• # Résumé ?

    Posté par (site web personnel) . En réponse au lien "wget http://foo.com/command.sh | bash" considered harmful. Évalué à 10. Dernière modification le 19 octobre 2018 à 15:08.

    • faut pas copier/coller de commande depuis un site web. Cf http://thejh.net/misc/website-terminal-copy-paste
    • faut pas prendre de l'info sensible d'un site web en http (pour éviter un MiTM qui modifierait le contenu)
    • ça ne suffit pas prendre de l'info d'un site web en https : en fait n'importe qui peut avoir un certificat valide, donc faut garantir que c'est le bon domaine...
    • même si on a le bon domaine, faudrait que ça soit vraiment lui qui réponde (DNSSEC? proxy?)
    • et quand on a tout ça, bon ben faut pas exécuter directement le contenu dans un shell sans réfléchir... (encore moins avec sudo...)
    • et ça serait mieux si le contenu était signé GPG, que la clé soit de confiance et qu'un café soit offert.

    (un exemple sur rvm.io: \curl -sSL https://get.rvm.io | bash -s stable )