cURL, das auf libcurl basiert, ist ein beliebtes Befehlszeilentool für die Übertragung von Daten, die mit der URL-Syntax angegeben werden. Es unterstützt eine breite Palette von Protokollen wie FTP(S), HTTP(S), SCP, SFTP, SMB(S), SMTP(S) und TELNET.
Risikobehaftet
Bei vielen GitHub-Projekten und anderswo finden sich Zeilen, die mit curl -L https://raw.githubusercontent.com oder ähnlich beginnen und am Ende ein Script herunterladen und oft auch gleich ausführen. Das macht cURL zu einem beliebten Ziel für Hacker, die versuchen, dem Anwender manipulierte Daten unterzujubeln. Immer wieder gibt es gravierende Sicherheitslücken in cURL, wie zuletzt im Oktober 2023.
GnuTLS unterstützt bereits HTTP/3
Um den Erfolg solcher Angriffe abzuschwächen, hat Debian als erste Distribution mit curl 8.8.0-2, das kürzlich in Debian Unstable hochgeladen wurde, libcurl mit HTTP/3-Unterstützung gebaut. Dabei kommt als Backend GnuTLS zum Einsatz, das neben OpenSSL eine der beiden bei cURL verwendeten freien Implementierungen von SSL- und TLS-Protokollen zum Aufbau von verschlüsselten Netzwerkverbindungen ist.
Lückenlose Verschlüsselung
HTTP/3 hat das neue Transportprotokoll QUIC eingeführt, das neben Verbesserungen der Verbindungsgeschwindigkeit bei mobilen Geräten, die ständigem Wechsel der Netzwerke unterliegen, eine umfassendere Verschlüsselung auf Transportebene durch Zusammenfassung der TCP- und TLS-Handshakes bietet. Falls keine Probleme auftauchen, sollte die neue Funktion in wenigen Tagen in Debian Testing verfügbar sein und kurz darauf auch in den Backports von Debian 12 »Bookworm« zu finden sein. HTTP/3 kann dann mit cURL über die Optionen curl --http3 oder curl --http3-only genutzt werden.
Bild: Curl | Lizenz: MIT
Was kann ich alternativ nutzen?
Immer dann, wenn Alternative Quellen, z.B. für Web Browser (Brave, LibreWolf, Vivaldi) Quellen benötigt werden (ich nutze Debian Stable), dann werden diese über “curl” hinzugefügt.
Was könnte ich hier besser oder anders machen?
Alternativ kann man Sachen auch
wget-tenJa, erinnere mich. Da war etwas.
Aber warum nutzen die Projekte dann nicht “wget”?
Leider sind mir die Unterschiede nicht wirklich klar.
Das muss ich mal recherchieren.
Habe erst kürzlich auf zwei Rechnern mit ” curl” Brave installiert bzw. die Quellen dazu gefügt.
Das hätte ich dann wohl schon nicht machen sollen!
Man kann cURL durchaus nutzen. Wenn am Ende der Zeile was mit
bashsteht und man der Quelle nicht vertraut, dann sollte man diesen Teil löschen und zuerst downloaden und reinschauen, ob das drin ist, was drauf steht. Oder haltwgetnutzen.Wäre für das nächste mal interessant. Nun habe ich die Quelle (Brave Browser für Debian) eingerichtet.
Aber danke!
Habe mal ein wenig gelesen um den Unterschied zu verstehen: https://de.linux-console.net/?p=8372
Damit ändert sich die Syntax und wget ist eigentlich mehr für Websites gedacht, … habe ich verstanden, kann aber genauso auch für Dateien verwandt werden. cURL kann halt mit mehr Protokollen um und hat noch ein paar andere Features.
Am Ende geht wohl beides.
Habe ich in Erinnerung, dass Debian bereits an einer Lösung zur Risiko Minimierung am arbeiten ist.
Ich werde das Thema im Hinterkopf behalten😉