LINUX.ORG.RU
ФорумTalks

ржавчина и все, все, все

 


0

5

на фоне все этих страчей и прочего, решил опять попробовать собрать огнелиса. так как он требует раст, нужно удовлетворить.

ок, лезу на сайтик этого вашего язычка - https://www.rust-lang.org/tools/install, смотрю на recommended и вижу следующее

It looks like you’re running macOS, Linux, or another Unix-like OS. To download Rustup and install Rust, run the following in your terminal, then follow the on-screen instructions. See "Other Installation Methods" if you are on Windows.

curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

говно вопрос, вижу следующкее

(vic@vilen)..jects/tmp $> curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
info: downloading installer
Warning: Not enforcing strong cipher suites for TLS, this is potentially less secure
Warning: Not enforcing TLS v1.2, this is potentially less secure
main: строка 412: /tmp/tmp.RION2DV1Zb/rustup-init: Нет такого файла или каталога

продолжайте называть ЭТО системным языком

★★★★★

Последнее исправление: ananas (всего исправлений: 1)

После изначальной паники и проявления неумения гуглить, начинаем дышать и успокаиваемся )

Какой дистр и архитектура процессора (подозреваю услышать что-то интересное)? Что показывает утилита file для того rust-init?

vertexua ★★★★★
()
Ответ на: комментарий от Harald

Какой вектор атаки ты ожидаешь? Ты пытаешься установить бинарник с чужого сайта, но скрипт с того же сайта мама эксплоит спасите помогите?

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от Spoofing

Я думаю он орет что это мол несекурно и ему Rust Foundation установит ботнет чтобы майнить Dogecoin, откуда думаешь у них финансирование?

vertexua ★★★★★
()
Ответ на: комментарий от vertexua

Сегодна сайтик отдаёт всем раст, а завтра отдельно взятому анону патч бармина. А бинарник после традиционного скачивания я могу просто положить куда-нибудь на время, проанализировать, цифровую подпись проверить, хэши погуглить в интернетах, на virustotal залить в конце концов. И воообще это не бинарник должен быть, а архив.

Harald ★★★★★
()
Последнее исправление: Harald (всего исправлений: 1)
Ответ на: комментарий от vertexua

Ну лично мне такой подход тоже не нравится. Я или устанавливаю пакет из репозиториев, либо скачиваю и распаковываю папку. А запускать непонятно какой скрипт на много сотен строк я бы не стал. Это виндовс-вей, на линукс зачем это тащить. Впрочем не думаю, что у Rust нет других способов установки. Это просто для нубов, которым надо одну строчку попроще и чтобы всё заработало.

Legioner ★★★★★
()
Ответ на: комментарий от Harald

А бинарник после традиционного скачивания я могу просто положить куда-нибудь на время, проанализировать.

Туда легко запрятать тот же патч Бармина, так что вы его не найдёте. Особенно учитывая что в Линуксе стабильное ABI стабильных вызовов, скрыть вредоносный код проще простого, левый импорт числится не будет.

X512 ★★★★★
()
Ответ на: комментарий от X512

Линуксе стабильное ABI стабильных вызовов, скрыть вредоносный код проще простого, левый импорт числится не будет

То ли дело хайку, да?

fernandos ★★★
()
Ответ на: комментарий от Harald

Сегодна сайтик отдаёт всем раст, а завтра отдельно взятому анону патч бармина.

Ага, deb.debian.org, например.

А бинарник после традиционного скачивания я могу просто положить куда-нибудь на время, проанализировать.

Кто-то мешает тебе что-ли?

И воообще это не бинарник должен быть, а архив.

Двачую. Но для многих программистов распаковать архив, да ещё, не дай бог, установить какие-нибудь переменные окружения, прописать в PATH, это слишком сложно. Вон сколько пострадавших от Java. Потому так и делают там, где хотят снизить порог входа.

