Si le problème est de faire un paquet qui ne fout pas la grouille dans le système avec des fichiers partout : une appimage, ça fait un seul (gros) fichier à mettre dans un dossier bien identifié (~/.local/bin ou /usr/local/bin).
Si le problème est de lancer une application de "pas confiance" : la sandboxer avec podman/docker en rootless avec --cap-drop=all et --read-only ou mieux une vm ou encore plus mieux une machine physique ou encore super plus mieux ne pas la lancer /o\
Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board
Un des points de l'article c'est justement de dire que lire le script (en ligne) avant de l'exécuter n'est pas une garantie. Il faut le télécharger, le lire hors ligne, puis exécuter la version téléchargée et vérifiée sans relancer le téléchargement depuis le site, ce dernier pouvant détecter l'enchaînement curl | bash en direct et modifier le code au milieu du téléchargement.
# apt en utilisateur ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 5 (+3/-1).
Il existe une manière de faire propre ? Je n ai pas l'impression. Il faudrait une sorte d install exterieur mais contrôlée. flatpack ?
"La première sécurité est la liberté"
[^] # Re: apt en utilisateur ?
Posté par devnewton 🍺 (site web personnel) . Évalué à 10 (+9/-0). Dernière modification le 29 avril 2026 à 18:58.
Si le problème est de faire un paquet qui ne fout pas la grouille dans le système avec des fichiers partout : une appimage, ça fait un seul (gros) fichier à mettre dans un dossier bien identifié (~/.local/bin ou /usr/local/bin).
Si le problème est de lancer une application de "pas confiance" : la sandboxer avec podman/docker en rootless avec
--cap-drop=allet--read-onlyou mieux une vm ou encore plus mieux une machine physique ou encore super plus mieux ne pas la lancer /o\Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board
[^] # Re: apt en utilisateur ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 2 (+0/-1).
Oui mais c'est hyper long et technique quand tu as le curl | sudo bash qui te fais de l’œil à coté.
"La première sécurité est la liberté"
[^] # Re: apt en utilisateur ?
Posté par pas_pey . Évalué à 4 (+2/-0).
Sauf sous QubesOS, où tout est pensé pour faciliter le lancement d'une appli ou même l'ouverture d'un document dans une VM jetable.
[^] # Re: apt en utilisateur ?
Posté par gUI (Mastodon) . Évalué à 9 (+6/-0). Dernière modification le 29 avril 2026 à 21:05.
Heu… plus propre que de télécharger un script random et l'exécuter directement sans même le lire ? Sûrement oui !
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: apt en utilisateur ?
Posté par pas_pey . Évalué à 6 (+4/-0).
Un des points de l'article c'est justement de dire que lire le script (en ligne) avant de l'exécuter n'est pas une garantie. Il faut le télécharger, le lire hors ligne, puis exécuter la version téléchargée et vérifiée sans relancer le téléchargement depuis le site, ce dernier pouvant détecter l'enchaînement curl | bash en direct et modifier le code au milieu du téléchargement.
[^] # Re: apt en utilisateur ?
Posté par fearan . Évalué à 3 (+0/-0).
Yep moi je connaissait déjà le changement en fonction du user agent, j'avais pas pensé à la détection de l'enchainement, qui est plus fourbe.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: apt en utilisateur ?
Posté par Christophe "CHiPs" PETIT (site web personnel) . Évalué à 1 (+2/-2).
J'ai quelques notions de shell mais je ne vois pas trop comment le serveur peut différencier "curl xxxx | sudo bash -" et "curl xxxx > toto" ???
[^] # Re: apt en utilisateur ?
Posté par gUI (Mastodon) . Évalué à 9 (+6/-0).
Faut lire l'article !
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: apt en utilisateur ?
Posté par Jean-Philippe Garcia Ballester . Évalué à 3 (+1/-0).
homebrew ?
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.