Re[6]: В Windows теперь нужно писать ./my.exe
От: serjjj Россия  
Дата: 03.07.23 19:46
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>в имени файла может быть ESC-последовательность, которая "отразится" от терминала вредной командой — но это уже зловредство совершенно другого порядка)


А можно с этого места поподробнее?
Re[15]: В Windows теперь нужно писать ./my.exe
От: netch80 Украина http://netch80.dreamwidth.org/
Дата: 03.07.23 20:06
Оценка:
Здравствуйте, CreatorCray, Вы писали:

N>>Как говорят в некоторых структурах, "в любом расследовании главное — не выйти на себя самого".

CC>Дети — цветы жизци...

Велик могучим русский языка.

N>>Так что ты там поосторожнее.

CC>Личным опытом делишься?

Не личным, но на основании личного и не только.
The God is real, unless declared integer.
Re[19]: В Windows теперь нужно писать ./my.exe
От: · Великобритания  
Дата: 03.07.23 20:19
Оценка:
Здравствуйте, Pauel, Вы писали:

P>>>"Сама идея архиватором распаковывать выполняемые файлы, скрипты итд, сильно порочная. Эдакий кастомный вариант инсталяции.

P>·>Бред. А как ещё создавать выполняемые файлы на целевой системе? Собирать компилятором из исходников? И чем архиватор отличается от любой другой программы? Как операционка должна решать кому можно расставлять x-атрибуты, а кому нельзя?
P>Про пакетный менеджер или инсталятор вы ничего не слышали, правильно понимаю?
Про который из них? Их как грязи, даже в винде. Так как операционка будет определять менеджер это или архиватор? Особенно с учётом того, что менеджер в своём составе может иметь тот же архиватор.

P>>>На таких вот полу-инсталяторах в свое время жило не одно поколение троянов в Виндовс."

P>·>Так ведь это проблема в Виндовз. Причём тут линухи?
P> В виндовс была ровно та же дыра, только больше — там пермишнов не нужно, достаточно расширения .exe. Была — потому, что пришлось кое как залатать.
Я точно историю не знаю, но по ощущениям в линухах эту дыру залатали ещё когда винды в планах даже не было.

P>Дыру пришлось заткнуть — если вы запустите exe который попал в систему вне контроля инсталятора, операционка вам выдаёт варнинг.

Это не залатали, это костыль присобачили.

P>И затыкали дыру именно по причине троянов, а не просто так, ради прикола

Угу, ичхз от троянов это практически не спасает. Потому что — ну кто на эти варнинги смотрит?!
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Re[7]: В Windows теперь нужно писать ./my.exe
От: Pzz Россия https://github.com/alexpevzner
Дата: 03.07.23 20:23
Оценка:
Здравствуйте, serjjj, Вы писали:

Pzz>>в имени файла может быть ESC-последовательность, которая "отразится" от терминала вредной командой — но это уже зловредство совершенно другого порядка)


S>А можно с этого места поподробнее?


Что именно непонятно?
Re[17]: В Windows теперь нужно писать ./my.exe
От: · Великобритания  
Дата: 03.07.23 20:26
Оценка:
Здравствуйте, Pauel, Вы писали:

P>У меня, например, в path еще три фолдера из ~/, в которые можно сунуть скриптец.

Потому что ты разраб и себе в ногу стрельнул кривым софтом. Вот у меня загалило path только поделие микрософта (ну не могут они в безопасность):

/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/snap/bin:/home/kan/.dotnet/tools:/usr/lib/jvm/java-9-oracle/bin:/usr/lib/jvm/java-9-oracle/db/bin

но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Re[18]: В Windows теперь нужно писать ./my.exe
От: Pauel Беларусь http://blogs.rsdn.org/ikemefula
Дата: 03.07.23 20:56
Оценка:
Здравствуйте, ·, Вы писали:

P>>У меня, например, в path еще три фолдера из ~/, в которые можно сунуть скриптец.

·>Потому что ты разраб и себе в ногу стрельнул кривым софтом.

