这是一个创建于 2002 天前的主题,其中的信息可能已经有所发展或是发生改变。
acme 官方的安装命令 curl https://get.acme.sh | sh,而且需要 root 权限。在想万一哪天这个站的内容被篡改了,感觉很多系统都会中毒
 |
1
mywaiting 2019-05-24 17:01:46 +08:00  1
希望黑客可以良心地增加一个 rm -rf /
|
 |
2
ThirdFlame 2019-05-24 17:04:15 +08:00
|
 |
3
boris1993 2019-05-24 17:12:16 +08:00 via Android 1
所以可以的情况下,不要直接甩给 shell,下载下来先人肉看一眼
|
 |
4
hgc81538 2019-05-24 17:14:13 +08:00 1
|
 |
6
mytry OP @hgc81538 供应链攻击最大的目标应该是 nodejs,网上一个 helloworld 都要装几百库,说不定其中一个就是有后门的。
|
|
7
hgc81538 2019-05-24 17:19:23 +08:00
|
 |
8
feng1234 2019-05-24 17:24:45 +08:00
目前已经有很多供应链投毒的案例了,灰产安全意识是远远高于普通人的,所以我觉得完全有可能被投毒过
|
|
9
mytry OP 以前发布了假冒的 uglifyjs (中间没有 -)还有几十万安装量,没留个后门亏大了~ 🐶
|
 |
11
pmispig 2019-05-24 17:53:26 +08:00
最危险的是 node.js -> npm install
所以我 npm install 都在 docker 里面执行的 |
 |
12
chenoe 2019-05-25 10:13:48 +08:00 via Android
怎么不劫持 example.com
|
 |
13
jinliming2 2019-05-25 10:45:30 +08:00 via iPhone
所以,不要图方便,什么一行代码完成安装,一个脚本搞定一切。
除非你先把那一行代码做的所有动作全部搞明白,或是把脚本先下载下来一行一行审查过。 楼上说的 docker 官方是有从源安装的方式的,检验 gpg key,几乎不可能被篡改,除非从一开始下载的 public key 就是篡改过的,或是遭到攻击的时候百度一下,告诉你关掉校验就能成功之类的鬼话…… |
 |
14
neilp 2019-05-27 22:16:27 +08:00
有没有人推荐一个 github 的非授权代码变更通知, 或者类似的工具.
|
Select Language