Бэкдор в xz/liblzma

вот не надо притягивать. малвари на пистоне написано куда больше. именно потому, что там мозгов не нужно. баш и автотулзы прекрасно работают. и написание малвари абсолютно ортогонально системам сборки и прочего.

кстати, в отличие от пистона, автотулзы и баш ничего не тащат извне, с неизвестных чужих серверов. так что уязвимости на них ещё постараться внедрить надо. в отличие от ненужно.

вот не надо притягивать. малвари на пистоне написано куда больше

Малвари, которая атакует шелл-портянки и говнокод на дидовской сишечке? Охотно верю. Но покажи мне кода на питоне, где можно настолько вольготно разместить бекдор? Где такой код?

В моделях для нейросеток. Расширение .ckpt

Там прям раздолье для такого

Примеры кода? Что бы был настолько же обфусцированный год, как в сабже.

Там тупо код запускается при загрузке модели, что даже хуже по безопасности. Можно внедрить произвольный код.

Имя, сестра! В смысле, примеры в студию. И чтобы была обфускация, как в сабже

Тут небезопасен формат сам по себе.

Подробности здесь - https://docs.python.org/3/library/pickle.html

Красненькое предупреждение сверху

И здесь например - https://huggingface.co/docs/hub/security-pickle

Пример эксплойта - https://ctftime.org/writeup/16723

Дык, нужно специально подключать небезопасный модуль, чтобы выполнять скрипты из этих файлов. А тут достаточно нечитаемой лапши надристать. В случае с питоном тебя прямо предупреждают, — гранату в рот не класть! — а с позикс шеллом никто не ограничивает написание кульхацкерски-нечитаемой каши.

Я показал код на питоне, где можно настолько вольготно разместить бекдор? Показал. Эта смена темы к чему вообще?

Ты показал. Только тут есть разница. Специально подключить модуль, который позволяет грузить потенциально опасные данные извне и запутать сам скрипт, не подключая никаких модулей.

У тебя явно проблемы. Ну да ладно, показывай «обфускация, как в сабже», но не в сабже, а где-то ещё на м4. Если ты называешь обфускацию свойством м4(либо что там ещё есть, баш и ко), то примеров таких атак должно набраться много - оно давно существует и куча всего на этом написано.

Хотя судя по тому, что ты там далее по ветке пишешь(в пистоне надо подключить, а тут уже подключил кто-то другой, и типа подключать не надо) - шансов мало.

У тебя явно проблемы

Практика показывает, что те, кто начинает с пафосного «ты дурак» и уверенного «у тебя проблемы» никак не могут конкретизировать свои утверждения. Все сводится к «ты не прав, потому что ты не прав». Давай, распиши по пунктам, где в моих утверждениях ошибки

Ошибки - в заявлении отличий одной скриптоты от другой, хотя их(качественных) нет. Для начала тебе нужно показать обфускацию, а то как-то ты быстро слился на «нет пруфоф», тогда как это у тебя они(пруфы различий) должны быть.

вот не надо притягивать. малвари на пистоне написано куда больше

У тебя, похоже, совсем кукуха протекла. Тебе ничто не мешает вызвать wget в башелапше. И ничто не мешает тебе не использовать pip или venv в коде на питоне. Сам питон спокойно работает без чужих серверов.

Короче говоря, ты демонстрируешь классическое сочетание токсично раздутого самомнения и вопиющей некомпетентности. Типчно для фанатиков говносишки.

кстати, в отличие от пистона, автотулзы и баш ничего не тащат извне, с неизвестных чужих серверов. так что уязвимости на них ещё постараться внедрить надо. в отличие от ненужно

Какая феерия! Я просто рыдаю. Тебе ведь уже прямо в лицо сунули пример вредоносного кода, написанного на замечательном позикс шелле и эффективно использующего убогость его синтаксиса. Ты просто прячешь голову в песок, попутно ругая питон, рассказывая о нем феерические небылицы.

В нормальных системах сборки абсолютно нечитаемые портянки сборки куда можно запихнуть зловред - повод посмотреть более внимательно. А на sh и автотулзах это настолько норма что никого не удивляет и все к ним привыкли

Я кстати ни разу не удивлюсь если таких случаев куда больше 1, когда configure содержит что то зловредное, все равно в автосгенеренном configure на тысячи строк никто ковыряться не станет

в системах сборки для овощей, которые неспособны применять мозговое вещество, вообще могут быть трояны прямо в самой системе и ни одна макака ничего никогда не поймёт.

Илита хочет показать что они не быдло какое то, да? Может и в электрощиток без обесточивания лазаете, типа настоящий специалист и так может?

В программировании и так хватает забот чтобы тратить еще и на систему сборки силы

нет, просто меня удивляет, как обезьянки воображают, что применение «безопасных» язычков или каких-то говноскриптов заменит им мозги. не заменит. потому что если есть проблема с непониманием, это не в компиляторах и не в конфигах проблема.

Еще раз: в коде на питоне нечитаемая портянка на 1000 строк с 30 штук ‘\’ в каждой строчке это повод спросить «что за фигня, автор?», а на sh - совершенно нормальная ситуация и никого не удивляет

Она этого не понимает. Она считает себя технарем, но техническими аргументами она пренибрегает, предпочитая эмоции и оскорбления. По этой причине она не понимает, что наглядные и самоочевидные решения лучше запутанных и нечитаемых

наглядные и самоочевидные решения

C и его синтаксис нагляден и прост как три рубля.

лучше запутанных и нечитаемых

Вы синтаксис Rust видели?

По сравнению с дрисней на шелле и раст и си — образец читаемости. Мы тут сборочные скрипты на шелле обсуждаем, если что.

нет, просто меня удивляет, как обезьянки воображают

Обезьянки — это люди, пытающиеся использовать вместо технических аргументов эмоции и ярлыки вроде «обезьянки». Ни одного технического аргумента я от тебя никогда не слышал. Только общие слова: те, кому не нравятся posix shell и Си — тупые макаки, а я Д’Артаньян. Это наводит на мысли о том, кто из нас в дейсвительности макака

если есть проблема с непониманием, это не в компиляторах и не в конфигах проблема

прямо с языка

вся разруха в головах а не клозетах!

Если система сборки обладает настолько ублюдочным синтаксисом, что позволяет без проблем замаскировать бэкдор, эта система – говно. И никакой элитизм этого не отменяет