Ouais, et on voit ce que ça donne: un beau malware dans un dépôt qui propose d'ajouter sa clef, ce que tout le monde s'empresse de faire. Ça marche nickel. Un dépot signé avec GPG, et hop! sans taper de passphrase (le truc chiant pour indiquer que toi, humain, tu signes la clef GPG d'un autre humain), tu demandes à ton système de lui faire confiance.
"Vois-tu, ho système, dès que je suis root, je te dirai de faire confiance à ce dépôt, et d'exécuter en tant que root les scripts qu'il contient."
Faudrait redescendre sur terre, et oui ça concerne aussi madame Michu: ajouter la clef d'un dépôt, c'est comme confier les droits roots à celui ou ceux qui gèrent le dépôt. Puisqu'il peut nous proposer des scripts qu'on téléchargera et exécutera en tant que root en toute confiance.
On ne peut pas auditer soi-même tout le code qu'on utilise, mais entre faire confiance aux gens de Debian, et faire confiance aux gens de Debian + à ceux de 36 000 dépots tiers montés il y a 2 ans par d'illustres inconnus, il y a une marge, non?
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Au contraire
Posté par Grunt . En réponse au journal MALWARE LINUX. Évalué à 2.
"Vois-tu, ho système, dès que je suis root, je te dirai de faire confiance à ce dépôt, et d'exécuter en tant que root les scripts qu'il contient."
Faudrait redescendre sur terre, et oui ça concerne aussi madame Michu: ajouter la clef d'un dépôt, c'est comme confier les droits roots à celui ou ceux qui gèrent le dépôt. Puisqu'il peut nous proposer des scripts qu'on téléchargera et exécutera en tant que root en toute confiance.
On ne peut pas auditer soi-même tout le code qu'on utilise, mais entre faire confiance aux gens de Debian, et faire confiance aux gens de Debian + à ceux de 36 000 dépots tiers montés il y a 2 ans par d'illustres inconnus, il y a une marge, non?
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.