开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Windows编程 > 通讯编程 > 查看源码
safe.n
资源名称:ns-allinone-2.33.tar.gz [点击查看]
上传用户:rrhhcc
上传日期:2015-12-11
资源大小:54129k
文件大小:15k
源码类别:

通讯编程

开发平台:

Visual C++

safe.n:源码内容
  1. '"
  2. '" Copyright (c) 1995-1996 Sun Microsystems, Inc.
  3. '"
  4. '" See the file "license.terms" for information on usage and redistribution
  5. '" of this file, and for a DISCLAIMER OF ALL WARRANTIES.
  6. '" 
  7. '" RCS: @(#) $Id: safe.n,v 1.4.2.1 2004/10/27 14:23:58 dkf Exp $
  8. '" 
  9. .so man.macros
  10. .TH "Safe Tcl" n 8.0 Tcl "Tcl Built-In Commands"
  11. .BS
  12. '" Note:  do not modify the .SH NAME line immediately below!
  13. .SH NAME
  14. Safe Base - A mechanism for creating and manipulating safe interpreters.
  15. .SH SYNOPSIS
  16. fB::safe::interpCreatefR ?fIslavefR? ?fIoptions...fR?
  17. .sp
  18. fB::safe::interpInitfR fIslavefR ?fIoptions...fR?
  19. .sp
  20. fB::safe::interpConfigurefR fIslavefR ?fIoptions...fR?
  21. .sp
  22. fB::safe::interpDeletefR fIslavefR
  23. .sp
  24. fB::safe::interpAddToAccessPathfR fIslavefR fIdirectoryfR
  25. .sp
  26. fB::safe::interpFindInAccessPathfR fIslavefR fIdirectoryfR
  27. .sp
  28. fB::safe::setLogCmdfR ?fIcmd arg...fR?
  29. .SH OPTIONS
  30. .PP
  31. ?fB-accessPathfR fIpathListfR?
  32. ?fB-staticsfR fIbooleanfR? ?fB-noStaticsfR?
  33. ?fB-nestedfR fIbooleanfR? ?fB-nestedLoadOkfR?
  34. ?fB-deleteHookfR fIscriptfR?
  35. .BE
  37. .SH DESCRIPTION
  38. Safe Tcl is a mechanism for executing untrusted Tcl scripts
  39. safely and for providing mediated access by such scripts to
  40. potentially dangerous functionality.
  41. .PP
  42. The Safe Base ensures that untrusted Tcl scripts cannot harm the
  43. hosting application.
  44. The Safe Base prevents integrity and privacy attacks. Untrusted Tcl
  45. scripts are prevented from corrupting the state of the hosting
  46. application or computer. Untrusted scripts are also prevented from
  47. disclosing information stored on the hosting computer or in the
  48. hosting application to any party.
  49. .PP
  50. The Safe Base allows a master interpreter to create safe, restricted
  51. interpreters that contain a set of predefined aliases for the fBsourcefR,
  52. fBloadfR, fBfilefR, fBencodingfR, and fBexitfR commands and
  53. are able to use the auto-loading and package mechanisms.
  54. .PP
  55. No knowledge of the file system structure is leaked to the
  56. safe interpreter, because it has access only to a virtualized path
  57. containing tokens. When the safe interpreter requests to source a file, it
  58. uses the token in the virtual path as part of the file name to source; the
  59. master interpreter transparently 
  60. translates the token into a real directory name and executes the 
  61. requested operation (see the section fBSECURITYfR below for details).
  62. Different levels of security can be selected by using the optional flags
  63. of the commands described below.
  64. .PP
  65. All commands provided in the master interpreter by the Safe Base reside in
  66. the fBsafefR namespace:
  68. .SH COMMANDS
  69. The following commands are provided in the master interpreter:
  70. .TP
  71. fB::safe::interpCreatefR ?fIslavefR? ?fIoptions...fR?
  72. Creates a safe interpreter, installs the aliases described in the section
  73. fBALIASESfR and initializes the auto-loading and package mechanism as
  74. specified by the supplied fBoptionsfR.
  75. See the fBOPTIONSfR section below for a description of the
  76. optional arguments.
  77. If the fIslavefR argument is omitted, a name will be generated.
  78. fB::safe::interpCreatefR always returns the interpreter name.
  79. .TP
  80. fB::safe::interpInitfR fIslavefR ?fIoptions...fR?
