匿名ユーザーにあらゆる種類のファイルをアップロードさせることは、特にコードの場合、危険である可能性があることを理解します。しかし、私はユーザーが自分のWebサイトにカスタムAIスクリプトをアップロードできるようにする考えがあります。私はPythonで書いたオンラインWebゲームで、他のAIと競合できるようにテンプレートを提供します。アップロードされたスクリプトやゲームのクライアント側実行のためのソリューションを使って、ユーザーが他のファイルを侵害したり悪意のあるコードを侵入したりしないようにするソリューションが必要です。助言がありますか? (私は私のPythonスクリプトで動作するソリューションを探しています)ユーザーに実行のためのPythonスクリプトをアップロードさせる
は、ユーザーのための豊富なAPIを持っており、(そのようなインポート文など)のアップロード時に他のすべてのコールを取り除きます。また、ファイルI/Oと関係のあるものは全て削除してください。
(あなたが何かを見逃していなかったことを確認するために、複数のパスをしたいかもしれません。)
'exec"、 "imp"、 "ort os"のいずれかのexecはありません。 –
はい。
あなたのサーバーではなく、クライアントのスクリプトを作成できるようにします。
Pythonを使用すると、pythonサンドボックスを作成できます。サンドボックスは、あなたがスクリプトを実行できる独立した、おそらく安全なPython環境です。詳細情報はこちら
http://codespeak.net/pypy/dist/pypy/doc/sandbox.html
「理論的にはそれは悪い何かを行うか、このプロンプトからマシン上のランダムなファイルを読み込むことは不可能です。」
は、「これはscript.pyは、それがHTTPサーバーによって行われ、例えば場合、いくつかのランダムな信頼できないソースから来ている場合でも行うことが安全です。」他のセーフガードと一緒に
、あなたはまた、コードの人のレビューを組み込むことができます。経験の一部が他のメンバーのソリューションをレビューし、誰もがPython開発者であると仮定すると、特定の数のメンバーがそれに投票するまで、新しいコードをアクティブにすることはできません。あなたのユーザーは悪質なコードを承認しません。
PyPyは、おそらくサーバー側ではうってつけの賭けですが、Pythonのバックエンドでよく定義されたAPIとデータ形式を提供し、ユーザーにAIとロジックをJavascriptで実装させるようにします彼らのブラウザ。インタラクションは次のようになります:各マッチ/ターン/ etcについて、データをブラウザに適切な形式で渡し、データを受け取り、ロジックを実装できるJavaScriptテンプレートを提供し、クライアントが呼び出せるWeb APIを提供します(ブラウザ)を使用して目的のアクションを実行します。そうすれば、セキュリティやサーバーのパワーを心配する必要はありません。
あなたのプロジェクトはクールに聞こえます。 –
フィードバックありがとうございました皆さん – AlbertoPL
良いプロジェクト!!!! –