home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / urn / urn-archives / urn-ietf.archive.9608 / 000039_owner-urn-ietf _Tue Aug 27 16:11:11 1996.msg < prev    next >
Internet Message Format  |  1997-02-19  |  2KB
  1. Received: (from daemon@localhost) by services.bunyip.com (8.6.10/8.6.9) id QAA23570 for urn-ietf-out; Tue, 27 Aug 1996 16:11:11 -0400
  2. Received: from mocha.bunyip.com (mocha.Bunyip.Com [192.197.208.1]) by services.bunyip.com (8.6.10/8.6.9) with SMTP id QAA23565 for <urn-ietf@services.bunyip.com>; Tue, 27 Aug 1996 16:11:05 -0400
  3. Received: from acl.lanl.gov by mocha.bunyip.com with SMTP (5.65a/IDA-1.4.2b/CC-Guru-2b)
  4.         id AA08587  (mail destined for urn-ietf@services.bunyip.com); Tue, 27 Aug 96 16:10:56 -0400
  5. Received: from legiron.acl.lanl.gov (legiron.acl.lanl.gov [128.165.147.188]) by acl.lanl.gov (8.7.3/8.7.3) with SMTP id OAA11925; Tue, 27 Aug 1996 14:10:51 -0600 (MDT)
  6. Message-Id: <2.2.32.19960827201629.006de180@acl.lanl.gov>
  7. X-Sender: rdaniel@acl.lanl.gov
  8. X-Mailer: Windows Eudora Pro Version 2.2 (32)
  9. Mime-Version: 1.0
  10. Content-Type: text/plain; charset="us-ascii"
  11. Date: Tue, 27 Aug 1996 14:16:29 -0600
  12. To: Martin Hamilton <martin@mrrl.lut.ac.uk>, urn-ietf@bunyip.com
  13. From: Ron Daniel <rdaniel@acl.lanl.gov>
  14. Subject: Re: [URN] use of info gleaned from DNS
  15. Sender: owner-urn-ietf@services.bunyip.com
  16. Precedence: bulk
  17. Reply-To: Ron Daniel <rdaniel@acl.lanl.gov>
  18. Errors-To: owner-urn-ietf@bunyip.com
  19.  
  20. Thus spoke Martin Hamilton (at least at 08:33 PM 8/27/96 +0100)
  21. >I don't think there's any mention of this in the current NAPTR
  22. >draft, but it might be worth popping a note into the security
  23. >considerations section about the potential danger of using info
  24. >gotten from the DNS without any checking/santizing ?
  25. >
  26. >e.g. don't just invoke a program using info from an NAPTR RR as
  27. >command line arguments, because there could be some nasty
  28. >characters lurking in there
  29.  
  30. Right, good point. I'll do that.
  31.  
  32. As a clarification, the regexp field is not intended
  33. to be given to programs on the command line. It is intended to be
  34. given to a regular expression library that the client has linked to.
  35. However, client implementors will do what they will do, so I will
  36. warn them not to pass the string off to Perl or something similar
  37. without checking it for sanity.
  38.  
  39. Regards,
  40.  
  41. Ron Daniel Jr.                       email: rdaniel@lanl.gov
  42. Advanced Computing Lab               voice: +1 505 665 0597
  43. MS B287                                fax: +1 505 665 4939
  44. Los Alamos National Laboratory        http://www.acl.lanl.gov/~rdaniel/
  45. Los Alamos, NM, USA  87545       tautology:"Conformity is very popular"
  46.