  81. This command is similar to fBinterpCreatefR except it that does not
  82. create the safe interpreter. fIslavefR must have been created by some
  83. other means, like fBinterp create -safefR.
  84. .TP
  85. fB::safe::interpConfigurefR fIslavefR ?fIoptions...fR?
  86. If no fIoptionsfR are given, returns the settings for all options for the
  87. named safe interpreter as a list of options and their current values
  88. for that fIslavefR. 
  89. If a single additional argument is provided,
  90. it will return a list of 2 elements fInamefR and fIvaluefR where
  91. fInamefR is the full name of that option and fIvaluefR the current value
  92. for that option and the fIslavefR.
  93. If more than two additional arguments are provided, it will reconfigure the
  94. safe interpreter and change each and only the provided options.
  95. See the section on fBOPTIONSfR below for options description.
  96. Example of use:
  97. .RS
  98. .CS
  99. # Create a new interp with the same configuration as "$i0" :
  100. set i1 [eval safe::interpCreate [safe::interpConfigure $i0]]
  101. # Get the current deleteHook
  102. set dh [safe::interpConfigure $i0  -del]
  103. # Change (only) the statics loading ok attribute of an interp
  104. # and its deleteHook (leaving the rest unchanged) :
  105. safe::interpConfigure $i0  -delete {foo bar} -statics 0 ;
  106. .CE
  107. .RE
  108. .TP
  109. fB::safe::interpDeletefR fIslavefR
  110. Deletes the safe interpreter and cleans up the corresponding  
  111. master interpreter data structures.
  112. If a fIdeleteHookfR script was specified for this interpreter it is
  113. evaluated before the interpreter is deleted, with the name of the
  114. interpreter as an additional argument.
  115. .TP
  116. fB::safe::interpFindInAccessPathfR fIslavefR fIdirectoryfR
  117. This command finds and returns the token for the real directory
  118. fIdirectoryfR in the safe interpreter's current virtual access path.
  119. It generates an error if the directory is not found.
  120. Example of use:
  121. .RS
  122. .CS
  123. $slave eval [list set tk_library [::safe::interpFindInAccessPath $name $tk_library]]
  124. .CE
  125. .RE
  126. .TP
  127. fB::safe::interpAddToAccessPathfR fIslavefR fIdirectoryfR
  128. This command adds fIdirectoryfR to the virtual path maintained for the
  129. safe interpreter in the master, and returns the token that can be used in
  130. the safe interpreter to obtain access to files in that directory.
  131. If the directory is already in the virtual path, it only returns the token
  132. without adding the directory to the virtual path again.
  133. Example of use:
  134. .RS
  135. .CS
  136. $slave eval [list set tk_library [::safe::interpAddToAccessPath $name $tk_library]]
  137. .CE
  138. .RE
  139. .TP
  140. fB::safe::setLogCmdfR ?fIcmd arg...fR?
  141. This command installs a script that will be called when interesting
  142. life cycle events occur for a safe interpreter.
  143. When called with no arguments, it returns the currently installed script.
  144. When called with one argument, an empty string, the currently installed
  145. script is removed and logging is turned off.
  146. The script will be invoked with one additional argument, a string
  147. describing the event of interest.
  148. The main purpose is to help in debugging safe interpreters.
  149. Using this facility you can get complete error messages while the safe
  150. interpreter gets only generic error messages.
  151. This prevents a safe interpreter from seeing messages about failures
  152. and other events that might contain sensitive information such as real
  153. directory names.
  154. .RS
  155. Example of use:
  156. .CS
  157. ::safe::setLogCmd puts stderr
  158. .CE
  159. Below is the output of a sample session in which a safe interpreter
  160. attempted to source a file not found in its virtual access path.
  161. Note that the safe interpreter only received an error message saying that
  162. the file was not found:
  163. .CS
  164. NOTICE for slave interp10 : Created
  165. NOTICE for slave interp10 : Setting accessPath=(/foo/bar) staticsok=1 nestedok=0 deletehook=()
  166. NOTICE for slave interp10 : auto_path in interp10 has been set to {$p(:0:)}
  167. ERROR for slave interp10 : /foo/bar/init.tcl: no such file or directory
  168. .CE
  169. .RE
  171. .SH OPTIONS
  172. The following options are common to 
  173. fB::safe::interpCreatefR, fB::safe::interpInitfR, 
  174. and fB::safe::interpConfigurefR.
