mirror of
https://git.lyx.org/repos/lyx.git
synced 2025-01-18 21:45:24 +00:00
Spanish Customization.lyx: update/correction by Ignacio
git-svn-id: svn://svn.lyx.org/lyx/lyx-devel/branches/BRANCH_1_6_X@29548 a592a061-630c-0410-9148-cb99ea01b6c8
This commit is contained in:
parent
01e2de4d43
commit
498532a4c6
@ -13596,6 +13596,19 @@ Es relativamente fácil añadir en LyX definiciones personalizadas de plantillas
|
||||
externas.
|
||||
Sin embargo, hay que ser consciente de que hacer esto de manera descuidada
|
||||
generará muy probablemente un agujero de seguridad fácil de explotar.
|
||||
Así pues, antes de hacer esto, lee por favor la discusión sobre seguridad
|
||||
en la sección
|
||||
\begin_inset space ~
|
||||
\end_inset
|
||||
|
||||
|
||||
\begin_inset CommandInset ref
|
||||
LatexCommand ref
|
||||
reference "sec:Discusión-sobre-seguridad"
|
||||
|
||||
\end_inset
|
||||
|
||||
|
||||
\end_layout
|
||||
|
||||
\begin_layout Standard
|
||||
@ -15154,5 +15167,104 @@ status collapsed
|
||||
necesita el nombre relativo para reescribir el contenido del archivo.
|
||||
\end_layout
|
||||
|
||||
\begin_layout Section
|
||||
Discusión sobre seguridad
|
||||
\begin_inset CommandInset label
|
||||
LatexCommand label
|
||||
name "sec:Discusión-sobre-seguridad"
|
||||
|
||||
\end_inset
|
||||
|
||||
|
||||
\end_layout
|
||||
|
||||
\begin_layout Standard
|
||||
La función material externo interactúa con muchos programas externos y lo
|
||||
hace de forma automática, así que hemos de tener en cuenta las implicaciones
|
||||
de seguridad que esto conlleva.
|
||||
En particular, puesto que tienes la opción de incluir tus propios archivos
|
||||
y/o cadenas de parámetros y estos se expanden en un comando, parece posible
|
||||
crear un documento malicioso que ejecute comandos arbitrarios cuando un
|
||||
usuario ve o imprime el documento.
|
||||
Esto es algo que definitivamente queremos evitar.
|
||||
|
||||
\end_layout
|
||||
|
||||
\begin_layout Standard
|
||||
Sin embargo, dado que los comandos de material externo se especifican solo
|
||||
en el archivo de configuración de la plantilla, no hay problemas de seguridad
|
||||
si LyX está adecuadamente configurado solo con plantillas seguras.
|
||||
Esto es así porque los programas externos se invocan con la llamada al
|
||||
sistema
|
||||
\begin_inset Flex CharStyle:Code
|
||||
status collapsed
|
||||
|
||||
\begin_layout Plain Layout
|
||||
execvp
|
||||
\end_layout
|
||||
|
||||
\end_inset
|
||||
|
||||
más bien que con la llamada
|
||||
\begin_inset Flex CharStyle:Code
|
||||
status collapsed
|
||||
|
||||
\begin_layout Plain Layout
|
||||
system
|
||||
\end_layout
|
||||
|
||||
\end_inset
|
||||
|
||||
, de modo que no es posible ejecutar comandos arbitrarios desde la sección
|
||||
del nombre de archivo o de parámetros mediante el shell.
|
||||
\end_layout
|
||||
|
||||
\begin_layout Standard
|
||||
Esto implica además que hay restricciones en las cadenas de comandos que
|
||||
puedes usar en las plantillas de material externo.
|
||||
En particular, las tuberías y la redirección no están fácilmente disponibles.
|
||||
Esto debe ser así para que LyX permanezca seguro.
|
||||
Si quieres usar algunas características de shell, deberías escribir un
|
||||
guión seguro para hacerlo de manera controlada, y después invocar el guión
|
||||
desde la cadena de comandos.
|
||||
\end_layout
|
||||
|
||||
\begin_layout Standard
|
||||
Es posible diseñar una plantilla que interactúe directamente con el shell,
|
||||
pero puesto que esto permitiría a un usuario malicioso ejecutar comandos
|
||||
arbitrarios escribiendo nombres de archivo y/o parámetros astutos, generalmente
|
||||
recomendamos usar solo guiones seguros que trabajen con la llamada
|
||||
\begin_inset Flex CharStyle:Code
|
||||
status collapsed
|
||||
|
||||
\begin_layout Plain Layout
|
||||
execvp
|
||||
\end_layout
|
||||
|
||||
\end_inset
|
||||
|
||||
al sistema en forma controlada.
|
||||
Por supuesto, para usar en un entorno controlado, puede ser tentador caer
|
||||
en el uso de guiones de shell ordinarios.
|
||||
Si lo haces así, sé consciente de que vas a suministrar un agujero se seguridad
|
||||
fácilmente explotable en tu sistema.
|
||||
Evidentemente, es de razón que tales plantillas inseguras nunca serán incluidas
|
||||
en la distribución estándar de LyX, aunque alentamos a la gente a que,
|
||||
a la usanza del software libre, envíe nuevas plantillas.
|
||||
No obstante, LyX nunca tendrá plantillas inseguras tal y como se distribuye
|
||||
por los canales oficiales.
|
||||
\end_layout
|
||||
|
||||
\begin_layout Standard
|
||||
Incluir material externo suministra mucha potencia y has de ser cuidadoso
|
||||
en no introducir riesgos de seguridad a costa de esta potencia.
|
||||
Un sutil error en una simple línea en un guión aparentemente inocente puede
|
||||
abrir la puerta a graves problemas de seguridad.
|
||||
Así, si no comprendes totalmente estos asuntos, recomendamos consultar
|
||||
a un profesional entendido en seguridad o al equipo de desarrollo de LyX
|
||||
si tienes dudas acerca de si una plantilla dada es o no segura.
|
||||
Y hazlo antes de usarla en un entorno no controlado.
|
||||
\end_layout
|
||||
|
||||
\end_body
|
||||
\end_document
|
||||
|
Loading…
x
Reference in New Issue
Block a user