Знаешь, что печально? Docker-образы работают именно так… ты скачиваешь что-то и запускаешь это. Аналогично и программы на Go используют это, прямо подгружая исходники из интернета.

Поэтому образы Docker нужно скачивать только из проверенных репозиториев, а даже в этом случае лучше считать их небезопасными сетевыми клиентами и ограничивать их подключения только теми сервисами, которые предоставляет контейнер. Что касается скачанного программного обеспечения, то можно использовать антивирус или антималварь, но при этом разумно знать, что именно вы устанавливаете и откуда.

Если доступен HTTPS/SSL, вам не стоит бояться атаки «человек посередине».

HTTP != HTTPS — вот почему я особенно подчеркнул HTTP, если кто-то использует протокол http (без шифрования) в fetch. Что касается атаки MITM на HTTPS, то такие способы тоже существуют, но для этого требуется ручное вмешательство пользователя — нужно установить CA-сертификат, который MITM-ответ использует для подписи своего сертификата. Пользователя можно обмануть с помощью каких-то хитрых приемов социальной инженерии, например, фишинга — вероятность меньше, чем с HTTP, но всё же возможна. Тем не менее, даже если MITM не проводится, остается вопрос — насколько ты доверяешь публичному источнику. Если это, к примеру, репозиторий на Github, аккаунт владельца может быть взломан, и тогда в репозиторий могут добавить вредоносный скрипт. Если это какой-то другой сайт, то ты не уверен, насколько хорошо он защищён и так далее… Я всегда придерживаюсь правила: лучше перестраховаться, чем потом жалеть.

Если только это не надежный источник, да, ты прав. Нет смысла его использовать. Здесь всё зависит от того, насколько ты доверяешь источнику. К тому же, вместо автоматизации это можно сделать вручную, распределив работу, как ты и сказал. Не каждое удобство всегда бывает полностью безопасным.

Как я уже писал в другом посте: Очевидно, что ты просто не умеешь отличать список IP-адресов от списка команд, и тут особо добавить нечего. Кто гарантирует, что ты сам на github не вставляешь команды, которые создают пользователей и открывают бекдоры в роутере? «Твоя» ссылка не просто ведёт на готовый список IP, а создаёт «импорт», куда можно спокойно засунуть любую команду для выполнения в роутере, может, это способ заработать, продавая машины на дарквебе. То, что люди «могут проверить», не значит, что они действительно проверяют, пока для других уже слишком поздно. Если ты не видишь проблему с безопасностью, то это явно не моя вина. И чтобы было понятно, я никогда не говорил про проблемы с HTTP или HTTPS, проблема именно в содержимом, а не в способе передачи. При этом предложенный скрипт НЕ устанавливает правильный SSL-сертификат и НЕ проверяет HTTPS, так что атака типа «человек посередине» всё ещё возможна…

Да, потому что большинство пользователей умеют только копировать и вставлять, не понимая, что делают, не отличая список команд от списка IP-адресов…

Что ж, это чистая фантазия, но если мне как-то удастся узнать, что именно делает мой провайдер (не важно, что на самом деле происходит), это будет означать, что их безопасность — будь то техническая или «человеческая» — напоминает дуршлаг.