uname hat geschrieben:Aber ich gehe mal davon aus, dass viele Linux-Anwender gar nicht wissen, wie man ein DEB-Paket mit "ar x *.deb" und "tar xvzf ..." manuell vorher auseinanderbaut.
Das geht auch mit den grafischen Packprogrammen.
uname hat geschrieben:Aber auch der Hoster der Fremdsoftware könnte ja versuchen den Code vorher zu überprüfen (wohl eher unwahrscheinlich).
Sowas geht nur automatisiert. Wie willst du automatisiert feststellen, ob ein
rm -f /*.* wie hier geschehen dazu gedacht ist Schaden anzurichten? Dabei werden "nur" die initrds und vmlinuz.old gelöscht, was für viele schon schlimm genug ist. Aber ehrlich gesagt wäre ich persönlich nicht darauf gekommen, automatisch zu pürfen, ob so ein abstruser Befehl abgesetzt wird. Natürlich kannst du prüfen, ob Variationen von
rm / enthalten sind, aber dabei wirst du viele false positives kriegen und die Anzahl der false negatives bleibt hoch. Konsequenterweise müsstest du dann auch
dd als "Schadsoftware" ausweisen, sofern es auf ein Device schreibt. Damit erschlägst du alles, was einen USB-Bootstick erstellt. Auch mit
fdisk lässt sich Schindluder treiben und alles was irgendene Ausgabe erzeugt ist potentiell gefährlich wenn ich die Ausgabe in eine Datei umlenke. Dafür brauche ich nicht mal root-Rechte.
Daher bleibt realistisch betrachtet nur das:
uname hat geschrieben:Meiner Meinung nach ist der Anwender in der Pflicht, der wie bei Windows nicht jeder dahergelaufenen Fremdquelle trauen darf.