En utilisant pip ou gem, vous téléchargez du code en http que vous exécutez en root… #security
lundi 7 septembre 2015 à 15:36®om's shaarli
Par curiosité, je voulais savoir comment gem (gestionnaire de paquet de ruby) ou pip (gestionnaire de paquet de python) vérifiait les signatures de paquets (en particulier quelles sont les clés de confiance) quand on exécute "sudo gem install" ou "sudo pip install".
Réponse: par défaut, il n'y a AUCUNE vérification du tout, donc ça télécharge du code en http et l'exécute en tant que root.
Dans la vidéo à 16mn10: « PIP verifies the MD5 hashes that it downloaded in plaintext » #facepalm
À lire aussi:
https://guides.rubygems.org/security/
https://github.com/pypa/pip/issues/425
http://pyvideo.org/video/638/advanced-security-topics
(Permalink)
Par curiosité, je voulais savoir comment gem (gestionnaire de paquet de ruby) ou pip (gestionnaire de paquet de python) vérifiait les signatures de paquets (en particulier quelles sont les clés de confiance) quand on exécute "sudo gem install" ou "sudo pip install".
Réponse: par défaut, il n'y a AUCUNE vérification du tout, donc ça télécharge du code en http et l'exécute en tant que root.
Dans la vidéo à 16mn10: « PIP verifies the MD5 hashes that it downloaded in plaintext » #facepalm
À lire aussi:
https://guides.rubygems.org/security/
https://github.com/pypa/pip/issues/425
http://pyvideo.org/video/638/advanced-security-topics
(Permalink)