<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">I can't say that I'm a security expert, but have been a system administrator of *NIX systems for 23 years, and do follow the advice from a number of real security experts.<br class=""><br class="">You mention an obvious issue with installing binaries w/o root permission, no matter where in the directory structure. There are reasons why MacPorts, and for that matter Fink, don't install in /usr/local, but those have little to do with permissions. FreeBSD installs all local ports there, as do some Linux distros, but always with root permissions.<br class=""><br class="">Homebrew follows the path of least resistance to make things easy on the end user. But at what cost?<br class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Nov 6, 2018, at 9:14 AM, Nicholas Papadonis <<a href="mailto:nick.papadonis.ml@gmail.com" class="">nick.papadonis.ml@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div dir="ltr" class=""><p style="margin-top:0px;font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px" class=""><font class="">This article goes into depth on how Homebrew opens OSX to a number of security issues. I'm curious if a security expert could comment if similar vulnerabilities exist with Macports.</font></p><p style="margin-top:0px" class=""><font class=""><font face="-apple-system, BlinkMacSystemFont, Helvetica Neue, Roboto, sans-serif" class=""><span style="font-size:14px" class="">One vulnerability is a malicious program acquiring the administrators password. The attack is opened up when Homebrew modifies /usr/local/bin permissions for r/w by a non-root user. This permission change allows an installed brew app to modify other binaries in this path, for instance sudo. Homebrew defaults the path prefix as follows /usr/local/bin:/usr/bin and therefore the malicious binary can take advantage of this by inserting another fake malicious binary.</span></font></font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px" class=""><font class="">The article is as follows:<br class=""><a href="https://applehelpwriter.com/2018/03/21/how-homebrew-invites-users-to-get-pwned/" rel="nofollow noopener" style="background-color:transparent;text-decoration:none;font-weight:bold;word-wrap:break-word" class="">https://applehelpwriter.com/2018/03/21/how-homebrew-invites-users-to-get-pwned/</a><br class="">More vulnerabilities here:<br class=""><a href="https://hackerone.com/homebrew/" rel="nofollow noopener" style="background-color:transparent;text-decoration:none;font-weight:bold;word-wrap:break-word" class="">https://hackerone.com/homebrew/</a></font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px" class=""><font class="">The author claims that Macports is more secure because the installed explicitly uses root privilege during package installation.</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px" class=""><font class="">Are there any security experts out there that can comment on the security impact of using Homebrew and Macports? To be more secure should one use all their Unix applications in a emulated Linux VirtualBox session?</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px" class=""><font class="">Thanks for any insight you may have.</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px" class=""><font class="">Nicholas</font></p></div></div>
</div></blockquote></div><br class=""><div class="">
<div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;">Marius</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;">--</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;">Marius Schamschula</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;"><br class=""></div><br class="Apple-interchange-newline">
</div>
<br class=""></body></html>