Libseccomp: BUG: irreführender Name des Tests 18-sim-basic_whitelist
Hi,
Ich habe tests/18-sim-basic_whitelist.c gelesen .
Wenn ich es richtig verstanden habe, macht es folgendes:
- Verbieten Sie einige
read,write,closeundrt_sigreturnSystemaufrufe (nur wenn sie auf stdin, stdout, stderr wirken). - Alles andere zulassen (insbesondere ist das Lesen/Schreiben in jeden anderen Dateideskriptor erlaubt)
Das ist kein Whitelisting, das ist Blacklisting.
Soll die Datei umbenannt werden? Sollten alle KILL s und ACCEPT s getauscht werden, um Whitelisting zu erreichen?
Es wäre schön, ein echtes Whitelisting-Beispiel zu haben, da dies die dringend empfohlene Verwendung von seccomp ist.
diekmann
Alle 3 Kommentare
Ja, es sollte wahrscheinlich umbenannt werden, aber um ehrlich zu sein, ist der Name nicht sehr wichtig, der Inhalt des Tests ist entscheidend.
pcmoore
am 27. Apr. 2016
Verbesserungsvorschlag: Es wäre schön, _zusätzlich_ einen Whitelisting-Test durchzuführen. Testfälle werden von Entwicklern in der Regel als Referenz oder Codebeispiel verwendet. :+1:
Ich habe gerade eine Bibliothek (nicht von mir geschrieben) gefunden, die im Grunde den gleichen Fehler hatte. Es wollte Whitelisting mit seccomp machen, hat aber tatsächlich Blacklisting gemacht. Ich kann nicht sagen, ob dies ein unabhängiger Fehler war oder vielleicht unbewusst durch diesen Testfall induziert wurde.
Übrigens: Soll ich diesen Kommentar löschen und dafür eine eigene Ausgabe eröffnen?
diekmann
am 29. Apr. 2016
Zusammengeführt in 5e0a33f8f5c086204451041c43010e4ab51b5c6e, danke @lucab!
pcmoore
am 2. Juni 2016
Verwandte Themen
varqox
·
23Kommentare
kloetzl
·
19Kommentare
pcmoore
·
23Kommentare
alban
·
9Kommentare
srd424
·
18Kommentare
Hilfreichster Kommentar
Zusammengeführt in 5e0a33f8f5c086204451041c43010e4ab51b5c6e, danke @lucab!