1. Foren
  2. Kommentare
  3. Sonstiges
  4. Alle Kommentare zum Artikel
  5. › Raspberry Pi: Spieglein, Spieglein…

@golem Output von Curl direkt ausführen ist eine saudumme idee

  1. Thema

Neues Thema Ansicht wechseln


  1. @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: Peter Brülls 06.02.19 - 09:46

    Maximal wenn alles unter eigener Kontrolle ist., also auch der liefernder Service.

    Oder soll das eine Art russisch roulette sein? Dann würde ich aber noch am besten ein sudo davorschreiben.

  2. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: M.P. 06.02.19 - 09:58

    Hehe ...

  3. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: Esquilax 06.02.19 - 10:32

    Hi

    Was ist denn die Alternative?
    Ich kenne das auch von der Installation von Pi Hole und meine, dass ich da auch mal gelesen habe, dass das so nicht ideal ist.
    Ich kenne mich zugegeben nicht besonders mit Linux aus. Wenn ich mir vorher die Dateien runterlade (oder auch die Quellen lade und kompiliere) und ausführe, müsste ich ja auch erst mal in das Skript schauen, was da gemacht wird. Ein unbedarfter Bastler (und wahrscheinlich auch ich ;-) ) würde das wohl nicht machen, sondern einfach ausführen.
    Oder geht es da um ein anderes Problem?

    Danke und Grüße,
    Alex

  4. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: M.P. 06.02.19 - 10:57

    Es gibt eine Stufe von Sicherheit zwischen Code-Review des Scripts und blindem Ausführen des Scripts durch Umleitung des Curl-Outputs.

    Herunterladen, MD5 oder SHA1 etc. Hash überprüfen, und DANN das Script ohne weitere Überprüfung des Codes ausführen ...

    Dazu müsste man aber erst den Hash über einen anderen Weg bekommen können.
    Ist die Webseite gehackt, kann der Bösewicht natürlich auch einen passenden Hash zur "gepimpten" Version des Skipts hinterlassen...

    Und selbst, wenn das Install.sh Skript "sauber" ist, und der Hash stimmt, können immer noch die nachgeladenen Komponenten nicht authentisch sein ...



    1 mal bearbeitet, zuletzt am 06.02.19 10:58 durch M.P..

  5. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: torrbox 06.02.19 - 12:09

    Peter Brülls schrieb:
    --------------------------------------------------------------------------------
    > Maximal wenn alles unter eigener Kontrolle ist., also auch der liefernder
    > Service.
    >
    > Oder soll das eine Art russisch roulette sein? Dann würde ich aber noch am
    > besten ein sudo davorschreiben

    Man kann es auch übertreiben. Wenn das Zertifikat passt, wurde zumindest auf dem Übertragungsweg nichts manipuliert und wenn die Seite gehackt wurde, ist auch der Hash angepasst. Bzw. ist es sowieso pupsegal, da auf dem Raspi sonst nichts drauf ist, was abhanden kommen könnte, man also wenig zu befürchten hat.

  6. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: Peter Brülls 06.02.19 - 12:59

    Esquilax schrieb:
    --------------------------------------------------------------------------------
    > Hi
    >
    > Was ist denn die Alternative?

    Minimal runterladen und nachsehen was passieren soll. Und dann das ausführen und nicht nochmal mittels curl laden und dann pipen, weil der absendende Server durchaus feststellen kann, ob seine Ausgabe in eine Pipe geht oder nicht.

    Natürlich ist das an sich allein schon nicht ausreichend, aber man muss das Steckenlassen des Autoschlüssels ja nicht unbedingt schönreden.



    > Danke und Grüße,
    > Alex

  7. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: Komischer_Phreak 06.02.19 - 17:21

    Peter Brülls schrieb:
    --------------------------------------------------------------------------------
    > Maximal wenn alles unter eigener Kontrolle ist., also auch der liefernder
    > Service.
    >
    > Oder soll das eine Art russisch roulette sein? Dann würde ich aber noch am
    > besten ein sudo davorschreiben.

    Ja... dann regnet es, und der Spiegel sagt, die Sonne scheint. So werden Existenzen vernichtet.

  8. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: evilgoto 06.02.19 - 18:02

    Peter Brülls schrieb:
    --------------------------------------------------------------------------------
    > Oder soll das eine Art russisch roulette sein? Dann würde ich aber noch am
    > besten ein sudo davorschreiben.

    Wieso nicht einfach --rootme?
    https://github.com/curl/curl/pull/2444

  9. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: Tigtor 06.02.19 - 19:11

    Peter Brülls schrieb:
    --------------------------------------------------------------------------------
    > Esquilax schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hi
    > >
    > > Was ist denn die Alternative?
    >
    > Minimal runterladen und nachsehen was passieren soll. Und dann das
    > ausführen und nicht nochmal mittels curl laden und dann pipen, weil der
    > absendende Server durchaus feststellen kann, ob seine Ausgabe in eine Pipe
    > geht oder nicht.
    >
    > Natürlich ist das an sich allein schon nicht ausreichend, aber man muss das
    > Steckenlassen des Autoschlüssels ja nicht unbedingt schönreden.
    >
    > > Danke und Grüße,
    > > Alex

    Woran sieht denn der Server ob die Ausgabe in eine pipe geht?

    So dawn goes down to day.
    Nothing gold can stay.

  10. Re: @golem Output von Curl direkt ausführen ist eine saudumme idee

    Autor: STB 06.02.19 - 19:34

    Tigtor schrieb:
    --------------------------------------------------------------------------------
    > Peter Brülls schrieb:
    > --------------------------------------------------------------------------
    > > Minimal runterladen und nachsehen was passieren soll. Und dann das
    > > ausführen und nicht nochmal mittels curl laden und dann pipen, weil der
    > > absendende Server durchaus feststellen kann, ob seine Ausgabe in eine
    > Pipe
    > > geht oder nicht.
    > >
    >
    > Woran sieht denn der Server ob die Ausgabe in eine pipe geht?

    Das frag ich mich auch gerade *hmmm* ich hätte gerade keine Idee woran

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über experteer GmbH, Hannover
  2. Statistisches Bundesamt, Wiesbaden
  3. Schneider GmbH & Co. KG, Fronhausen
  4. MEWA Textil-Service AG & Co. Deutschland OHG, Standort Rodgau, Rodgau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

  1. Kirin 9000: Huaweis 5-nm-Chip läuft mit 3,13 GHz
    Kirin 9000
    Huaweis 5-nm-Chip läuft mit 3,13 GHz

    Dank hohem Takt und integriertem 5G-Modem soll der Kirin 9000 sehr flott sein, das 5-nm-Verfahren sorgt für die nötige Effizienz.

  2. Rivada Networks: Trump will Parteifreunden 5G-Frequenzen verschaffen
    Rivada Networks
    Trump will Parteifreunden 5G-Frequenzen verschaffen

    Laut Informationen von CNN soll Donald Trump Republikanern helfen, die in Rivada Networks investiert haben, um ein nationales 5G-Netz zu erichten.

  3. 2FA deaktiviert: Trumps Twitter-Account wieder gehackt
    2FA deaktiviert
    Trumps Twitter-Account wieder gehackt

    Am Freitag machten sich Medien noch über einen Tweet von US-Präsident Trump lustig. Dahinter könnte ein Hacker aus den Niederlanden gesteckt haben.


  1. 19:34

  2. 19:19

  3. 19:11

  4. 17:36

  5. 17:17

  6. 17:00

  7. 16:42

  8. 16:17