Python pickle безопасно ли?

Question

[kAIST]

Есть некое приложение, в котором предусмотрен обмен данными между пользователями, а так же выгрузка данных на сайт. Приложение написано на python, данные сериализуются с помощью cPickle.

Безопасен ли такой подход, и не может ли злоумышленник засунуть туда код, который выполнится? Пятками чувствую что да, но доказать не могу )

Answer 1

[nuit]

docs.python.org/library/pickle.html
«Warning: The pickle module is not intended to be secure against erroneous or maliciously constructed data. Never unpickle data received from an untrusted or unauthenticated source.»

Comments

[kAIST]

Спасибо, а слона (доки) я то и не приметил. Буду думать теперь как максимально не велосипедно и стандартно сериализовать словари и списки.

[nuit]

а JSON не подходит?

[kAIST]

JSON давится данными из Image.fromstring (
Решил их разделить: картинки в zip архив, туда же json.

[Анатолий]

JSON + base64

Answer 2

[northicewind]

Можете попробовать Google protocol buffers хоть реализация на python и моложе чем на C++, но работает очень неплохо.

Comments

[kAIST]

Интересная штука, спасибо, но хотелось бы поменьше зависимостей. На windows то можно собрать все с py2exe, а на linux не хочется требовать устанавливать лишнее.