home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / os / os2 / apps / 5917 < prev    next >
Encoding:
Internet Message Format  |  1992-09-08  |  3.3 KB
  1. Xref: sparky comp.os.os2.apps:5917 comp.security.misc:1171
  2. Path: sparky!uunet!haven.umd.edu!darwin.sura.net!spool.mu.edu!agate!stanford.edu!rutgers!netnews.upenn.edu!msuinfo!uchinews!ellis!sip1
  3. From: sip1@ellis.uchicago.edu (Timothy F. Sipples)
  4. Newsgroups: comp.os.os2.apps,comp.security.misc
  5. Subject: Re: Self-Extracting Binaries dangerous? (Was: REXXShip: Self-Extracting UUEncode!)
  6. Message-ID: <1992Sep6.175645.24543@midway.uchicago.edu>
  7. Date: 6 Sep 92 17:56:45 GMT
  8. References: <1992Sep6.025645.5101@midway.uchicago.edu> <18cf8rINNmpl@agate.berkeley.edu> <dank.715798089@blacks>
  9. Sender: news@uchinews.uchicago.edu (News System)
  10. Reply-To: sip1@midway.uchicago.edu
  11. Organization: Dept. of Econ., Univ. of Chicago
  12. Lines: 52
  13.  
  14. In article <dank.715798089@blacks> dank@blacks.jpl.nasa.gov (Daniel R. Kegel) writes:
  15. >Is it just me, or do other people shudder at the thought of
  16. >self-extracting binary archives?  They seem dangerous to me
  17. >because they involve running a raw program straight off the net
  18. >without any visibility as to what it's doing.
  19. >It seems safer to give everybody a copy of, say, uudecode.  Perhaps
  20. >IBM could include it in their next release as a security enhancement
  21. >for those folks who would otherwise blindly run things off the net.
  22.  
  23. Not really (unless you consider GNU source code dangerous -- I suppose
  24. some people do :-)).
  25.  
  26. The reason is that the REXXShip format, while self extracting,
  27. contains a wrapper in REXX code (and a short one, at that).  You can
  28. look at the wrapper, compare it, and make sure nothing funny is going
  29. on.  It is about a dozen lines.  It is roughly analogous to someone
  30. handing you a twelve line program.  If you are concerned about
  31. security then you just examine the source code (which this is) to make
  32. sure nothing strange is going on.
  33.  
  34. This isn't a self extracting binary file (archive), which is a totally
  35. different beast.  If someone hands you a file called FORMAT11.EXE it
  36. could be a self extracting archive.  Or could it do something more
  37. dangerous?  You just don't know.  Unless you take the file and spend
  38. hours with a code examiner of some sort, disassembling the code, you
  39. won't know what it does until you run it.  REXXShip is definitely not
  40. like this.
  41.  
  42. Arguably REXXShip format is safer than UUEncoded format since the
  43. UUDecode utility itself could have been altered by a devious person.
  44. REXXShip at least elminates one step.  Granted, it doesn't solve the
  45. problem of viruses or other maladies residing in the binary file it
  46. produces, but it doesn't run that binary file (unlike a binary format
  47. self extracting archive, which can run its contents -- or do anything
  48. else).
  49.  
  50. Good point, though, and I'm glad you brought it up.
  51.  
  52. Incidently, a much more efficient version of REXXShip is awaiting just
  53. a few finishing touches.  It uses a modified XXEncoding type scheme so
  54. that the binary file only grows by about four thirds (plus overhead)
  55. instead of double after encoding.
  56.  
  57. Also, the REXXShip format does not preclude the use of a standalone
  58. decoder.  Time permitting I'll be writing a standalone decoder (for
  59. reasons of speed), so people will have flexibility.
  60.  
  61. -- 
  62. Timothy F. Sipples      | The OS/2 FREQ. ASKED QUESTIONS LIST is avail. from
  63. sip1@ellis.uchicago.edu | 128.123.35.151, anonymous ftp, in /pub/os2/all/faq.
  64. Dept. of Econ., Univ.   | Or from LISTSERV@BLEKUL11.BITNET (send "HELP").
  65. of Chicago, 60637       | Family Values Means a Job
  66.