier kein unnötiger aufwand, sondern u.a. ein sicherheitsfeature. oder möchtest du dir gerne durch manipulation der CGI-parameter jede beliebige subroutine aufrufen lassen?
    bei den meisten dieser fragen hat der OP keine dispatchtabelle, und bekommt dann oft hier beigebracht, was das ist und warum man das benutzen will.
    
    edit: typo
    Last edited: 2010-01-05 14:59:50 +0100 (CET)
    Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
    lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - +9 replies
    - bianca
      
      2010-01-05 15:11
      
      User since
      2009-09-13
      7016 Artikel
      BenutzerIn
      
      2010-01-05T13:56:09 pq
      oder möchtest du dir gerne durch manipulation der CGI-parameter jede beliebige subroutine aufrufen lassen?
      
      Verstehe die Sicherheitsrelevanz nicht. Man hat ein Verzeichnis mit *.pl Dateien und bekommt über CGI einen Namen geliefert. Dann schaut man, ob es die passende *.pl in dem Verzeichnis gibt, required sie und ruft dann die ähnlichnamige sub() auf, deren Namen man ebenfalls aus dem CGI Parameter nach einer festen Regel ableitet. Wenn nicht, Fehlermeldung.
      Kann da keine Lücke erkennen, bitte um erhellende Aufklärung.
      10 print "Hallo"
      20 goto 10
      - +7 replies
      - pq
        
        2010-01-05 15:57
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        und wie willst du sicherstellen, dass da nicht irgendeine .pl aufgerufen wird? da musst du doch erst noch rumprüfen und sicherstellen.
        den ganzen mist spart man sich z.b. mit einer dispatchtabelle.
        sich dynamisch modul- oder skriptnamen aus CGI übergeben zu lassen, ohne vorher auf eine whitelist zu prüfen, ist unsicher bzw. wenn man es absichern will, letztendlich viel zu umständlich.
        bitte um erhellende aufklärung mittels eines stückchens code, der deine variante zeigt und sicher ist.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +6 replies
        
        bianca
        
        2010-01-05 16:10
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2010-01-05T14:57:25 pq
        und wie willst du sicherstellen, dass da nicht irgendeine .pl aufgerufen wird? da musst du doch erst noch rumprüfen und sicherstellen.
        
        Was nicht im PlugIn-Verzeichnis liegt, kann nicht aufgerufen werden, was soll ich da großartig sicherstellen ohne mir durch unnötige weitere Tabellen weitere Fehlerquellen an Land zu ziehen?
        
        2010-01-05T14:57:25 pq
        den ganzen mist spart man sich z.b. mit einer dispatchtabelle.
        
        Bitte um nähere Definition von "mist", kann keinen erkennen.
        
        2010-01-05T14:57:25 pq
        sich dynamisch modul- oder skriptnamen aus CGI übergeben zu lassen, ohne vorher auf eine whitelist zu prüfen, ist unsicher bzw. wenn man es absichern will, letztendlich viel zu umständlich.
        
        Warum und inwiefern ist das unsicher?
        
        2010-01-05T14:57:25 pq
        bitte um erhellende aufklärung mittels eines stückchens code, der deine variante zeigt und sicher ist.
        
        Da gibts nicht viel Code, ich nehme mir den CGI-Parameter und schaue mit if (-f "/home/pfad/pluginverz/$cgi_parameter_action.pl"){} im vordefinierten PlugIn-Verzeichnis nach, ob es die Datei gibt. Alles weitere dürfte Dir bestimmt geläufig sein.
        10 print "Hallo"
        20 goto 10
        
        +5 replies
        
        pq
        
        2010-01-05 16:34
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2010-01-05T15:10:00 bianca
        2010-01-05T14:57:25 pq
        bitte um erhellende aufklärung mittels eines stückchens code, der deine variante zeigt und sicher ist.
        
