joel49 a écritMoi je veux bien ! Mais ça mériterait des explications un peu plus approfondies … ! Car lancer ce genre de propos en ayant l'air de connaître le sujet sans aller au fond de l'affaire me laisse sur ma soif !
Oui, pas de problème. J'avais posté rapidement par manque de temps.
abelthorne a écritPas de panique, c'est la méthode officielle pour installer Calibre (qui se place ensuite dans /opt), elle fonctionne sans problème.
Peu importe, en fait, que ce soit dans la doc officielle. Ça ne veut pas dire que c'est une bonne pratique.
Là, la source est légitime donc ça n'est pas forcément dangereux (voire ci-après) mais ça laisse croire que c'est une bonne façon de faire. Or, comme le dit Watael, il est préférable de télécharger d'abord entièrement le script, d'y jeter un œil (si on en a les compétences) puis de l'exécuter. En plus, ici, je trouve ce script assez stupide puisque l'équipe de calibre pourrait fournir directement le script python au lieu d'un script python encapsulé dans un script bash.
Un danger, par exemple, est que le téléchargement s'interrompe avant la fin et que bash n'éxecute qu'une partie du script (le script va être transmis à bash par bloc (une fois que le tampon est rempli)). Ça n'est pas forcément le cas de figure le plus probable mais ça n'est pas impossible (surtout si on a une connexion web bancale) et donc autant s'en prémunir.
Il y a aussi une preuve de concept où le script bash envoyé par le serveur est différent selon que la sortie est un fichier ou un “pipe“.
Remarque : pour être complètement honnête, il est vrai que le débat sur la dangerosité n'est pas unanimement tranché.
