Vaarallinen pickle-moduuli ja testauksesta yleensä
10.9.2009, kirjoittanut Jussi KasurinenNo niin,
Taas on kuukausi vierähtänyt ja tämänkertaiseen artikkeliin ajattelin kirjoitella uusia kuulumisia ohjelmointiaiheiden piiristä. Kuukauden ensimmäinen aihe onkin yllättäen pickle-moduuli, jonka käytöstä mainitsin myös kurssiin liittyvässä kirjassa. Yleisesti varsin viattomalta datantallennus- ja palautusmoduulilta näyttävä paketti näet sisältää mielenkiintoisen ongelman: sen avulla pystyy ajamaan ohjelmakoodia. Vaikka tämä mainitaankin moduulin dokumentaatiossa, on syytä huomata että esimerkiksi datagrammien (eli pickellä luotujen datapakettien) lähetteleminen esimerkiksi verkko-ohjelmassa ei ole kovin turvallista. Kuten allaolevassa linkissä osoitetaan, voi pahaatahtova käyttäjä tällöin lähetellä toiseen päähän ohjelmia, jotka voivat suorittaa varsin ikäviä toimenpiteitä:
http://nadiana.com/python-pickle-insecure
Esimerkiksi käyttäjän omien tiedostojen -tai miksei koko tietokoneen kiintolevyn- tyhjentäminen onkin varsin suosittu jäynä tälläisissa tapauksissa, ja se varmasti herättää lämpimiä tunteita kaikissa osapuolissa. Osassa jopa varsin paljon lämpimämpiä kuin toisissa.
Viikon toinen aihe, josta ajattelin tähän kirjoittaa liittyy sekin ohjelmoinnin nostattamiin suuriin tunteisiin. Ohjelmien testaaminen onkin näet aihe, joka saa alalla olevan altistumaan helposti päihdeongelmille ja alasta mitään tietämättömät ihmettelemään että ”no miksi et kodaa”. Allaoleva linkki listaakin varsin osuvasti 62 tavallisimmin testaajia ärsyttävää ominaisuutta:
Listaa katsellessa tulee helposti mieleen, että eräs piikkitukkainen hallinnon henkilö heittää kuutamokeikkaa useammassakin ohjelmistofirmassa. Itse haluan muistuttaa siitä, virheiden metsästys alkaa jo ohjelmoinnista, joten kommentoikaa ja testatkaa omat koodinne. Joku muu, tai viimeistään itse, osaa arvostaa tätä toimenpidettä kun puolen vuoden päästä palataan puukottamaan samaa koodia.
Täältä tähän,
Jussi Kasurinen
ohjelmointikurssit.com
Artikkeliin ei ole kommentteja »