1 votes

Ben Z. avatar

L'installation Homebrew utilise-t-elle SSL/TLS ?

Demandé el 21 de Février, 2020
Quand la question a-t-elle été
727 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai récemment installé Homebrew sur mon Mac en utilisant la commande UNIX de l'application Page d'accueil Homebrew

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

Lorsque la commande télécharge le script de Ruby, est-ce qu'elle sécuriser la connexion au serveur GitHub en utilisant TLS ou SSL ? En d'autres termes, y a-t-il une chance que j'aie pu télécharger un script malveillant si quelqu'un a intercepté ma connexion ?

En outre, quelqu'un peut-il expliquer chacune des options, drapeaux, commutateurs, etc. inclus dans la commande ci-dessus ?

Demandé el 21 de Février, 2020 par Ben Z.

Réponses

Trop de publicités?

2voto

nohillside avatar
nohillside Points 82672

Vous ne pouvez pas en être sûr, du moins pas sur la base des informations que vous avez partagées dans la question :

  • C'est un https connexion pour qu'il devrait être en sécurité
  • Néanmoins, vous pourriez vous connecter par l'intermédiaire d'un réseau qui vous a piégé/forcé à accepter un nouveau certificat et a ensuite réalisé une attaque de type "man-in-the-middle".
  • Quelqu'un a pu trafiquer le script sur Github, ce qui a entraîné une attaque au sein du script que vous avez téléchargé.
Répondu el 21 de Février, 2020 par nohillside (82672 Points )

1voto

Nimesh Neema avatar
Nimesh Neema Points 44385

En plus de la réponse par @nohillside :

Quelqu'un peut-il expliquer chacune des options, drapeaux, commutateurs, etc. inclus dans la commande ci-dessus ?

Voici la ligne de commande d'installation :

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

Voici la répartition des différentes options (à partir des pages man respectives) :

drapeaux rubis :

  1. -e : Spécifie script depuis la ligne de commande tout en indiquant à Ruby de ne pas chercher dans le reste des arguments un nom de fichier script.

drapeaux curl :

  1. -f (HTTP) Échouer silencieusement (pas de sortie du tout) sur les erreurs du serveur. Ceci est principalement fait pour mieux permettre aux scripts etc de mieux gérer les tentatives échouées. Dans les cas normaux, lorsqu'un serveur HTTP ne parvient pas à délivrer un document, il renvoie un document HTML le déclarant (qui décrit souvent aussi pourquoi et plus). Ce drapeau empêchera curl d'afficher ce document et renverra l'erreur 22.

  2. -s : Mode silencieux ou silencieux. N'affiche pas le compteur de progression ni les messages d'erreur. Rend Curl muet. Il produira toujours les données que vous demandez, potentiellement même vers le terminal/stdout à moins que vous ne le redirigiez.

  3. -S : Lorsqu'il est utilisé avec -s , --silent il fait en sorte que curl affiche un message d'erreur s'il échoue.

  4. -L : (HTTP) Si le serveur signale que la page demandée a été déplacée vers un autre endroit (indiqué par un en-tête Location : et un code de réponse 3XX), cette option fera en sorte que curl refasse la demande au nouvel endroit.

Répondu el 21 de Février, 2020 par Nimesh Neema (44385 Points )

0voto

klanomath avatar
klanomath Points 63400

A mon avis, avec les détails donnés, on ne peut rien dire d'autre :

Si la connexion utilisait une ligne sécurisée, c'était à coup sûr TLS :

raw.githubusercontent.com supporte uniquement TLS et plus spécifiquement TLS 1.0-1.2 ( Rapport ) mais pas de variante SSL (2|3).

Il n'est pas clair (ou je ne le sais pas ?) si cURL se rabat sur le HTTP non sécurisé (le brew install script est également disponible via HTTP) si vous ne forcez pas une connexion SSL/TLS (e.g. --tlsv1.0 ). Cela peut également dépendre de votre version de cURL et de votre système.

Répondu el 21 de Février, 2020 par klanomath (63400 Points )

-1voto

Elhem Enohpi avatar
Elhem Enohpi Points 389

Oui, la connexion se fait par https, qui utilise TLS. Rien n'est sûr à 100%, mais c'est aussi sûr que les sites de banque en ligne, etc. Le fichier est récupéré en utilisant curl . Type man curl pour voir tous les paramètres. Dans ce cas :

  • -f : fail - ne pas afficher les erreurs du serveur
  • -s : silencieux - n'affiche pas le compteur de progression, etc.
  • -S : show-error - affiche une erreur en cas d'échec (autre que les erreurs du serveur)
  • -L : permet de rediriger vers une autre URL
Répondu el 21 de Février, 2020 par Elhem Enohpi (389 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X