Imagina que tengo el siguiente extremo de rieles:
def configure_welcome_message
ENV['myapp_welcome_message'] = params[:welcome_message]
end
Aparte del hecho de que esta es una forma insana de establecer un mensaje de bienvenida, ¿hay algo intrínsecamente inseguro acerca de la exposición de una variable de entorno personalizada a un parámetro no autorizado?
En este caso, no es una ruta a un ejecutable, ni siquiera una variable 'importante', es solo una cadena que tal vez se muestra en algún lugar. ¿Puede una persona con conocimientos aprovechar este punto final para algún tipo de acceso de shell remoto, o para seguir modificando el ENV más allá de la variable que estoy configurando explícitamente? ¿O cualquier otra implicación de seguridad?
Nota: Reconozco que puedes establecer el 'mensaje de bienvenida' en algo engañoso para los usuarios, pero estoy hablando de seguridad de back-end.