Legioner ★★★★★
()
Ответ на: комментарий от fernandos

Под Линукс можно сделать вирусы самые ядрёные и они с любой версией ядра будут работать и на любом дистрибутиве. В Haiku спрятать вирус будет немного труднее.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от Legioner

Когда я качаю файл, у меня остаётся пруф зловреда, если он там есть. Если я начну исполнять скрипты из интернетов, то без дополнительных телодвижений (wireshark или tcpdump запустить на отдельной тачке и с HTTPS вопросы решать) его не будет

Harald ★★★★★
()
Ответ на: комментарий от Harald

Да нихрена ты и 99% пользователей не будут анализировать. Они жахнут с sudo dpkg -i с пост-инсталл скриптом и будут радоваться какие они крутые и не запускают скрипты с интернета.

А с apt-get upgrade таких пост-инсталл выполнится для 500 неизвестных пакетов.

Но все равно это работает отлично почти всегда потому что мы полагаемся на 1) надёжность файлов источника 2) защиту HTTPS соединения.

Все как в curl | sh

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от fernandos

Да много кто так предлагает себя устанавливать. Вообще по-моему это всё с макоси идёт. Не очень хорошая тенденция. Хотя принципиально в этом способе ничего криминального нет, но каждому суслику писать свой инсталлятор это шаг назад. Хотя под каждый дистрибутив опакечивать тоже такое себе развлечение, вот тут, на самом деле, одна из проблем линукса. Нужно было давно договориться и всем перейти на rpm, плюс договориться об одинаковых названиях самых важных библиотек, чтобы независимым разработчикам было попроще собирать версию под линукс.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Устанавливая пакет мы всегда запускаем непонятно какой скрипт внутри этого пакета под рутом

vertexua ★★★★★
()
Ответ на: комментарий от vertexua

А с apt-get upgrade таких пост-инсталл выполнится для 500 неизвестных пакетов.

Сначала проверится их цифровая подпись

Harald ★★★★★
()
Ответ на: комментарий от Harald

Если я начну исполнять скрипты из интернетов, то без дополнительных телодвижений

Можно сделать:

cd downloads
wget https://sh.rustup.rs -O rustup.sh
sh rustup.sh

И скрипт останется.

Когда я качаю файл, у меня остаётся пруф зловреда, если он там есть.

Он может сам себя удалить или заменить.

X512 ★★★★★
()
Последнее исправление: X512 (всего исправлений: 1)
Ответ на: комментарий от Harald

Когда я качаю файл, у меня остаётся пруф зловреда, если он там есть.

Да качай, кто тебе запрещает-то? По указанному URL скрипт прекрасно скачивается. Эта команда для тех, кому не нужны пруфы. Кстати ты этим пруфом ничего не докажешь. И это проблема HTTPS. Тебе надо реально сохранять трафик wireshark-а и дампить сессионные ключи curl-а, чтобы доказать, что сервер rust-а тебе отдал зловреда. Хотя нынче highly likely во все поля, но не факт, что русским поверят.

Если я начну исполнять скрипты из интернетов, то без дополнительных телодвижений (wireshark или tcpdump запустить на отдельной тачке и с HTTPS вопросы решать) его не будет

Рекомендую curl | tee fname | sh

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 2)
Ответ на: комментарий от vertexua

HTTPS сертификат сейчас каждому коту с помойки выдают. А ты вот пошёл проверил поля сертификата, действительно он на имя Rust Foundation выдан или кто там этого ржавого пилит, и не отозван ли он? :)

Harald ★★★★★
()
Ответ на: комментарий от Harald

Причем тут цифровая подпись если речь идёт о compromised источнике, который шлёт вирусы с правильной цифровой подписью. Это лишь подорожник поверх непонятно чего когда есть HTTPS. Дистрибутиву все равно прийдётся доверять

vertexua ★★★★★
()
Ответ на: комментарий от X512

Под Линукс можно сделать вирусы самые ядрёные и они с любой версией ядра будут работать

И это совершенно не проблема линукса.

В Haiku спрятать вирус будет немного труднее.

Я очень сомневаюсь, что разница будет хоть сколько-то значительной.

fernandos ★★★
()
Ответ на: комментарий от X512

Можно. Но вот эти, рекомендующие «| sh» приучают к плохому

Harald ★★★★★
()
Ответ на: комментарий от vertexua

Взломать веб-сервер это одно, взломать компьютер разработчика, на котором есть его цифровая подпись (а, возможно, ещё и yubikey его взломать придется) это другое. Первое происходит чаще, чем второе.

