Vlákno názorů k článku
Kritická zranitelnost v NumPy od jxjl - On problém nebude v numpy, ale v pickle...

On problém nebude v numpy, ale v pickle samotném. Poměrně často, když vidím někoho psát o pickle, tak k tomu dodává pozor pickle není dakrát bezpečné, datové soubory mohou obsahovat spustitelný kód, pokud to lze, použijte něco jiného.

Mam pocit ze v offic dokumentaci k pickle je giganticky alert ze neni bezpecne pres to nahravat soubory z neznameho zdroje...

To není problém/chyba, to je feature. Smyslem pickle je umožnit ukládat a nahrávat věci tak jak jsou, včetně kódu. Pokud chceš ukládat jenom data, použij něco jiného.

Ano, pickle neni bezpecne.A v dokumentaci se v cervenem alertu varuje:

Warning The pickle module is not secure against erroneous or maliciously constructed data. Never unpickle data received from an untrusted or unauthenticated source.

https://docs.python.org/3/library/pickle.html

Je to urcene na to, aby sis mohl serializovat svoje data, treba pri posilani mezi svymi procesy rourou. Neni to urceno k ukladani a nacitani cizich dat. Takze chyba neni v pickle, ale v jeho chybnem pouziti. To same se tyka treba funkce eval(). Jsou to silne ale nebezpecne nastroje, ktere se musi umet pouzivat.