faut pas prendre de l'info sensible d'un site web en http (pour éviter un MiTM qui modifierait le contenu)
ça ne suffit pas prendre de l'info d'un site web en https : en fait n'importe qui peut avoir un certificat valide, donc faut garantir que c'est le bon domaine...
même si on a le bon domaine, faudrait que ça soit vraiment lui qui réponde (DNSSEC? proxy?)
et quand on a tout ça, bon ben faut pas exécuter directement le contenu dans un shell sans réfléchir... (encore moins avec sudo...)
et ça serait mieux si le contenu était signé GPG, que la clé soit de confiance et qu'un café soit offert.
(un exemple sur rvm.io: \curl -sSL https://get.rvm.io | bash -s stable )
# Résumé ?
Posté par Benoît Sibaud (site web personnel) . En réponse au lien "wget http://foo.com/command.sh | bash" considered harmful. Évalué à 10. Dernière modification le 19 octobre 2018 à 15:08.
(un exemple sur rvm.io:
\curl -sSL https://get.rvm.io | bash -s stable)