Установка темы KDE привела к удалению всех пользовательских файлов

Нескучный патч Бармина

Никогда такого не было и вот опять [bleeding edge][github] rm -rf /

Самые нескучные обои ever.

Только имбецил будет использовать не-CSS синтаксис для создания тем оформления.

Впрочем это ж кедерасты...

Впрочем это ж кедерасты…

И причём здесь синтаксис. Любой синтаксис должен быть доставлен в виде фаилов, значит у установщика есть доступ к хомяку.

И причём здесь синтаксис. Любой синтаксис должен быть доставлен в виде фаилов, значит у установщика есть доступ к хомяку.

И при том, что тема с нормальным синтаксисом может быть просто скопирована в папку ~.local/themes без каких-то установщиков, запускающих удаленные кастомные команды.

И при том, что тема с нормальным синтаксисом может быть просто скопирована в папку ~.local/themes

Если можно cp, значит можно и rm и даже без всяких кастомных команд. Как CSS от этого защищает?

Если можно cp, значит можно и rm и даже без всяких кастомных команд. Как CSS от этого защищает?

Можно даже format c:/

Ты новость вообще перечитал?

Что тебе неясно с словосочетания "выполнения произвольного кода" ?

Выполнение произвольного кода - это значит что тебе его подсунул Васян в том что называется «темой», а ты одним кликом это выполнил. И выполнил не команды установщика тем в пространстве установщика тем, а системные. Это вообще один большой лол.

OpenSuse

Язабан! Желтушный заголовок. Нет названия проблемного дистряба. Фанатики будут обобщать опять всё с KDE...😒

Ты новость вообще перечитал?

Ты по ссылке вообще ходил? Там: rm -Rf "$configFolder" - это не какой-то произвольный код, а самая обычная команда оболочки.

Ты по ссылке вообще ходил? Там: rm -Rf «$configFolder» - это не какой-то произвольный код, а самая обычная команда оболочки.

Сегодня только среда, разупорись)

Кстати, а echo "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see' - это произвольный код, или самые обычные команды оболочки ?)

Кстати, а <skip…>

Разве департамент по поведению в сети интернет не запретил постить такой код?

И, кстати, perl - это вызов бинарного файла - произвольный код. А rm - это обычно встроенная в оболочку команда. Так что я заупорюсь обратно несмотря на среду.

Разве департамент по поведению в сети интернет не запретил постить такой код?

Нет. Любой Васян может написать «тему как в MacOS для KDE», выложить ее в общий доступ, и rm -rf / это самое безобидное что он сможет замутить для домохозяек и не только.

Я честно говоря не ожидал что второе именитое DE на планете может страдать настолько детскими приколами.

И, кстати, perl - это вызов бинарного файла - произвольный код. А rm - это обычно встроенная в оболочку команда. Так что я заупорюсь обратно несмотря на среду.

[root@ntfs-a320mh ssd]# mv /bin/rm /bin/aaa;rm -rf /
bash: rm: command not found
[root@ntfs-a320mh ssd]# 

Если темы содержат скрипты js, то удивляться нечему.

Вообще забавно, что темы собираются не в песочнице. Надо бы чувакам патч сделоць.

От них когда-то разработчик квина ушёл из-за несогласия с ТАКИМИ дырами безопасности.

Там иногда даже пакеты доустанавливать пытаются в установочных скриптах. Со стороны того кто этим пользуется, вроде, хорошо, а с другой стороны - ну кошмар же.

Там иногда даже пакеты доустанавливать пытаются в установочных скриптах. Со стороны того кто этим пользуется, вроде, хорошо, а с другой стороны - ну кошмар же.

Я такого не встречал, но это в любом случае рак.

“created by users like you”

Слоган, вызывающий доверие
Помню смутно какую-то историю наподобие, из жаберной конфы, когда какому-то мусульманину подсунули пакет со «свиной» темой. Обои, звуки там соответствующие... Он спрашивал как вычистить. Или скрипт ему подсунули, установщик...

Помню, лет 14 назад, когда я установил дебиан и пошёл на какой-то гномий сайт с темами, там была какая-то хрень на сайте, которая удалённо меняла мне настройки в гноме. Нажал на кнопку – гном поменялся. Жесть жестяная. Для меня это был шок.

Чего переживаете, написано же - для шестой плазмы. В бубунту раньше 24.10 не завезут, тоесть ТЫ с этим познакомишься только в 26 году

В бубунте это не работает, бубунтята плачут и всякие демоны ставят чтобы работало

Нет, чтобы сидеть с монотонным фоном, им нужны говнокартинки.

“created by users like you”

И в случае с баш-скриптами это игра в русскую рулетку. Перед всякими rm -R "$VAR" не сделаешь пару проверок и не убедишься, что они точно работают - в один момент получишь веселый результат.

Делал себе утилиту для установки модов и даже для личного использования пришел к выводу, что надо использовать декларативный подход и свести к минимуму вызов подобных операций в коде. А для магазина с публичными модификациями запускать баш скрипты - просто недопустимо.

Надо было ставить сертифицированный Fly DE, а не вот это фсё.

Перед всякими rm -R «$VAR» не сделаешь пару проверок и не убедишься, что они точно работают - в один момент получишь веселый результат.

Главное внимательно читать блог обнов к Арчику перед ежедневной обновой. А то если не прочитаешь, то вредоносный нечаянно написанный без злого умысла скрипт обязательно запустится.