        Da gibts nicht viel Code, ich nehme mir den CGI-Parameter und schaue mit if (-f "/home/pfad/pluginverz/$cgi_parameter_action.pl"){} im vordefinierten PlugIn-Verzeichnis nach, ob es die Datei gibt. Alles weitere dürfte Dir bestimmt geläufig sein.
        
        och, wenn man kreativ genug ist, könnte man was finden und reinschreiben:
        cgi_parameter_action=../../../../path/to/a/potential/evil/perlscript\0
        
        so, und wenn du das in eine variable reinschreibst, wird /path/to/a/potential/evil/perlscript aufgerufen. das .pl, was du hinten ranhängst, wird durch das nullbyte ignoriert, und durch das ../../ komme ich ins root des dateisystems.
        
        mag sein, dass man etwas suchen müsste, bevor man ein geeignetes script findet. dennoch finde ich sowas unangenehm. wenn du das nicht als unsicher bezeichnest, dann kann ich dich natürlich nicht dazu zwingen.
        aber ich habs lieber, wenn ich mich nicht drauf verlassen muss, dass nicht irgendwo ein script rumliegt, dass jemand mit cgi-parameter-manipulation einfach so aufrufen kann =)
        
        du könntest jetzt antworten, dass du
        a) nullbytes rauswirfst und
        b) dinge wie ../ rauswirfst.
        
        genau das aber meinte ich mit umständlichem mist.
        du versuchst hier anscheinend, deine idee noch irgendwie zu retten. letztendlich musst du aber soviel beachten, was du ja noch nichtmal tust, wie man hier sieht, dass eine dispatch-tabelle einfach sicherer ist.
        da kann man halt nix falsch machen.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
        
        +4 replies
        
        bianca
        
        2010-01-05 16:48
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2010-01-05T15:34:19 pq
        du versuchst hier anscheinend, deine idee noch irgendwie zu retten. letztendlich musst du aber soviel beachten, was du ja noch nichtmal tust, wie man hier sieht, dass eine dispatch-tabelle einfach sicherer ist.
        da kann man halt nix falsch machen.
        
        Ich will nichts retten und auch nicht streiten. Bin sehr lernfähig. Und das von Dir gezeigte Beispiel hat mich überzeugt.
        Habe bei meinen Überlegungen nicht den Fall des gefälschten CGI-Parameters einbezogen. War davon ausgegangen, dass jeder Aufruf im Rahmen der Session/Applikationsberechtigung auf Echtheit überprüft ist.
        Danke Dir
        10 print "Hallo"
        20 goto 10
        
        +3 replies
        
        GwenDragon
        
        2010-01-05 16:53
        
        User since
        2005-01-17
        14787 Artikel
        Admin1
        
        Traue niemals übergebenen CGI-Parametern!
        Das gilt auch für HTTP-Header!
        Und Umgebungsvariablen.
        
        Verwendende den TaintMode (Perl-Schalter -T), das rettet zwar nicht, meckert aber sehr oft bei von Außen geholten Daten, die erst durch Überprüfung 'sauber' (sanitized) gemacht werden müssen.
        
        //EDIT: Vertrau einfach mal auf das Wissen der paar "alten Damen" (d.h. erfahrenen; Herren sind mitgemeint) hier in Bezug auf Websicherheit. ;)
        
        Last edited: 2010-01-05 16:55:55 +0100 (CET)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        bianca
        
        2010-01-05 17:03
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2010-01-05T15:53:22 GwenDragon
        //EDIT: Vertrau einfach mal auf das Wissen der paar "alten Damen" (d.h. erfahrenen; Herren sind mitgemeint) hier in Bezug auf Websicherheit. ;)
        
        Vertrauen ist gut, lernen und verstehen gehört für mich aber auch immer dazu. Ein "ist unsicher" reicht mir halt nicht. Sorry wenn das angreifend oder besserwisserisch rüberkommt. Ist nicht so gemeint.
        10 print "Hallo"
        20 goto 10
        
        GwenDragon
        
        2010-01-05 17:15
        
        User since
        2005-01-17
        14787 Artikel
        Admin1
        
        Lesenswert ist:
        http://www.xwolf.de/artikel/cgisec.shtml
        http://www.codito.de/archive/perlcgi.html
        http://www.yossman.net/support/cgisecurity.html
        http://www.extropia.com/tutorials/security/index.h...
        http://www.w3.org/Security/Faq/wwwsf4.html
        
        Wenn du mehr wissen willst nach der Lektüre, frage bitte hier genauer und verständlich geschrieben nach.
        
