<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 18, 2015 at 7:40 PM, Warren Young <span dir="ltr"><<a href="mailto:wyml@etr-usa.com" target="_blank">wyml@etr-usa.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On Mar 18, 2015, at 9:07 AM, Yitzchak Scott-Thoennes <<a href="mailto:sthoenna@gmail.com">sthoenna@gmail.com</a>> wrote:<br>
><br>
> On Wed, Mar 18, 2015 at 7:55 AM, Warren Young <<a href="mailto:wyml@etr-usa.com">wyml@etr-usa.com</a>> wrote:<br>
>> On Mar 16, 2015, at 11:58 PM, Gabor Szabo <<a href="mailto:gabor@szabgab.com">gabor@szabgab.com</a>> wrote:<br>
>>> Actually I think I know what I'd like, regardless the defaults: I'd like the default configuration files to contain commented out entries for every (or every important) parameter with short explanation and/or with link to the longer explanation.<br>
>><br>
>> So you want roadblocks.  You want the dancer helper app to generate an app that won’t run at all until you go in and hack on some configuration files.  Do I have that right?<br>
><br>
> No, you don't.  Read it again?<br>
<br>
</span>Yes, I know what it says.  I also know what he asked for originally, and what the title of this thread is.<br>
<br>
I don’t see how it makes Dancer more secure to point users to the docs from a configuration file when those docs are already present.  The only way a configuration file change can make Dancer more secure is to either bind to localhost, or turn off the listener entirely, in order to force users to RTFM before they can get a new Dancer app to do what they almost certainly actually want.<br>
<br>
Regardless, the claim that Dancer is “insecure” by default has yet to be demonstrated.  Show me an attack on a default Dancer app, and we can talk about it.  Simply pointing out that it listens on a public IP is not a demonstration of insecurity.<br>
<div class=""><div class="h5"><br></div></div></blockquote><div><br></div><div>The title of this message probably should have been a question or phrased in some other way, but the suggestion to have commented out configuration options? How would these entries in the configuration file constitute a roadblock?</div><div><br></div><div># Enable the following line to limit the server to only listen to localhost:</div><div><span style="font-size:12.8000001907349px"># server: "127.0.0.1"</span><br></div><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px"># Enable the following line to turn on file-based session management:</span></div><div><span class=""># sess</span><span class="">ion</span><span class="">:</span><span class=""> </span><span class="">"YAML"</span></div><div><br></div><div><br></div><div>Gabor<br></div><div><br></div></div>
</div></div>