Legioner ★★★★★
()
Ответ на: комментарий от Harald

Ага, мало ли че, ты уже конечно Интернет выключил, на клиенты банков не ходишь, мыло удалил на gmail.com на который уже записано все кроме права собственности на твой дом. Потому что видите ли нельзя доверять HTTPS

vertexua ★★★★★
()
Ответ на: комментарий от vertexua

В таком случае цифровая подпись будет пруфом компрометации. А в случае с сабжевым скриптом можно всё отрицать, это мол ваш провайдер на лету скрипт подменил зловредом. И TLS 1.2 у них удобненько так не настроен, дырявые старые версии юзают

Harald ★★★★★
()
Ответ на: комментарий от vertexua

Ты путаешь истерический смех ТСа с паникой. Разрабы ололо-системного ололо-языка даже скрипт-инсталлятор не осилили. Не правда ли, смешно?

WitcherGeralt ★★
()
Последнее исправление: WitcherGeralt (всего исправлений: 1)
Ответ на: комментарий от vertexua

выдыхай. я, в принципе, прекрасно знаю, из-за чего это, и как это исправить. это просто демонстрация «системности» хипстеров

ananas ★★★★★
() автор топика
Ответ на: комментарий от fernandos

И это совершенно не проблема линукса.

Это проблема именно Линукса и BSD, больше такого нигде нет. Стабильное ABI системных вызовов — это зло и оно сильно упрощает написание вредоносного ПО: не надо ничего импортировать из динамических библиотек, достаточно использовать фиксированный код без обращений по каким-либо адресам. По хорошему номера системных вызовов вообще надо рандомизировать при каждом запуске как ASLR.

Я очень сомневаюсь, что разница будет хоть сколько-то значительной.

С Windows разница точно будет значительной, т.к. там часто меняют номера системных вызовов. Для виросописателей отдельная проблема получить адреса на функции ABI и номера системных вызовов. В Haiku не так часто меняют системные вызовы, но меняют.

X512 ★★★★★
()
Ответ на: комментарий от ananas

Тебе на Первый Канал надо. Сначала ищешь что тебе нужно доказать согласно своих убеждений «Раст пишут бараны». Выжидаешь пока будет какая-то шерховатость. Бежишь на ЛОР раздувать из мухи слона. Profit

Ну слава богу в Линуксе никогда не бывает непонятного error

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 2)
Ответ на: комментарий от X512

По хорошему номера системных вызовов вообще надо рандомизировать при каждом запуске как ASLR.

И стандартную библиотеку конпелять при запуске! Так победим!

Не, ты какой-то сильно упоротый

Harald ★★★★★
()
Ответ на: комментарий от X512

Можно подумать вирусописателю сложно сделать switch по популярным версиям. По-моему это не привносит какой-то безопасности. Хочешь делать какой-то фильтр вызовов - делай ядреный модуль. Остальное - профанация.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от fernandos

просто меня реально бесит наличие /lib64. дальше продолжать?

просто сам факт, что инсталлятор безальтернативно какой-то каканый бинарь, уже очень многое говорит от языке и тех, кто его разрабатывает

ananas ★★★★★
() автор топика
Ответ на: комментарий от ananas

Дай определение «системному» языку программирования. И обоснуй почему оно такое, а не другое.

anonymous-angler ★☆
()
Ответ на: комментарий от vertexua

а почему все эти ссылки на левом сайте расположены, сегодня гитхаб хостит этот ваш раст, а завтра там внезапно каких-нибудь трансфобов в руководстве обнаружат, и загрузки раста превратятся в тыкву

Harald ★★★★★
()
Ответ на: комментарий от Harald

Не найдет, Rust Foundation и Github оба против трансфобов, потому трансфобов расстреляют раньше чем будут какие-то проблемы между организациями. Я бы не волновался

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 2)
Ответ на: комментарий от vertexua

да я и этот поправить могу, не проблема. вопрос подхода. и огнелис, и либрофис и прочие блендеры с зумами просто дают бинари и просто их распаковывают. этому нет, надо выпендрится. системщики, хуле

ananas ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.