        Last edited: 2010-01-05 17:17:22 +0100 (CET)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - pq
        
        2010-01-06 14:29
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        der vollständigkeit halber noch ein beispiel für die manipulation der subroutine:
        cgi_parameter_action=CORE::dump
        
        je nach umgebung und geladenen modulen kann man auch noch was unangenehmeres finden, aber ein coredump ist nichts, was man sich durch einfache manipulation der cgi-parameter einhandeln will =)
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
  - Escape
    
    2010-01-06 11:35
    
    User since
    2008-07-24
    312 Artikel
    BenutzerIn
    
    2010-01-05T13:39:31 bianca
    Du könntest anstatt $name_der_sub Deinen Aufrufparameter action verwenden
    
    Das scheidet aus, weil der/die 'action' Parameter vor dem Einbinden des Plugin (der pl Datei) naturgemäß noch nicht vorhanden ist/sind.
    Die Deutsche Rechtschreibung ist Freeware; Du darfst sie kostenlos nutzen – aber sie ist nicht Open Source, d.h. Du darfst sie nicht verändern und/oder in veränderter Form veröffentlichen.
- +9 replies
- renee
  
  2010-01-05 15:05
  User since
  2003-08-04
  14371 Artikel
  ModeratorIn
  Ich mache das in der Regel so, dass man in einer Konfigurationsdatei angeben muss, welche Plugins geladen werden sollen
  
  z.B.: (hier als YAML-Datei)
  
  Code: (dl )
  
  1 2 3 4 5
  
  --- Plugins: - name: NameDesPlugins param1: Parameter
  
  Das hat den Vorteil, dass man sehr einfach Plugins "deaktivieren" kann, indem man das Plugin aus der Konfig rausnimmt und man kann noch zusätzliche Parameter festlegen. Natürlich muss der ladende Code (in Deinem Fall das Hauptskript) auch mit diesen Parametern umgehen können, bzw. an das Plugin übergeben.
  
  Für die Aktionen ist der Dispatch-Hash genau richtig...
  
  Edit: bei "name" in der Konfig wird nur der "letzte Teil" genannt. In diesem Fall würde meine App versuchen MyApp::Plugins::NameDesPlugins zu laden. Hat nämlich noch den zusätzlichen Vorteil, dass man z.B. Name::Des::Plugins machen könnte, was dann MyApp::Plugins::Name::Des::Plugins wird.
  Last edited: 2010-01-05 15:07:15 +0100 (CET)
  OTRS-Erweiterungen (http://feature-addons.de/)
  Frankfurt Perlmongers (http://frankfurt.pm/)
  --
  
  Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
  Perl-Entwicklung: http://perl-services.de/
  - +8 replies
  - Escape
    
    2010-01-06 13:37
    
    User since
    2008-07-24
    312 Artikel
    BenutzerIn
    
    2010-01-05T14:05:15 renee
    Ich mache das in der Regel so, dass man in einer Konfigurationsdatei angeben muss, welche Plugins geladen werden sollen.
    
    Das hat aber auch den Nachteil dass der User für jedes Plugin zwei Dateien auf den Server hochladen muß und das Hauptskript jeweils zwei Dateien laden und verarbeiten muß - I/O ist teuer.
    Die Deutsche Rechtschreibung ist Freeware; Du darfst sie kostenlos nutzen – aber sie ist nicht Open Source, d.h. Du darfst sie nicht verändern und/oder in veränderter Form veröffentlichen.
    - +5 replies
    - bianca
      
      2010-01-06 13:42
      
      User since
      2009-09-13
      7016 Artikel
      BenutzerIn
      
      2010-01-06T12:37:23 Escape
      2010-01-05T14:05:15 renee
      Ich mache das in der Regel so, dass man in einer Konfigurationsdatei angeben muss, welche Plugins geladen werden sollen.
      
      Das hat aber auch den Nachteil dass der User für jedes Plugin zwei Dateien auf den Server hochladen muß und das Hauptskript jeweils zwei Dateien laden und verarbeiten muß - I/O ist teuer.
      
      Die Konfigurationsdatei wird doch sowohl im Script als auch beim Aufruf einmalig geladen, wie ich renee verstanden habe und die Module willst Du doch ohnehin immer alle laden, wie ich Dich verstanden habe. Das Laden immer aller Module (obwohl man pro Aufruf vermutlich nie alle braucht) fände ich persönlich jetzt an der Stelle viel überflüssiger als eine Konfigurationsdatei. Und wenn I/O an der Stelle Geld kostet, sollte man das doch zwingend anders lösen, oder?
      Der Traffic für das einmalige Upload durch den User ist doch dann nicht mehr das Hauptproblem, oder?
      
