注意:这个问题已经讨论了完全相同的漏洞,但是问题的不同设置(在我的例子中我不需要存储密码)允许使用不同的解决方案(即使用文件描述符而不是将密码保存在一个文件,请参阅ilkkachu 的回答)。
假设我有一个对称加密的文件my_file(使用 gpg 1.x),我在其中存储了一些机密数据,并且我想使用以下脚本对其进行编辑:
read -e -s -p "Enter passphrase: " my_passphrase
gpg --passphrase $my_passphrase --decrypt $my_file | stream_editing_command | gpg --yes --output $my_file --passphrase $my_passphrase --symmetric
unset my_passphrase
在stream_editing_command流中替换/附加某些内容的地方。
我的问题:这安全吗?变量$my_passphrase和/或解密的输出是否以某种方式可见/可访问?如果不安全,我应该如何修改脚本?