今までyt-dlpにブラウザのアドレスバーからコピーしたURLをそのまま貼り付けて実行してたけど、地味に危険だったな。ほとんどYouTubeのURLだから問題ないだろうけど、yt-dlpが万能すぎるのでたまに他のサイトのURLも貼り付けていた。クオートせずにURLを貼り付けたときに&が含まれているとそれ以降がシェルコマンドとして実行されうる。poweroffとかの嫌がらせぐらいしか思いつかなかったが、何かもっとやばい攻撃手法があるような気もする。
今までyt-dlpにブラウザのアドレスバーからコピーしたURLをそのまま貼り付けて実行してたけど、地味に危険だったな。ほとんどYouTubeのURLだから問題ないだろうけど、yt-dlpが万能すぎるのでたまに他のサイトのURLも貼り付けていた。クオートせずにURLを貼り付けたときに&が含まれているとそれ以降がシェルコマンドとして実行されうる。poweroffとかの嫌がらせぐらいしか思いつかなかったが、何かもっとやばい攻撃手法があるような気もする。
これ、Firefoxがコピーのときにスペースと山括弧(<>)をパーセントエンコーディングしてくれるから大丈夫かと思ったが、$と()と;と{}と|はそのままコピーされるので、やはり普通に任意コード実行できた。どう考えてもクオートしないのはやばい。