[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: 新增《星际译王词典数据包 stardict-dic-data》,本人推荐的 Linux 桌面词典软件,给 Debian 打包



如果是面对新手用 . ./script.sh  不如 source script.sh 更好理解. 语法糖通常不是使用者发明的.


-Never

atzlinux <atzlinux@yeah.net> 于2019年11月20日周三 上午10:16写道:


在 2019/11/20 上午12:39, Never Min 写道:
我说这点是想说明, 今天就算是 Perl, Ruby, Python 这些系统级的语言都没有要求使用 root 去运行, 凭什么一个使用 http 明文下载的脚本即要求使用 root 来执行? 我之前就有指出过这样不安全, 但对方(我是站在使用者, 还有很多新人的角度)认为 apt 也是使用明文 http, 有签名保护所以没有关系. 今天我们知道 _javascript_ 需要同源, 否则跨站攻击太危险了, 甚至针对二进制文件如 zip 压缩包里的文件进行替换, .sh 只一个普通的文本文件, 家用级的网关就可以做到.

使用 apt 命令安装,必须要 root 权限。

之前是有听说部分家用级网关,本身有安全漏洞,被控制作为“肉鸡”。在这种情况下,黑客想干什么事情都方便,不一定非得要利用这个 .sh 文件。

为了确保端到端的安全,我刚才在脚本下载目录,针对脚本文件,增加了校验和文件以及 gpg 签名验证,欢迎对安全要求比较高的用户使用:

存放目录:http://118.24.9.73/debian/download/

公钥文件:http://118.24.9.73/debian/download/public.key 

校验和文件:http://118.24.9.73/debian/download/SHA512SUM.txt

校验和签名文件:http://118.24.9.73/debian/download/SHA512SUM.txt.sign



那是不是把网站注册一个域名, 申请一个 SSL 证书就可以发布? 或者把 .sh 文件加一个 md5 校验就是安全呢? 之前我维护的一个微博登录库被人植入代码, 原因是其中一位合作者的邮件被撞库(所幸在事情发生两小内被发现), SSL / md5 只是解决分发安全, 源头的安全呢? 服务器的安全呢? 许多大公司的基础设施被入侵许一段时间后才被发现, 这样的新闻我们常常看到.

退一步说, 如果 Debian 注脚说一句: 欢迎大家测试, 那么还有人敢在服务器安装 Debian 吗? 如果不小心安装了 A开头的公司的商业软件, 收到律师函是不是风险?

安全的水也很深,我本人并不是安全专家,我这边项目的所有内容,服务器、apt源、安装脚本、软件包等,都非常欢迎社区对安全有兴趣的朋友帮忙测试、渗透,有发现任何问题,欢迎先单独反馈我修复,谢谢!服务器  IP 为:118.24.9.73,操作系统也是 Debian。那种 DDOS 的流量攻击,就不要来了, 配置最小的云主机,不经打的。

中国商业软件的版权问题比较复杂,我这次自己打包的部分软件,有从各个网站上下载部分文件,有的是没有看到啥版权协议的,开源的,共享,最终用户允许的,商业的,各种版权混在一起,有的还历史悠久,有点搞不清了。如果有商业公司想用我的项目用于商业用途,欢迎和我联系,大家一起想办法规避解决版权问题。



我看过之前的一键安装脚本, 确实不复杂. 但是很难保证之后不会变复杂, 因为会有容错处理, 异常处理, 不同的环境处理, 再有, 现在已经使用 点 空格 点/install.sh 这样的语法, 难保之后不会加入更多的语法糖. 如果只基于事实而作评论, 扯这些扯远了, 但现在事情的发展正在跳进一个坑.

“点 空格 点/install.sh 这样的语法”,不是我发明的哈,这样说,主要是让普通用户更加易懂,操作不出错。有时候粘贴拷贝,容易把这个空格丢失。当时我有考虑加一条命令 chmod +x ,但这会导致多进行一次拷贝粘贴操作,操作麻烦。下载,安装,分为这两个步骤,也符合大部分用户的思维习惯。

保持脚本尽量简单、易读,是我认可的一个理念。针对新用户,脚本就分为两大逻辑,1.安装apt源,2.用 apt 命令安装软件;老用户直接用 apt 安装,和其它通用的软件安装方法一样。





-Never
-- 
肖盛文 Faris Xiao
邮箱:atzlinux@yeah.net
微信:atzlinux
QQ:909868357
Linux 中文桌面操作系统(基于 Debian):http://118.24.9.73/

Reply to: