アカウント名:
パスワード:
どういうことですかね?bash -c "echo foo" みたいな話?
Invoke-Expression(略して iex)というコマンドがあります。
chocolateyというhomebrewのパクりの出来損ないのようなユーティリティのインストールでも使われておりhttps://chocolatey.org/install [chocolatey.org]何となくニュアンスはつかめると思いますが、ネットからDLしたスクリプトをそのまま実行出来てしまうという凶悪な機能です。狂ってる。
# WIndows/Microsoftにあまり関わらない人生を送れててよかった...w
むしろその程度もできないモダンなOSって存在するの?
意味がわからん。具体的にどのOSのどのセキュリティ機構について言及してる?
ふつーにできるっていうか、*nixではその狂気がむしろ推奨されてることも有るよね?
PowerShellのは一般的に推奨されてる感は全く無いけれど(そもそも手打ちさせることが少ない)、「無暗号化httpにcurlした結果をbashにパイプするコマンドを推奨インストール手順にする」とかいう狂ったやり方は割と最近の*nuxで一般的な文化となっている印象なんだけど………?一般的じゃないけど出来なくもない、よりも、一般的な文化となっている、方が明らかにやばい。
PowerShellなんてデフォルトじゃスクリプトの実行すら許されてない。
むしろこんな凶悪な機能をブロックする程度のセキュリティとかテラバイト級のメモリの対応とかモバイルOSとの連携とか「モダンOS」の最低限の要件だと思うんだ。
Windowsは…すっかりレガシーに成り下がってしまって…
お、そうだな [qiita.com]# 散々問題視されてきた筈なのに未だにこんなTipsが世に出てくるザマでよく言えるな……## 問題視だけで脆弱性扱いにならない理由は省略。そしてそれはbashでもPSでも共通である。
> テラバイト級のメモリの対応とか
さらりとMac Proをdisってて草。さてはオメーAppleアンチだな。
Macでもようやく1T超のメモリを扱う環境が出て来たが(金さえ積めば)Linux/Winに比べてMacはX年遅れなんだよな。。ハードウェアの縛りのキツいエコシステムだから仕方ないが。。
Invoke-ExpressionなんてPowerShell上のコマンド実行できる前提の危険性アピールなんか意味ないだろ。evalとか知らないの?そんなん使わなくてもpowershel.exeから直接PowerShellコマンドを送れる。
そもそもマルウェアに実行権限握られてる時点でアウトだよ。PowerShellはマルウェアにとっても便利なツールってだけ。
>そもそもマルウェアに実行権限握られてる時点でアウトだよこれなんだよなぁ怪しいプログラムを実行してる時点で負け確
Invoke-Expression自体はネットからダウンロードしてないやんけ!Install-Packageをディスったほうがいいんじゃないでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
メモリ上にダウンロードしたコードを直接実行 (スコア:0)
どういうことですかね?
bash -c "echo foo" みたいな話?
Re:メモリ上にダウンロードしたコードを直接実行 (スコア:0)
Invoke-Expression(略して iex)というコマンドがあります。
chocolateyというhomebrew
のパクりの出来損ないのようなユーティリティのインストールでも使われておりhttps://chocolatey.org/install [chocolatey.org]
何となくニュアンスはつかめると思いますが、ネットからDLしたスクリプトをそのまま実行出来てしまうという
凶悪な機能です。
狂ってる。
# WIndows/Microsoftにあまり関わらない人生を送れててよかった...w
Re: (スコア:0)
むしろその程度もできないモダンなOSって存在するの?
Re: (スコア:0)
Re: (スコア:0)
意味がわからん。具体的にどのOSのどのセキュリティ機構について言及してる?
Re: (スコア:0)
ふつーにできるっていうか、*nixではその狂気がむしろ推奨されてることも有るよね?
PowerShellのは一般的に推奨されてる感は全く無いけれど(そもそも手打ちさせることが少ない)、
「無暗号化httpにcurlした結果をbashにパイプするコマンドを推奨インストール手順にする」
とかいう狂ったやり方は割と最近の*nuxで一般的な文化となっている印象なんだけど………?
一般的じゃないけど出来なくもない、よりも、
一般的な文化となっている、方が明らかにやばい。
Re:メモリ上にダウンロードしたコードを直接実行 (スコア:1)
PowerShellなんてデフォルトじゃスクリプトの実行すら許されてない。
Re: (スコア:0)
むしろこんな凶悪な機能をブロックする程度のセキュリティとか
テラバイト級のメモリの対応とか
モバイルOSとの連携とか
「モダンOS」の最低限の要件だと思うんだ。
Windowsは…すっかりレガシーに成り下がってしまって…
今週のオメーが言うなツリーはここですか? (スコア:1)
お、そうだな [qiita.com]
# 散々問題視されてきた筈なのに未だにこんなTipsが世に出てくるザマでよく言えるな……
## 問題視だけで脆弱性扱いにならない理由は省略。そしてそれはbashでもPSでも共通である。
Re: (スコア:0)
> テラバイト級のメモリの対応とか
さらりとMac Proをdisってて草。さてはオメーAppleアンチだな。
Macでもようやく1T超のメモリを扱う環境が出て来たが(金さえ積めば)
Linux/Winに比べてMacはX年遅れなんだよな。。ハードウェアの縛りのキツいエコシステムだから仕方ないが。。
Re: (スコア:0)
Invoke-ExpressionなんてPowerShell上のコマンド実行できる前提の危険性アピールなんか意味ないだろ。evalとか知らないの?
そんなん使わなくてもpowershel.exeから直接PowerShellコマンドを送れる。
そもそもマルウェアに実行権限握られてる時点でアウトだよ。PowerShellはマルウェアにとっても便利なツールってだけ。
Re: (スコア:0)
>そもそもマルウェアに実行権限握られてる時点でアウトだよ
これなんだよなぁ
怪しいプログラムを実行してる時点で負け確
Re: (スコア:0)
Invoke-Expression自体はネットからダウンロードしてないやんけ!
Install-Packageをディスったほうがいいんじゃないでしょうか。