      Edit: Wo genau liegt denn jetzt der Handlungsbedarf, der Dich an Deiner bisherigen Lösung zweifeln läßt? Hab ich persönlich dann vielleicht noch nicht so ganz begriffen.
      Last edited: 2010-01-06 13:44:54 +0100 (CET)
      10 print "Hallo"
      20 goto 10
      - +2 replies
      - Escape
        
        2010-01-06 13:51
        
        User since
        2008-07-24
        312 Artikel
        BenutzerIn
        
        2010-01-06T12:42:04 bianca
        Das Laden immer aller Module (obwohl man pro Aufruf vermutlich nie alle braucht) fände ich persönlich jetzt an der Stelle viel überflüssiger als eine Konfigurationsdatei. Und wenn I/O an der Stelle Geld kostet, sollte man das doch zwingend anders lösen, oder?
        
        Wird auch anders gelöst - nämlich indem nur die Dateien geladen werden die zur jeweiligen Funktion in Abhängigkeit stehen.
        Und wenn im Zusammenhang mit Code von 'teuer' gesprochen wird, dann ist niemals 'Geld' sondern immer 'Zeit' gemeint ;-)
        Die Deutsche Rechtschreibung ist Freeware; Du darfst sie kostenlos nutzen – aber sie ist nicht Open Source, d.h. Du darfst sie nicht verändern und/oder in veränderter Form veröffentlichen.
        
        bianca
        
        2010-01-06 13:56
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2010-01-06T12:51:18 Escape
        Wird auch anders gelöst - nämlich indem nur die Dateien geladen werden die zur jeweiligen Funktion in Abhängigkeit stehen.
        
        Dann finde ich an Deiner bisherigen Lösung - soweit sie beurteilbar ist - alles OK.
        10 print "Hallo"
        20 goto 10
      - +2 replies
      - Escape
        
        2010-01-06 13:57
        
        User since
        2008-07-24
        312 Artikel
        BenutzerIn
        
        2010-01-06T12:42:04 bianca
        Edit: Wo genau liegt denn jetzt der Handlungsbedarf, der Dich an Deiner bisherigen Lösung zweifeln läßt?
        
        Leider zweifele ich meine Lösungen nahezu grundsätzlich an ...
        gehe immer davon aus dass ich mal wieder mit Blindheit geschlagen bin und es von daher einen besseren oder einfacheren Weg gibt.
        Die Deutsche Rechtschreibung ist Freeware; Du darfst sie kostenlos nutzen – aber sie ist nicht Open Source, d.h. Du darfst sie nicht verändern und/oder in veränderter Form veröffentlichen.
        
        bianca
        
        2010-01-06 14:04
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2010-01-06T12:57:26 Escape
        Leider zweifele ich meine Lösungen nahezu grundsätzlich an ...
        gehe immer davon aus dass ich mal wieder mit Blindheit geschlagen bin und es von daher einen besseren oder einfacheren Weg gibt.
        
        Kenne ich.
        Sind denn Deine Zweifel nach diesem Thread ausgeräumt oder ist noch etwas offen oder unbefriedigend für Dich?
        10 print "Hallo"
        20 goto 10
    - +2 replies
    - renee
      
      2010-01-06 14:29
      
      User since
      2003-08-04
      14371 Artikel
      ModeratorIn
      
      Jein, eine Datei hochladen und dann noch die Konfiguration ändern.
      
      Alles hat seine Vor- und Nachteile... Ich brauche halt sehr häufig Plugins, die noch spezielle Konfigurationsparameter brauchen. Das kann ich mit Deinem Ansatz nicht lösen.
      
      Wenn Dein Ansatz aber für Dein Problem geeignet ist, ist das völlig ok!
      OTRS-Erweiterungen (http://feature-addons.de/)
      Frankfurt Perlmongers (http://frankfurt.pm/)
      --
      
      Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
      Perl-Entwicklung: http://perl-services.de/
      - Escape
        
        2010-01-06 15:31
        
        User since
        2008-07-24
        312 Artikel
        BenutzerIn
        
        2010-01-06T13:29:56 renee
        Ich brauche halt sehr häufig Plugins, die noch spezielle Konfigurationsparameter brauchen. Das kann ich mit Deinem Ansatz nicht lösen.
        
        Gerade getestet indem ich dem Plugin-Script (neben dem Funktions-Hash) auch noch einen Config-Hash mitgegeben hab.
        Die Config-Daten des Hauptscripts werden beim Laden des Plugin-Scripts also automatisch ergänzt.
        Klappt gut und kostet kaum Zeit.
        
        Die Deutsche Rechtschreibung ist Freeware; Du darfst sie kostenlos nutzen – aber sie ist nicht Open Source, d.h. Du darfst sie nicht verändern und/oder in veränderter Form veröffentlichen.

View all threads created 2010-01-05 14:25.