„Aber linux ist doch sicher“ des tages

Wenn man so doof ist…

# curl -s https://irgendein.url.example.com/blah/ | bash -s
# _

…irgendwelchen kohd aus einer webseit mit root-rechten auszuführen, darf man sich nicht wundern, wenn man hinterher einen trojaner auf seinem rechner hat. Gegen dummheit hilft selbst linux nicht.

Advertisements

2 Antworten zu “„Aber linux ist doch sicher“ des tages

  1. Richtig. Das Pipe-Kommando ist Ausdruck der Überzeugung, nichts prüfen zu wollen oder zu können. So etwas zu empfehlen, ist unseriös.

    Allerdings liegt das Herunterladen eines Tarballs und nachfolgendes

    ./configure
    make
    sudo make install

    ohne weiteren Blick auf den Kode in derselben Kategorie blinden Vertrauens.

    Es ist weniger die Anleitung als die Erfahrung, die uns lehrt, dass man vor und zwischen den Schritten einige Blicke wirft, Optionen prüft, ohne Privilegien in ein Staging-Verzeichnis installiert, und dass man das gewonnene Baurezept besser im Kontext eines Paketmanagers verwendet.

  2. Beispiele für solche „bequemen“, aber m. E. unverantwortlichen Einzeiler:
    Homebrew (und gerade die sollten es besser wissen)
    Einstein Toolkit (ETK) (anscheinend wegen der Zielgruppe).
    Die ETK-Macher richten sich anscheinend eher an Forscher mit geringen Kenntnissen in Sachen SW-Infrastruktur. So machen die Build-Skripte auch einen automatischen (lokalen) Git-Commit nach jedem Build. Git-Commits zu automatisieren, widerstrebt mir ja, aber aus deren Sicht ist es wahrscheinlich besser, den Forschern so etwas aufzudrängen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s