[Lista Criptica] curl | bash i copy-paste és MOLT perillós!

Delete this message

Reply to this message
Autor: guifipedro
Data:  
A: list_criptica
Assumpte: [Lista Criptica] curl | bash i copy-paste és MOLT perillós!
copio-pego de llista sudoers-bcn [1]. LO FLIPAS

Així en resum:
- en el copy paste te la poden fotre
- quan veus el script versus quan l'estàs instal·lant, te'l poden canviar

Cal formació en aquest àmbit també!




Contingut:

Ahir, de passada, va sortir el tema que era una mala pràctica usar els
instal·ladors d'una sola línia trets d'internet (per exemple, curl -s
example.com/install | sh [1]) , perquè:

1. Si la pàgina no va per HTTPS, algú podria modificar el codi que
pretenem executar
2. No sabem què fa (l'hauriem de descarregar, mirar, i executar, en
passos separats).
3. No me'n recordo de l'altre punt :D

M'agradaria afegir que:
1. Si es talla la connexió per qualsevol motiu, la instal·lació pot
quedar interrompuda si hi ha wgets pel mig i podem no adonar-nos-en.
2. No podem confiar en el copiar i enganxar. Un exemple (podeu
copiar-lo ;-) és https://thejh.net/misc/website-terminal-copy-paste

[1]
https://jordaneldredge.com/blog/one-way-curl-pipe-sh-install-scripts-can-be-dangerous/

I a banda de detectar el 'user agent' també es pot diferenciar una
descàrrega a disc de un 'curl ... | bash' pel temps que tarda bash en
empassar-se la descàrrega.

https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/

[1] https://groups.google.com/forum/#!forum/sudoers-barcelona