Боян.

Что там?
Мне что-то страшно разрешать скрипты, ссылка не гуглится.

Буфер обмена та еще дыра.

Там строка для копипаста. Внешне выглядит нормально, но вот когда копируешь ее, тебе в буфер еще команд пихают.

Вот еще один боян, но более эпический: https://www.idontplaydarts.com/2016/04/detecting-curl-pipe-bash-server-side/

Что там?

ls ; clear; echo 'Running malicious code!'; echo -ne 'hacking ## (10%)\r'; sleep 0.3; echo -ne 'hacking ### (20%)\r'; sleep 0.3; echo -ne 'hacking ##### (33%)\r'; sleep 0.3; echo -ne 'hacking ####### (40%)\r'; sleep 0.3; echo -ne 'hacking ########## (50%)\r'; sleep 0.3; echo -ne 'hacking ############# (66%)\r'; sleep 0.3; echo -ne 'hacking ##################### (99%)\r'; sleep 0.3; echo -ne 'hacking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.';clear;
ls -l
echo 'теперь всё хорошо'

И? Полчаса назад словил в буфер обмена копирайт. хотя там информация явно для копипаста была.

Обычно копирайт пихают, этой гадостью полинтернета забито.

Ну когда в копипаст новости пихают ссылку на источник — это удобно.

А так — да.

Сегодня такое время, что надо внимательно смотреть что и куда пихаешь, в жизни, в интернете и в голове.

Так если перевод строки и в рутовый терминал не глядя — то весело. Но всё равно ССЗБ.

Можно не успеть посмотреть. Многие терминалы автоматически исполняют код, если копипастить вместе с '\n'

Terminix, например, предупреждает, если команда при вставке содержит 'sudo' (может, ещё что-то). Но тут sudo нет, так что не сработала «защита». Ждём встроенных в эмулятор терминала «антивирусов» :)

Можно не успеть посмотреть. Многие терминалы автоматически исполняют код, если копипастить вместе с '\n'

lilyterm, например, спрашивает, удалить \n из текста или нет. Но если юзер думает, что скопипастил 2 команды, то, конечно, выберет не удалять. А их там будет не 2, а 10...

Автоматизация же. Это вот раньше приходилось копировать sudo echo test test test и руками тыкать ентер.

Как было сказано выше, таки баян + пора уже пользоваться удобными и не sh совместитмыми оболочками

Достаточно не выполнять многострочные команды пока пользователь не нажмет Enter.

Terminix, например, предупреждает, если команда при вставке содержит 'sudo' (может, ещё что-то). Но тут sudo нет, так что не сработала «защита». Ждём встроенных в эмулятор терминала «антивирусов» :)

Такое он тоже запретит?

vadim@aquila:~$ x=o && 's'"u"\d$x --version
Sudo версия 1.8.19p2
Sudoers policy plugin version 1.8.19p2
Sudoers file grammar version 45
Sudoers I/O plugin version 1.8.19p2

Достаточно не выполнять многострочные команды пока пользователь не нажмет Enter.

Оболочка ничего не знает, откуда у ней \n - от копипаста или от пользователя.

А эмулятор ничего не знает о том, куда он посылает текст: оболочка там, текстовый редактор или тетрис.

Нет, видать только «sudo» и всё. Негодно пока.

Чтобы «сделать всё хорошо» скопипасти эти комманды в терминал:

90% юзеров попадутся на эту «уязвимость»

Нет. У 85% нет подходящего терминала.

iterm2 подойдет

И ещё много популярных

Да, я с учетом этого и писал. У большинства людей венда (может не 85%, но около того). И не каждый пользователь macOS сообразит, что такое терминал.

В мире же не только красноглазые тыжпрограммисты с линуксами.

А эмулятор ничего не знает о том, куда он посылает текст

Ну и не посылать ничего до подтверждения, а текст вывести в отдельное пририсованное эмулятором поле.

Логично.

Таки не знает? Он же может определить дерево запущенных через него процессов и если там только известные шеллы (bash, zsh и т. д.), то принимать какие-то меры, иначе не принимать.

ssh

Негодно пока.

И не будет. Ну или антивирусы встраивать, это будет ржачно. Написать-то можно как угодно:

vadim@aquila:~$ `echo 'sJu 0B X d z ow' | sed 's/[^d-u]//g'` --version
Sudo версия 1.8.19p2
Sudoers policy plugin version 1.8.19p2
Sudoers file grammar version 45
Sudoers I/O plugin version 1.8.19p2
vadim@aquila:~$ 

TRUSTNO1

Бородатый боян. А вообще копипастеры команд из интернетов должны страдать.

Ну и не посылать ничего до подтверждения, а текст вывести в отдельное пририсованное эмулятором поле.

Интересно, кстати, а как разные эмуляторы отображают/обрабатывают всякие пробелы нулевой длины и прочие прелести юникода? Например, в строке rm -r /​tmp/*

Он же может определить дерево запущенных через него процессов и если там только известные шеллы

Давайте сразу касперского в эмулятор терминала встроим, а то мало ли...

Проблемы кривых терминалов. iTerm2 спрашивает, что делать с «\n» в конце строки.

iTerm2 спрашивает, что делать с «\n» в конце строки.

Все делать, я-же скопипастил две строки!

В смысле, ты мог скопировать 2 строки, которые должны быть одной строкой, поэтому спрашивает, их надо объединить, или выполнить одну за другой.

Вредоносному ПО далеко не всегда нужно sudo. Для того, чтобы слить или уничтожить твои личные данные, sudo не нужно.

А если копипастишь две команды, а их на самом деле три?

Думаю, что они никак их не обрабатывают - консолька то умеет юникод. Так что символы просто передаются приложению в неизменном виде. А уж как оно их обработает - его дело. Так что надо смотреть исходники баша, а не терминала.