web commit by BrandenRobinson: Explain why letting users specify regexes is bad.

author www-data <www-data@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>

Fri, 17 Mar 2006 16:51:14 +0000 (16:51 +0000)

committer www-data <www-data@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>

Fri, 17 Mar 2006 16:51:14 +0000 (16:51 +0000)
author www-data <www-data@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>
Fri, 17 Mar 2006 16:51:14 +0000 (16:51 +0000)
committer www-data <www-data@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>
Fri, 17 Mar 2006 16:51:14 +0000 (16:51 +0000)
diff --git a/doc/todo.mdwn b/doc/todo.mdwn

index d4abc832d0a6f17fdb5005cd3c039fcab7e14146..d7326854efd2c79c5b0481072e82825137c693d3 100644 (file)
--- a/doc/todo.mdwn
+++ b/doc/todo.mdwn
@@ -23,6 +23,10 @@ is built. (As long as all changes to all pages is ok.)
       explicitly named pages would be desirable.
    2. I think that since we're using Perl on the backend, being able to
       let users craft their own arbitrary regexes would be good.
       explicitly named pages would be desirable.
    2. I think that since we're using Perl on the backend, being able to
       let users craft their own arbitrary regexes would be good.
+
+     Joey points out that this is actually a security hole, because Perl
+     regexes let you embed (arbitrary?) Perl expressions inside them.  Yuck!
+
    3. Of course if you do that, you want to have form processing on the user
       page that lets them tune it, and probably choose literal or glob by
       default.
    3. Of course if you do that, you want to have form processing on the user
       page that lets them tune it, and probably choose literal or glob by
       default.
author	www-data <www-data@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>
	Fri, 17 Mar 2006 16:51:14 +0000 (16:51 +0000)
committer	www-data <www-data@0fa5a96a-9a0e-0410-b3b2-a0fd24251071>
	Fri, 17 Mar 2006 16:51:14 +0000 (16:51 +0000)