ржавчина и все, все, все

| sh

сжигать в топке за такое надо

После изначальной паники и проявления неумения гуглить, начинаем дышать и успокаиваемся )

Какой дистр и архитектура процессора (подозреваю услышать что-то интересное)? Что показывает утилита file для того rust-init?

Какой вектор атаки ты ожидаешь? Ты пытаешься установить бинарник с чужого сайта, но скрипт с того же сайта мама эксплоит спасите помогите?

А что мешает поставить из реп?

но ведь sh это POSIX shell совместимый интерпретатор, это правильно, что используют его, а не | bash

Я думаю он орет что это мол несекурно и ему Rust Foundation установит ботнет чтобы майнить Dogecoin, откуда думаешь у них финансирование?

Сегодна сайтик отдаёт всем раст, а завтра отдельно взятому анону патч бармина. А бинарник после традиционного скачивания я могу просто положить куда-нибудь на время, проанализировать, цифровую подпись проверить, хэши погуглить в интернетах, на virustotal залить в конце концов. И воообще это не бинарник должен быть, а архив.

да хоть cmd.exe

Ну лично мне такой подход тоже не нравится. Я или устанавливаю пакет из репозиториев, либо скачиваю и распаковываю папку. А запускать непонятно какой скрипт на много сотен строк я бы не стал. Это виндовс-вей, на линукс зачем это тащить. Впрочем не думаю, что у Rust нет других способов установки. Это просто для нубов, которым надо одну строчку попроще и чтобы всё заработало.

Дено тоже предлагает так себя устанавливать.

А бинарник после традиционного скачивания я могу просто положить куда-нибудь на время, проанализировать.

Туда легко запрятать тот же патч Бармина, так что вы его не найдёте. Особенно учитывая что в Линуксе стабильное ABI стабильных вызовов, скрыть вредоносный код проще простого, левый импорт числится не будет.

Линуксе стабильное ABI стабильных вызовов, скрыть вредоносный код проще простого, левый импорт числится не будет

То ли дело хайку, да?

Сегодна сайтик отдаёт всем раст, а завтра отдельно взятому анону патч бармина.

Ага, deb.debian.org, например.

А бинарник после традиционного скачивания я могу просто положить куда-нибудь на время, проанализировать.

Кто-то мешает тебе что-ли?

И воообще это не бинарник должен быть, а архив.

Двачую. Но для многих программистов распаковать архив, да ещё, не дай бог, установить какие-нибудь переменные окружения, прописать в PATH, это слишком сложно. Вон сколько пострадавших от Java. Потому так и делают там, где хотят снизить порог входа.

Под Линукс можно сделать вирусы самые ядрёные и они с любой версией ядра будут работать и на любом дистрибутиве. В Haiku спрятать вирус будет немного труднее.

Когда я качаю файл, у меня остаётся пруф зловреда, если он там есть. Если я начну исполнять скрипты из интернетов, то без дополнительных телодвижений (wireshark или tcpdump запустить на отдельной тачке и с HTTPS вопросы решать) его не будет

Да нихрена ты и 99% пользователей не будут анализировать. Они жахнут с sudo dpkg -i с пост-инсталл скриптом и будут радоваться какие они крутые и не запускают скрипты с интернета.

А с apt-get upgrade таких пост-инсталл выполнится для 500 неизвестных пакетов.

Но все равно это работает отлично почти всегда потому что мы полагаемся на 1) надёжность файлов источника 2) защиту HTTPS соединения.

Все как в curl | sh

Да много кто так предлагает себя устанавливать. Вообще по-моему это всё с макоси идёт. Не очень хорошая тенденция. Хотя принципиально в этом способе ничего криминального нет, но каждому суслику писать свой инсталлятор это шаг назад. Хотя под каждый дистрибутив опакечивать тоже такое себе развлечение, вот тут, на самом деле, одна из проблем линукса. Нужно было давно договориться и всем перейти на rpm, плюс договориться об одинаковых названиях самых важных библиотек, чтобы независимым разработчикам было попроще собирать версию под линукс.

Устанавливая пакет мы всегда запускаем непонятно какой скрипт внутри этого пакета под рутом

А с apt-get upgrade таких пост-инсталл выполнится для 500 неизвестных пакетов.

Сначала проверится их цифровая подпись

Это удобно. Но если тебе так не нравится, то ответ был перед твоими глазами https://i.imgur.com/GBd2oOi.png Но нет же, надо бежать рыдать на ЛОРе о проблеме, которая не существует.

Если я начну исполнять скрипты из интернетов, то без дополнительных телодвижений

Можно сделать:

cd downloads
wget https://sh.rustup.rs -O rustup.sh
sh rustup.sh

И скрипт останется.

Когда я качаю файл, у меня остаётся пруф зловреда, если он там есть.

Он может сам себя удалить или заменить.

Когда я качаю файл, у меня остаётся пруф зловреда, если он там есть.

Да качай, кто тебе запрещает-то? По указанному URL скрипт прекрасно скачивается. Эта команда для тех, кому не нужны пруфы. Кстати ты этим пруфом ничего не докажешь. И это проблема HTTPS. Тебе надо реально сохранять трафик wireshark-а и дампить сессионные ключи curl-а, чтобы доказать, что сервер rust-а тебе отдал зловреда. Хотя нынче highly likely во все поля, но не факт, что русским поверят.

