libcurl-security.3: be careful of setuid

author Daniel Stenberg <daniel@haxx.se>

Mon, 26 Apr 2021 09:15:55 +0000 (11:15 +0200)

committer Daniel Stenberg <daniel@haxx.se>

Tue, 27 Apr 2021 05:51:42 +0000 (07:51 +0200)
author Daniel Stenberg <daniel@haxx.se>
Mon, 26 Apr 2021 09:15:55 +0000 (11:15 +0200)
committer Daniel Stenberg <daniel@haxx.se>
Tue, 27 Apr 2021 05:51:42 +0000 (07:51 +0200)
diff --git a/docs/libcurl/libcurl-security.3 b/docs/libcurl/libcurl-security.3

index b4907ac22a79c57c4549809f839250e0e149b9c5..ada378192e8096ae5033bd6514696aac687d7b67 100644 (file)
--- a/docs/libcurl/libcurl-security.3
+++ b/docs/libcurl/libcurl-security.3
@@ -371,3 +371,15 @@ sensitive data.
  To avoid this problem, you must of course use your common sense. Often, you
  can just edit out the sensitive data or just search/replace your true
  information with faked data.
+.SH "Setuid applications using libcurl"
+libcurl-using applications that set the 'setuid' bit to run with elevated or
+modified rights also implicitly give that extra power to libcurl and this
+should only be done after very careful considerations.
+
+Giving setuid powers to the appliction means that libcurl can save files using
+those new rights (if for example the `SSLKEYLOGFILE` environment variable is
+set). Also: if the application wants these powers to read or manage secrets
+that the user is otherwise not able to view (like credentials for a login
+etc), it should be noted that libcurl still might understand proxy environment
+variables that allow the user to redirect libcurl operations to use a proxy
+controlled by the user.
author	Daniel Stenberg <daniel@haxx.se>
	Mon, 26 Apr 2021 09:15:55 +0000 (11:15 +0200)
committer	Daniel Stenberg <daniel@haxx.se>
	Tue, 27 Apr 2021 05:51:42 +0000 (07:51 +0200)