Нет, это совсем не то же самое. При скачивании исходников вы как правило скачиваете архив, к которому выложена контрольная сумма, либо который подписан закрытым ключом автора, а открытый ключ можно достать из других источников и с достаточной уверенность убедиться в том, что этот ключ именно автора. Описанный в статье порядок работы с программами является многолетний практикой в мире UNIX и подобных, доказательством этому служит повсеместное выкладывание контрольных сумм рядом с ссылкой на скачивание. Об этом вся статья.
Если архив не подписан, всегда можно написать автору, приложить контрольную сумму и спросить.
А если кто-нибудь скачивает не проверяя, ну так 99% пользователей Windows в свое время тоже так поступали, да и сейчас большинство так и делает. Но нельзя опускать руки, нужно стремиться к тому, чтобы делать правильно, тем более большинство пользователей пользуются официальными репозиториями, а там все проверки делаются за вас.
Да, это одно из решений тоже. На самом деле busybox и grub тоже не лазейки, а вполне себе хорошие решения, но есть как минимум одно решение, которое работает даже если нет запущенного питона, busybox, и перезагружаться нельзя.
Статью писать не собирался, пока меня к этому не подтолкнул shanker. Надрывный тон был в комментарии, в статье его нет.
>Так что соразмерной реакцией было бы прислать автору pull-request из двух строчек…
Нет, задача тут совершенно не в том, чтобы наехать на предыдущую статью, она только пример. Задача — рассказать людям о том, как правильно делать. К тому же вы предлагаете поступить по принципу «если очень хочется, но нельзя, то все-таки можно», а это в делах связанных с безопасностью беспощадно карается угоном доступа к машинам.
Это все лазейки. Есть одно хардкорное решение. Для него нужно, чтобы у вас стояла одна из последних версий bash (может сработать и в старых, я не проверял).
Аббалдеть, кроме наплевательства на безопасность у них еще и ноджс для того, для чего нужен 1 (один) файлик на php, python или perl, которые есть везде.
Понимаете, безопасность не работает по принципу «все или ничего». Мы не можем сделать систему 100% защищенной, но это не повод опускать руки и не стараться сделать ее защищенной. Это называется Defense in depth, и говорит нам о том, что нужно стараться максимально минимизировать риски, хотя и невозможно достигнуть 100%. Запуск скрипта из интернета без проверки глазами это очень большое наплевательство на безопасность.
1. Местному провайдеру — да запросто. В соседнем посте рассказывали, как интернет-провайдеры сертификаты на гитхаб меняли.
2. Из конкретного: homakov.blogspot.ru/2013/03/hacking-github-with-webkit.html Можно было сделать все, совсем недавно. Зуб дадите, что у них больше нет таких уязвимостей?
3. Если они делают такую фигню, то да, они делают огромную глупость. Если кто-то крупный делает глупость, это не дает никакого основания ее повторять. Аппелировать к авторитету не стоит.
UNIX и подобные это не шиндовс, не надо учить людей делать глупые вещи.
Есть другой вариант, который сработает даже если у вас есть всего один прелоадер на машине, и (намеренно оставлено пустым).
Если архив не подписан, всегда можно написать автору, приложить контрольную сумму и спросить.
А если кто-нибудь скачивает не проверяя, ну так 99% пользователей Windows в свое время тоже так поступали, да и сейчас большинство так и делает. Но нельзя опускать руки, нужно стремиться к тому, чтобы делать правильно, тем более большинство пользователей пользуются официальными репозиториями, а там все проверки делаются за вас.
Бесполезна же статья или нет пусть решает сообщество.
>Так что соразмерной реакцией было бы прислать автору pull-request из двух строчек…
Нет, задача тут совершенно не в том, чтобы наехать на предыдущую статью, она только пример. Задача — рассказать людям о том, как правильно делать. К тому же вы предлагаете поступить по принципу «если очень хочется, но нельзя, то все-таки можно», а это в делах связанных с безопасностью беспощадно карается угоном доступа к машинам.
2. Из конкретного: homakov.blogspot.ru/2013/03/hacking-github-with-webkit.html Можно было сделать все, совсем недавно. Зуб дадите, что у них больше нет таких уязвимостей?
3. Если они делают такую фигню, то да, они делают огромную глупость. Если кто-то крупный делает глупость, это не дает никакого основания ее повторять. Аппелировать к авторитету не стоит.
UNIX и подобные это не шиндовс, не надо учить людей делать глупые вещи.