From 498532a4c6d332083c31d4c39a3abc6750d26e04 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Uwe=20St=C3=B6hr?= Date: Tue, 5 May 2009 21:46:25 +0000 Subject: [PATCH] Spanish Customization.lyx: update/correction by Ignacio git-svn-id: svn://svn.lyx.org/lyx/lyx-devel/branches/BRANCH_1_6_X@29548 a592a061-630c-0410-9148-cb99ea01b6c8 --- lib/doc/es/Customization.lyx | 112 +++++++++++++++++++++++++++++++++++ 1 file changed, 112 insertions(+) diff --git a/lib/doc/es/Customization.lyx b/lib/doc/es/Customization.lyx index 181d2cfc30..9754ef803d 100644 --- a/lib/doc/es/Customization.lyx +++ b/lib/doc/es/Customization.lyx @@ -13596,6 +13596,19 @@ Es relativamente fácil añadir en LyX definiciones personalizadas de plantillas externas. Sin embargo, hay que ser consciente de que hacer esto de manera descuidada generará muy probablemente un agujero de seguridad fácil de explotar. + Así pues, antes de hacer esto, lee por favor la discusión sobre seguridad + en la sección +\begin_inset space ~ +\end_inset + + +\begin_inset CommandInset ref +LatexCommand ref +reference "sec:Discusión-sobre-seguridad" + +\end_inset + + \end_layout \begin_layout Standard @@ -15154,5 +15167,104 @@ status collapsed necesita el nombre relativo para reescribir el contenido del archivo. \end_layout +\begin_layout Section +Discusión sobre seguridad +\begin_inset CommandInset label +LatexCommand label +name "sec:Discusión-sobre-seguridad" + +\end_inset + + +\end_layout + +\begin_layout Standard +La función material externo interactúa con muchos programas externos y lo + hace de forma automática, así que hemos de tener en cuenta las implicaciones + de seguridad que esto conlleva. + En particular, puesto que tienes la opción de incluir tus propios archivos + y/o cadenas de parámetros y estos se expanden en un comando, parece posible + crear un documento malicioso que ejecute comandos arbitrarios cuando un + usuario ve o imprime el documento. + Esto es algo que definitivamente queremos evitar. + +\end_layout + +\begin_layout Standard +Sin embargo, dado que los comandos de material externo se especifican solo + en el archivo de configuración de la plantilla, no hay problemas de seguridad + si LyX está adecuadamente configurado solo con plantillas seguras. + Esto es así porque los programas externos se invocan con la llamada al + sistema +\begin_inset Flex CharStyle:Code +status collapsed + +\begin_layout Plain Layout +execvp +\end_layout + +\end_inset + + más bien que con la llamada +\begin_inset Flex CharStyle:Code +status collapsed + +\begin_layout Plain Layout +system +\end_layout + +\end_inset + +, de modo que no es posible ejecutar comandos arbitrarios desde la sección + del nombre de archivo o de parámetros mediante el shell. +\end_layout + +\begin_layout Standard +Esto implica además que hay restricciones en las cadenas de comandos que + puedes usar en las plantillas de material externo. + En particular, las tuberías y la redirección no están fácilmente disponibles. + Esto debe ser así para que LyX permanezca seguro. + Si quieres usar algunas características de shell, deberías escribir un + guión seguro para hacerlo de manera controlada, y después invocar el guión + desde la cadena de comandos. +\end_layout + +\begin_layout Standard +Es posible diseñar una plantilla que interactúe directamente con el shell, + pero puesto que esto permitiría a un usuario malicioso ejecutar comandos + arbitrarios escribiendo nombres de archivo y/o parámetros astutos, generalmente + recomendamos usar solo guiones seguros que trabajen con la llamada +\begin_inset Flex CharStyle:Code +status collapsed + +\begin_layout Plain Layout +execvp +\end_layout + +\end_inset + + al sistema en forma controlada. + Por supuesto, para usar en un entorno controlado, puede ser tentador caer + en el uso de guiones de shell ordinarios. + Si lo haces así, sé consciente de que vas a suministrar un agujero se seguridad + fácilmente explotable en tu sistema. + Evidentemente, es de razón que tales plantillas inseguras nunca serán incluidas + en la distribución estándar de LyX, aunque alentamos a la gente a que, + a la usanza del software libre, envíe nuevas plantillas. + No obstante, LyX nunca tendrá plantillas inseguras tal y como se distribuye + por los canales oficiales. +\end_layout + +\begin_layout Standard +Incluir material externo suministra mucha potencia y has de ser cuidadoso + en no introducir riesgos de seguridad a costa de esta potencia. + Un sutil error en una simple línea en un guión aparentemente inocente puede + abrir la puerta a graves problemas de seguridad. + Así, si no comprendes totalmente estos asuntos, recomendamos consultar + a un profesional entendido en seguridad o al equipo de desarrollo de LyX + si tienes dudas acerca de si una plantilla dada es o no segura. + Y hazlo antes de usarla en un entorno no controlado. +\end_layout + \end_body \end_document