copio-pego de llista sudoers-bcn [1]. LO FLIPAS
Així en resum:
- en el copy paste te la poden fotre
- quan veus el script versus quan l'estàs instal·lant, te'l poden canviar
Cal formació en aquest àmbit també!
Contingut:
Ahir, de passada, va sortir el tema que era una mala pràctica usar els
instal·ladors d'una sola línia trets d'internet (per exemple, curl -s
example.com/install | sh [1]) , perquè:
1. Si la pàgina no va per HTTPS, algú podria modificar el codi que
pretenem executar
2. No sabem què fa (l'hauriem de descarregar, mirar, i executar, en
passos separats).
3. No me'n recordo de l'altre punt :D
M'agradaria afegir que:
1. Si es talla la connexió per qualsevol motiu, la instal·lació pot
quedar interrompuda si hi ha wgets pel mig i podem no adonar-nos-en.
2. No podem confiar en el copiar i enganxar. Un exemple (podeu
copiar-lo ;-) és
https://thejh.net/misc/website-terminal-copy-paste
[1]
https://jordaneldredge.com/blog/one-way-curl-pipe-sh-install-scripts-can-be-dangerous/
I a banda de detectar el 'user agent' també es pot diferenciar una
descàrrega a disc de un 'curl ... | bash' pel temps que tarda bash en
empassar-se la descàrrega.
https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/
[1]
https://groups.google.com/forum/#!forum/sudoers-barcelona