  175. Any option name can be abbreviated to its minimal 
  176. non-ambiguous name.
  177. Option names are not case sensitive.
  178. .TP 
  179. fB-accessPathfR fIdirectoryListfR
  180. This option sets the list of directories from which the safe interpreter
  181. can fBsourcefR and fBloadfR files.
  182. If this option is not specified, or if it is given as the
  183. empty list, the safe interpreter will use the same directories as its
  184. master for auto-loading.
  185. See the section fBSECURITYfR below for more detail about virtual paths, 
  186. tokens and access control.
  187. .TP
  188. fB-staticsfR fIbooleanfR
  189. This option specifies if the safe interpreter will be allowed
  190. to load statically linked packages (like fBload {} TkfR).
  191. The default value is fBtruefR : 
  192. safe interpreters are allowed to load statically linked packages.
  193. .TP
  194. fB-noStaticsfR
  195. This option is a convenience shortcut for fB-statics falsefR and
  196. thus specifies that the safe interpreter will not be allowed
  197. to load statically linked packages.
  198. .TP
  199. fB-nestedfR fIbooleanfR
  200. This option specifies if the safe interpreter will be allowed
  201. to load packages into its own sub-interpreters.
  202. The default value is fBfalsefR : 
  203. safe interpreters are not allowed to load packages into
  204. their own sub-interpreters.
  205. .TP
  206. fB-nestedLoadOkfR
  207. This option is a convenience shortcut for fB-nested truefR and
  208. thus specifies the safe interpreter will be allowed
  209. to load packages into its own sub-interpreters.
  210. .TP 
  211. fB-deleteHookfR fIscriptfR
  212. When this option is given a non-empty fIscriptfR, it will be
  213. evaluated in the master with the name of
  214. the safe interpreter as an additional argument
  215. just before actually deleting the safe interpreter.
  216. Giving an empty value removes any currently installed deletion hook
  217. script for that safe interpreter.
  218. The default value (fB{}fR) is not to have any deletion call back.
  219. .SH ALIASES
  220. The following aliases are provided in a safe interpreter:
  221. .TP
  222. fBsourcefR fIfileNamefR
  223. The requested file, a Tcl source file, is sourced into the safe interpreter
  224. if it is found.
  225. The fBsourcefR alias can only source files from directories in
  226. the virtual path for the safe interpreter. The fBsourcefR alias requires
  227. the safe interpreter to
  228. use one of the token names in its virtual path to denote the directory in
  229. which the file to be sourced can be found.
  230. See the section on fBSECURITYfR for more discussion of restrictions on
  231. valid filenames.
  232. .TP
  233. fBloadfR fIfileNamefR
  234. The requested file, a shared object file, is dynamically loaded into the
  235. safe interpreter if it is found.
  236. The filename must contain a token name mentioned in the virtual path for
  237. the safe interpreter for it to be found successfully.
  238. Additionally, the shared object file must contain a safe entry point; see
  239. the manual page for the fBloadfR command for more details.
  240. .TP
  241. fBfilefR ?fIsubCmd args...fR?
  242. The fBfilefR alias provides access to a safe subset of the subcommands of
  243. the fBfilefR command; it allows only fBdirnamefR, fBjoinfR,
  244. fBextensionfR, fBrootfR, fBtailfR, fBpathnamefR and fBsplitfR
  245. subcommands. For more details on what these subcommands do see the manual
  246. page for the fBfilefR command.
  247. .TP
  248. fBencodingfR ?fIsubCmd args...fR?
  249. The fBencodingfR alias provides access to a safe subset of the
  250. subcommands of the fBencodingfR command;  it disallows setting of
  251. the system encoding, but allows all other subcommands including
  252. fBsystemfR to check the current encoding.
  253. .TP
  254. fBexitfR
  255. The calling interpreter is deleted and its computation is stopped, but the
  256. Tcl process in which this interpreter exists is not terminated.
  258. .SH SECURITY
  259. The Safe Base does not attempt to completely prevent annoyance and
  260. denial of service attacks. These forms of attack prevent the
  261. application or user from temporarily using the computer to perform
  262. useful work, for example by consuming all available CPU time or
  263. all available screen real estate.
  264. These attacks, while aggravating, are deemed to be of lesser importance
  265. in general than integrity and privacy attacks that the Safe Base
  266. is to prevent.