Телепатия вас подводит, как и всегда. ~/.local/bin — к этому фолдеру я не имею никакого отношения.
Re[8]: В Windows теперь нужно писать ./my.exe
От: serjjj Россия  
Дата: 03.07.23 20:57
Оценка:
Здравствуйте, Pzz, Вы писали:

Pzz>Здравствуйте, serjjj, Вы писали:


Pzz>>>в имени файла может быть ESC-последовательность, которая "отразится" от терминала вредной командой — но это уже зловредство совершенно другого порядка)


S>>А можно с этого места поподробнее?


Pzz>Что именно непонятно?


Про ESC-последовательности я знаю, но чтобы выполнить любую произвольную команду (например, rm -rf $HOME)... Нужен пример.
Re[19]: В Windows теперь нужно писать ./my.exe
От: · Великобритания  
Дата: 03.07.23 22:04
Оценка:
Здравствуйте, Pauel, Вы писали:

P>>>У меня, например, в path еще три фолдера из ~/, в которые можно сунуть скриптец.

P>·>Потому что ты разраб и себе в ногу стрельнул кривым софтом.
P>Телепатия вас подводит, как и всегда. ~/.local/bin — к этому фолдеру я не имею никакого отношения.
Ставишь софт нестандартный. Питон какой-нибудь с user-only зависимостями. Впрочем, ~/.local/bin должен быть в конце PATH и изменять поведение системных тулзов не может.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Re[17]: В Windows теперь нужно писать ./my.exe
От: Conductor СССР  
Дата: 04.07.23 03:41
Оценка: +1
Здравствуйте, Pauel, Вы писали:

P>Здравствуйте, Conductor, Вы писали:


C>>1. А что, в винде если исполнимый файл в архив запаковать, то после распаковки он перестанет быть исполнимым? Нет.


P>Цитирую себя

P>"Сама идея архиватором распаковывать выполняемые файлы, скрипты итд, сильно порочная. Эдакий кастомный вариант инсталяции. На таких вот полу-инсталяторах в свое время жило не одно поколение троянов в Виндовс."

И? Кто мешает всобачить зловреда в инсталлятор, который по сути и есть архив? Реальная защита что с архивом, что с инсталлятором одинаковая и она суть организационные меры: брать из надежных источников (критерии надёжности могут быть разными), проверять заявленную контрольную сумму, смотреть содержимое, если есть желание, то проверять аннтивирем, тестировать в песочнице и т.д. А ежели я архив распаковал или инсталлятор запустил, то значит принял решение, что это действие допустимо, и взял ответственность на себя. И я хочу видеть после распаковки то, что было упаковано.
Re[6]: В Windows теперь нужно писать ./my.exe
От: ononim  
Дата: 04.07.23 06:22
Оценка:
Pzz>>Ну действительно, не дело это, когда выбор запускаемой программы зависит от текущей директории.
_>А то, что он от PATH зависит, не смущает?
Те кто хочет запускать из текущей директории всегда могут сделать export PATH=$PATH:. так что это более универсальное поведение чем захардкоженный поиск в curdir
Как много веселых ребят, и все делают велосипед...
Re[7]: В Windows теперь нужно писать ./my.exe
От: korvin_  
Дата: 04.07.23 06:39
Оценка:
Здравствуйте, ononim, Вы писали:

O>Те кто хочет запускать из текущей директории всегда могут сделать export PATH=$PATH:. так что это более универсальное поведение чем захардкоженный поиск в curdir


Это не ответ на мой вопрос.
Re[20]: В Windows теперь нужно писать ./my.exe
От: Pauel Беларусь http://blogs.rsdn.org/ikemefula
Дата: 04.07.23 07:42
Оценка: :)
Здравствуйте, CreatorCray, Вы писали:

P>>если вы запустите exe который попал в систему вне контроля инсталятора, операционка вам выдаёт варнинг.

CC>Да ну!
CC>И где такое чудо можно увидеть?

Давно уже в винде — запускаешь скачаный файл, винда кидает предупреждение. Подозреваю, ты это отключил.
Re[20]: В Windows теперь нужно писать ./my.exe
От: Pauel Беларусь http://blogs.rsdn.org/ikemefula
Дата: 04.07.23 07:48
Оценка:
Здравствуйте, netch80, Вы писали:

скажем некоторые софтины используют zip в качестве проектного файла. Киданул в ~/ , распаковал, работаешь. А если подложить тот самый скриптец, то появятся весьма интересные последствия.