Если я начну исполнять скрипты из интернетов, то без дополнительных телодвижений (wireshark или tcpdump запустить на отдельной тачке и с HTTPS вопросы решать) его не будет

Рекомендую curl | tee fname | sh

HTTPS сертификат сейчас каждому коту с помойки выдают. А ты вот пошёл проверил поля сертификата, действительно он на имя Rust Foundation выдан или кто там этого ржавого пилит, и не отозван ли он? :)

Причем тут цифровая подпись если речь идёт о compromised источнике, который шлёт вирусы с правильной цифровой подписью. Это лишь подорожник поверх непонятно чего когда есть HTTPS. Дистрибутиву все равно прийдётся доверять

Под Линукс можно сделать вирусы самые ядрёные и они с любой версией ядра будут работать

И это совершенно не проблема линукса.

В Haiku спрятать вирус будет немного труднее.

Я очень сомневаюсь, что разница будет хоть сколько-то значительной.

Можно. Но вот эти, рекомендующие «| sh» приучают к плохому

А в некоторых нормальных дистрах оно опакечено

https://packages.gentoo.org/packages/dev-util/rustup

https://archlinux.org/packages/community/x86_64/rustup

Взломать веб-сервер это одно, взломать компьютер разработчика, на котором есть его цифровая подпись (а, возможно, ещё и yubikey его взломать придется) это другое. Первое происходит чаще, чем второе.

Ага, мало ли че, ты уже конечно Интернет выключил, на клиенты банков не ходишь, мыло удалил на gmail.com на который уже записано все кроме права собственности на твой дом. Потому что видите ли нельзя доверять HTTPS

Нужно было давно договориться и всем перейти на rpm

а почему не на deb

Потому, что Red Hat это драйвер моды в мире Linux.

В таком случае цифровая подпись будет пруфом компрометации. А в случае с сабжевым скриптом можно всё отрицать, это мол ваш провайдер на лету скрипт подменил зловредом. И TLS 1.2 у них удобненько так не настроен, дырявые старые версии юзают

Ты путаешь истерический смех ТСа с паникой. Разрабы ололо-системного ололо-языка даже скрипт-инсталлятор не осилили. Не правда ли, смешно?

выдыхай. я, в принципе, прекрасно знаю, из-за чего это, и как это исправить. это просто демонстрация «системности» хипстеров

Мыло у меня таки собственное :)

отсутсвие таковых

Да, стандарт нужен.

А как так вышло?

вызывающе неверная информация

И это совершенно не проблема линукса.

Это проблема именно Линукса и BSD, больше такого нигде нет. Стабильное ABI системных вызовов — это зло и оно сильно упрощает написание вредоносного ПО: не надо ничего импортировать из динамических библиотек, достаточно использовать фиксированный код без обращений по каким-либо адресам. По хорошему номера системных вызовов вообще надо рандомизировать при каждом запуске как ASLR.

Я очень сомневаюсь, что разница будет хоть сколько-то значительной.

С Windows разница точно будет значительной, т.к. там часто меняют номера системных вызовов. Для виросописателей отдельная проблема получить адреса на функции ABI и номера системных вызовов. В Haiku не так часто меняют системные вызовы, но меняют.

Тебе на Первый Канал надо. Сначала ищешь что тебе нужно доказать согласно своих убеждений «Раст пишут бараны». Выжидаешь пока будет какая-то шерховатость. Бежишь на ЛОР раздувать из мухи слона. Profit

Ну слава богу в Линуксе никогда не бывает непонятного error

По хорошему номера системных вызовов вообще надо рандомизировать при каждом запуске как ASLR.

И стандартную библиотеку конпелять при запуске! Так победим!

Не, ты какой-то сильно упоротый

Можно подумать вирусописателю сложно сделать switch по популярным версиям. По-моему это не привносит какой-то безопасности. Хочешь делать какой-то фильтр вызовов - делай ядреный модуль. Остальное - профанация.

просто меня реально бесит наличие /lib64. дальше продолжать?

просто сам факт, что инсталлятор безальтернативно какой-то каканый бинарь, уже очень многое говорит от языке и тех, кто его разрабатывает

https://rust-lang.github.io/rustup/installation/other.html

Качай правильный. Если он есть

Дай определение «системному» языку программирования. И обоснуй почему оно такое, а не другое.

Почему безальтернативно? https://forge.rust-lang.org/infra/other-installation-methods.html так сложно найти? Там и тарболы есть.

а почему все эти ссылки на левом сайте расположены, сегодня гитхаб хостит этот ваш раст, а завтра там внезапно каких-нибудь трансфобов в руководстве обнаружат, и загрузки раста превратятся в тыкву

Не найдет, Rust Foundation и Github оба против трансфобов, потому трансфобов расстреляют раньше чем будут какие-то проблемы между организациями. Я бы не волновался

да я и этот поправить могу, не проблема. вопрос подхода. и огнелис, и либрофис и прочие блендеры с зумами просто дают бинари и просто их распаковывают. этому нет, надо выпендрится. системщики, хуле