  267. .PP
  268. The commands available in a safe interpreter, in addition to
  269. the safe set as defined in fBinterpfR manual page, are mediated aliases
  270. for fBsourcefR, fBloadfR, fBexitfR, and safe subsets of
  271. fBfilefR and fBencodingfR. The safe interpreter can also auto-load
  272. code and it can request that packages be loaded.
  273. .PP
  274. Because some of these commands access the local file system, there is a
  275. potential for information leakage about its directory structure.
  276. To prevent this, commands that take file names as arguments in a safe
  277. interpreter use tokens instead of the real directory names.
  278. These tokens are translated to the real directory name while a request to,
  279. e.g., source a file is mediated by the master interpreter.
  280. This virtual path system is maintained in the master interpreter for each safe
  281. interpreter created by fB::safe::interpCreatefR or initialized by
  282. fB::safe::interpInitfR and
  283. the path maps tokens accessible in the safe interpreter into real path
  284. names on the local file system thus preventing safe interpreters 
  285. from gaining knowledge about the
  286. structure of the file system of the host on which the interpreter is
  287. executing.
  288. The only valid file names arguments
  289. for the fBsourcefR and fBloadfR aliases provided to the slave
  290. are path in the form of 
  291. fB[file join fRfItoken filenamefRfB]fR (i.e. when using the
  292. native file path formats: fItokenfRfB/fRfIfilenamefR
  293. on Unix, fItokenfRfB\fIfilenamefR on Windows, 
  294. and fItokenfRfB:fRfIfilenamefR on the Mac),
  295. where fItokenfR is representing one of the directories 
  296. of the fIaccessPathfR list and fIfilenamefR is
  297. one file in that directory (no sub directories access are allowed).
  298. .PP
  299. When a token is used in a safe interpreter in a request to source or
  300. load a file, the token is checked and
  301. translated to a real path name and the file to be
  302. sourced or loaded is located on the file system.
  303. The safe interpreter never gains knowledge of the actual path name under
  304. which the file is stored on the file system.
  305. .PP
  306. To further prevent potential information leakage from sensitive files that
  307. are accidentally included in the set of files that can be sourced by a safe
  308. interpreter, the fBsourcefR alias restricts access to files
  309. meeting the following constraints: the file name must
  310. fourteen characters or shorter, must not contain more than one dot ("fB.fR"),
  311. must end up with the extension fB.tclfR or be called fBtclIndexfR.
  312. .PP
  313. Each element of the initial access path
  314. list will be assigned a token that will be set in
  315. the slave fBauto_pathfR and the first element of that list will be set as
  316. the fBtcl_libraryfR for that slave.
  317. .PP
  318. If the access path argument is not given or is the empty list, 
  319. the default behavior is to let the slave access the same packages
  320. as the master has access to (Or to be more precise: 
  321. only packages written in Tcl (which by definition can't be dangerous
  322. as they run in the slave interpreter) and C extensions that
  323. provides a Safe_Init entry point). For that purpose, the master's 
  324. fBauto_pathfR will be used to construct the slave access path. 
  325. In order that the slave successfully loads the Tcl library files
  326. (which includes the auto-loading mechanism itself) the fBtcl_libraryfR will be
  327. added or moved to the first position if necessary, in the 
  328. slave access path, so the slave
  329. fBtcl_libraryfR will be the same as the master's (its real
  330. path will still be invisible to the slave though). 
  331. In order that auto-loading works the same for the slave and
  332. the master in this by default case, the first-level
  333. sub directories of each directory in the master fBauto_pathfR will
  334. also be added (if not already included) to the slave access path.
  335. You can always specify a more
  336. restrictive path for which sub directories will never be searched by 
  337. explicitly specifying your directory list with the fB-accessPathfR flag
  338. instead of relying on this default mechanism.
  339. .PP
  340. When the fIaccessPathfR is changed after the first creation or
  341. initialization (i.e. through fBinterpConfigure -accessPath fRfIlistfR),
  342. an fBauto_resetfR is automatically evaluated in the safe interpreter
  343. to synchronize its fBauto_indexfR with the new token list.
  345. .SH "SEE ALSO"
  346. interp(n), library(n), load(n), package(n), source(n), unknown(n)
  347.  
  348. .SH KEYWORDS
  349. alias, auto-loading, auto_mkindex, load, master interpreter, safe
  350. interpreter, slave interpreter, source