N>"Киданул в хомяк" это пять. Косяков.


Что именно вас смущает?

P>>Именно — такие файлы архиватору тоже нельзя давать менять.

N>Осталось найти умный ИИ, который отделит архиватор от прочих приложений.

Какой еще ИИ? Нужен апи инсталяции и пакетный менеджер, который его использует. Все остальные автоматически обламываются.

P>>Более того, само наличие таких файлов в линукс говорит о том, что это каменный век.

N>Ага, любая кастомизация тогда это каменный век.

У вас похоже кастомизация и .bashrc эквивалентны. На самом деле это не так.

P>>В свое время на винде ровно так же и рассуждали. А потом пришлось затыкать именно эти дыры. Сейчас трояны это денежный бизнес.


N>Только почему-то эти дырозащиты в принципе не работают в той схеме, как они задуманы, а трояны спокойно себе гуляют вдоль и поперёк.


Приведите пример, где чего не работает.
Re[20]: В Windows теперь нужно писать ./my.exe
От: Pauel Беларусь http://blogs.rsdn.org/ikemefula
Дата: 04.07.23 07:55
Оценка:
Здравствуйте, ·, Вы писали:

P>>Про пакетный менеджер или инсталятор вы ничего не слышали, правильно понимаю?

·>Про который из них? Их как грязи, даже в винде. Так как операционка будет определять менеджер это или архиватор? Особенно с учётом того, что менеджер в своём составе может иметь тот же архиватор.

Вы там из 90х пишете?
В линуксе нет внятного апи инсталяции, пакетные менеджеры это лебедь рак да щука.
Поскольку пакетный менеджер — часть операционки, он имеет права создавать выполняемые файлы. Архиватор — юзерская программа, по дефолту таких прав не имеет, и апи иснталяции вызывать не сможет.

P>>И затыкали дыру именно по причине троянов, а не просто так, ради прикола

·>Угу, ичхз от троянов это практически не спасает. Потому что — ну кто на эти варнинги смотрит?!

Какие еще варнинги? Вам показывается модальный бокс. Что бы запустить файл, нужно или отключить эту фичу, или обратить внимание, согласиться с последствиям и нажать Run anyway.
Re[18]: В Windows теперь нужно писать ./my.exe
От: Pauel Беларусь http://blogs.rsdn.org/ikemefula
Дата: 04.07.23 08:07
Оценка:
Здравствуйте, Conductor, Вы писали:

P>>Цитирую себя

P>>"Сама идея архиватором распаковывать выполняемые файлы, скрипты итд, сильно порочная. Эдакий кастомный вариант инсталяции. На таких вот полу-инсталяторах в свое время жило не одно поколение троянов в Виндовс."

C>И? Кто мешает всобачить зловреда в инсталлятор, который по сути и есть архив? Реальная защита что с архивом, что с инсталлятором одинаковая и она суть организационные меры


Архив это просто какой то набор файлов, вы вспотеете подписывать такое. Инсталятор — запросто. А вот архив выбирают для обмена произвольными файлами на все случаи жизни. Например — кидаете в ~/ файл проекта и распаковываете, наблюдаете последствия. Рано или поздно ктото да распакует архив не туда.

Поскольку юзеров на линукс меньше 1%, и неоптных юзеров там вообще около нуля, то это страхует гораздо лучше — система сломается быстрее.

Запрет на инсталяцию-кастомзацию посредством архиватора это и есть часть организационных мер. Это гораздо проще, чем требовать подписи любых архивов. Подпись вашего соседа Васи, который заархивировал свой проект вас не спасет.
Re[20]: В Windows теперь нужно писать ./my.exe
От: Pauel Беларусь http://blogs.rsdn.org/ikemefula
Дата: 04.07.23 08:12
Оценка:
Здравствуйте, ·, Вы писали:

P>>Телепатия вас подводит, как и всегда. ~/.local/bin — к этому фолдеру я не имею никакого отношения.

·>Ставишь софт нестандартный. Питон какой-нибудь с user-only зависимостями. Впрочем, ~/.local/bin должен быть в конце PATH и изменять поведение системных тулзов не может.

