<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Fri, Dec 18, 2015 at 4:40 PM Thurston, John R (DOA) <<a href="mailto:john.thurston@alaska.gov">john.thurston@alaska.gov</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Better, this behavior should be disallowed by default and enabled only by explicit action on the client. If you control the client, then it will be no big deal to enable on each host. If you don't control the client, then it should default to a closed configuration.</blockquote><div><br></div><div>I would agree, if backticks were a new feature.  But we don't want to break things for installations that make use of this.  Perhaps change the default for a major release?</div><div><br></div><div>Also, I think the "secure" form of execution should be enhanced to be able to do globbing.  In that way, many people will be able to convert from this:</div><div><br></div><div>  file:`echo /var/log/*/somefile`</div><div><br></div><div>to this:</div><div><br></div><div>  file:/var/log/*/somefile</div><div><br></div><div>without executing anything.</div><div><br></div></div></div>