这是一个创建于 2426 天前的主题,其中的信息可能已经有所发展或是发生改变。
acme 官方的安装命令 curl https://get.acme.sh | sh,而且需要 root 权限。在想万一哪天这个站的内容被篡改了,感觉很多系统都会中毒
 |
1
mywaiting 2019 年 5 月 24 日  1
希望黑客可以良心地增加一个 rm -rf /
|
 |
2
ThirdFlame 2019 年 5 月 24 日
|
 |
3
boris1993 2019 年 5 月 24 日 via Android 1
所以可以的情况下,不要直接甩给 shell,下载下来先人肉看一眼
|
 |
4
hgc81538 2019 年 5 月 24 日 1
|
|
7
hgc81538 2019 年 5 月 24 日
|
 |
8
feng1234 2019 年 5 月 24 日
目前已经有很多供应链投毒的案例了,灰产安全意识是远远高于普通人的,所以我觉得完全有可能被投毒过
|
 |
9
mytry OP 以前发布了假冒的 uglifyjs (中间没有 -)还有几十万安装量,没留个后门亏大了~ 🐶
|
 |
11
pmispig 2019 年 5 月 24 日
最危险的是 node.js -> npm install
所以我 npm install 都在 docker 里面执行的 |
 |
12
chenoe 2019 年 5 月 25 日 via Android
怎么不劫持 example.com
|
 |
13
jinliming2 2019 年 5 月 25 日 via iPhone
所以,不要图方便,什么一行代码完成安装,一个脚本搞定一切。
除非你先把那一行代码做的所有动作全部搞明白,或是把脚本先下载下来一行一行审查过。 楼上说的 docker 官方是有从源安装的方式的,检验 gpg key,几乎不可能被篡改,除非从一开始下载的 public key 就是篡改过的,或是遭到攻击的时候百度一下,告诉你关掉校验就能成功之类的鬼话…… |
 |
14
neilp 2019 年 5 月 27 日
有没有人推荐一个 github 的非授权代码变更通知, 或者类似的工具.
|
Select Language