У вас по прежнему какая то телепатия. Как должно — неинтересно, это и ежу понятно. Я вам привожу пример того, как может быть. Вот этот фолдер у меня прямо с инталяции, я его обнаружил когда искал место куда подкидывать свои скрипты.
Re[21]: В Windows теперь нужно писать ./my.exe
От: · Великобритания  
Дата: 04.07.23 08:21
Оценка: +2
Здравствуйте, Pauel, Вы писали:

P>·>Про который из них? Их как грязи, даже в винде. Так как операционка будет определять менеджер это или архиватор? Особенно с учётом того, что менеджер в своём составе может иметь тот же архиватор.

P>Вы там из 90х пишете?
P>В линуксе нет внятного апи инсталяции, пакетные менеджеры это лебедь рак да щука.
MSI??! Спасибо, не надо, сами такое кушайте.

P>Поскольку пакетный менеджер — часть операционки, он имеет права создавать выполняемые файлы.

Ты конкретно говори, с деталями. Как операционка определяет, что пакетный менеджер, а что не очень? Предлагаешь ещё один атрибут для файлов ввести или что?

P>Архиватор — юзерская программа, по дефолту таких прав не имеет, и апи иснталяции вызывать не сможет.

Юзерам иногда надо иметь возможность ставить свои проги, без прав админа.

P>>>И затыкали дыру именно по причине троянов, а не просто так, ради прикола

P>·>Угу, ичхз от троянов это практически не спасает. Потому что — ну кто на эти варнинги смотрит?!
P>Какие еще варнинги?
У себя спроси. Ты сам написал: "операционка вам выдаёт варнинг".

P>Вам показывается модальный бокс. Что бы запустить файл, нужно или отключить эту фичу, или обратить внимание, согласиться с последствиям и нажать Run anyway.

И именно это и будет написано в инструкции как установить софтинку с трояном. Это не средство безопасности. Это костыль чтобы можно было разводить идиотов, что наша операционка супербезопасная, у нас же есть варнинги! Это уже с ActiveX и прочими макросами проходили, а воз и ныне там.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Re[21]: В Windows теперь нужно писать ./my.exe
От: netch80 Украина http://netch80.dreamwidth.org/
Дата: 04.07.23 08:41
Оценка: +2 :)
Здравствуйте, Pauel, Вы писали:

P>Здравствуйте, CreatorCray, Вы писали:


P>>>если вы запустите exe который попал в систему вне контроля инсталятора, операционка вам выдаёт варнинг.

CC>>Да ну!
CC>>И где такое чудо можно увидеть?

P>Давно уже в винде — запускаешь скачаный файл, винда кидает предупреждение. Подозреваю, ты это отключил.


А ты смотрел, как это делается?

Microsoft security в чистом виде: атрибутом помечен именно скачанный файл, а не, как было бы в нормальном варианте, атрибут (лучше как цифровая подпись) на проверенном и разрешённом файле. И, естественно, не все браузеры его ставят, этот атрибут. И не все скачанные файлы могут быть им помечены потому что идут не из Интернета.



Я могу только пособолезновать твоему уровню понимания секьюрити, раз такое советуешь
The God is real, unless declared integer.
Re[21]: В Windows теперь нужно писать ./my.exe
От: CreatorCray  
Дата: 04.07.23 09:42
Оценка:
Здравствуйте, Pauel, Вы писали:

P>Давно уже в винде — запускаешь скачаный файл

А, так это не винда, это браузер ставит метку в alt stream ...:Zone.Identifier
Если файл попал на машину НЕ через браузер — системе об этом ничего не известно.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Re[22]: В Windows теперь нужно писать ./my.exe
От: CreatorCray  
Дата: 04.07.23 09:42
Оценка:
Здравствуйте, ·, Вы писали:

·>И именно это и будет написано в инструкции как установить софтинку с трояном. Это не средство безопасности. Это костыль чтобы можно было разводить идиотов, что наша операционка супербезопасная, у нас же есть варнинги! Это уже с ActiveX и прочими макросами проходили, а воз и ныне там.


Не, ну если мы уж начинаем допускать совсем конченых идиотов, то они и sudo rm -rf / сделают, если попросить
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.