Справедливое замечание. Спасибо.По правде говоря уже ничего серьёзного таким образом давно прилететь не может (если, конечно, вы не используете старый классический VT100-терминал).
Вот здесь хороший полный обзор того, что может прилететь, известный на сегодняший день:
https://unix.stackexchange.com/q/15101
Это касается, конечно, не только этого сервиса, но и в принципе использования команды curl, а так же cat, less -R и так далее, собственно любой, где у вас осуществляется вывод неких внешних данных на терминал (cheat.sh просто использует ANSI-последовательности по умолчанию и не скрывает этого, а другие нет, но это не означает, что они не могут их использовать).
Но в целом замечание очень справедливое, и мы предусмотрели несколько контрмер:
1) Для того чтобы полностью исключить опасность (как в этом, так и во всех остальных случаях), лучше всего удалять ANSI-последовательности из вывода:
curl -s https://cht.sh | sed -r 's/\x1b\[[0-9;]*m?//g'
или с помощью ansi2txt из пакета kbtin:
curl -s https://cht.sh | ansi2txt
2) Использовать https вместо http для того чтобы исключить возможность MITM-атак и внедрения ANSI-последовательностей в вывод.
3) Проинсталлировать cheat.sh у себя (cheat.sh это программа с открытым исходным кодом)
и или использовать https://cheat.sh в качестве аплинка (но рендеринг уже будет проводиться на вашей стороне, и вы в безопасности) или напрямую брать данные из источников (будет работать медленнее, но вы будете полностью независимы от центрального сервера cheat.sh).
Третий пункт хорош ещё тем, что вы можете добавлять свои собственные закрытые шпаргалки, касающиеся своей собственной инфраструктуры и так далее.
