ALL YOUR (VS)CODES ARE BELONG TO US

Впрочем, ничего нового

Новое тут то, что вывести вредоносное дополнение на главную страницу VSCode, оказывается, весьма просто. Ждём аналогичных историй из FlatHub и его убунтоидного аналога.

Ещё новое тут то, что MS никак не верифицирует, что загруженное дополнение соответствует заявленным исходникам в гите.

А я писал, что этот ваш VSCode – редкостное говнище. Нормальный софт на джава-скриптах не пишут. Просто потому что нормальные разработчики знают больше одного языка и умеют выбирать инструмент под задачу, в отличии от веб-макак.

… история о том, как, оказывается, можно без проблем загрузить в магазин дополнений к VSCode троянского коня

Так это относится не только к VSCode, но и вообще ко всему, где имеет место «коллективное творчество») Устанавливая что-то, созданное третьими лицами, вы им фактически полностью доверяете по части безопасности кода. Так что, осторожнее надо быть и не ставить что попало неизвестно от кого - ну, т.е. не быть совсем уж лохом. Против самого VSCode, кстати, ничего не имею против - вполне приличный и полезный продукт - от Microsoft)

Так, кто последний в очереди указать, что собственно изначально «vscode не нужен», а уже потом всё остальное? Я уже в который раз убеждаюсь, что практически любые доселе чисто теоретические, или даже догматические опасения имеют свойство сбываться.

Тебе и пишут: ничего нового.

Тут бы взять и сделать вывод, что софт не из дистра не нужен, или *сторы, или *сторы без модерации, но нет, это ж новый вывод делать придется, а в межушной нейросети еще старый где-то оставался, там тоже такие буквы были.

Тут проблема-то не в том что любое дополнение может тебя трахнуть. Тут проблема в том, что ms якобы его верифицировало и дало ему зеленую галку, мол «вот эта штука ваще нормальная, не бойтесь поцоны». А по факту оно всех трахнуло.

проблема в том, что ms якобы его верифицировало и дало ему зеленую галку, мол «вот эта штука ваще нормальная, не бойтесь поцоны».

Нигде не видел и не читал такого. Опять же, что подразумевать под «этой штукой»? - VSCode как таковой с его встроенными, фирменными расширениями и расширениями от других серьезных компаний или вообще всё включая прибамбасы от кого угодно?
Вы же не хаете веб-обозреватели за то, что у них есть свои магазины расширений.

Тут проблема в том, что ms якобы его верифицировало

Согласен, доверие верификациям от мс в чьих-то головах - это изначально проблема. Нашли кому доверять. Те же люди потом ставят оффтопик на голое железо без огороженных виртуалок снаружи, да ещё и дуалбутом на тот же диск где линукс стоит, думая что мс хорошие и ничего не напортят.

• https://code.visualstudio.com/docs/editor/extension-marketplace#_can-i-trust-extensions-from-the-marketplace

• https://stackoverflow.com/questions/67493012/how-safe-are-extensions-in-visual-studio-code

• https://code.visualstudio.com/blogs/2022/11/28/vscode-sandbox

Note: The sandbox is enabled by default since early 2023.

Проблема находится уровнем выше - мс может безо всяких расширений украсть любые данные из своей IDE, если у неё будет на то коммерческий или политический (по гос заказу) интерес.

Проблема находится уровнем выше - мс может безо всяких расширений украсть любые данные из своей IDE

И чо?) Тоже самое может сделать любой софт в отношении доступных ему данных) Теперь вообще ничего не использовать?

Не использовать софт от разработчиков с плохой репутацией. В частности злостных проприерастов.

Я вообще удивлён как за годы среди линукс-сообщества вырастилась толерантность к мс, раньше ж совсем не так было.

Мораль истории: ну ты понел.

Водка опять подорожает?

Не использовать софт от разработчиков с плохой репутацией. В частности злостных проприерастов.

Почему нет? Если код открытый.

This source code is available to everyone under the standard MIT license.

Цитата про яйца и неправилные двери.

Ты не понял о чем речь идет :DDD

Не использовать софт от разработчиков с плохой репутацией. В частности злостных проприерастов.

vscode открыт. И репутация у ms отличная, windows это ОС #1 на десктопах. На открытом рынке. С бесплатными альтернативами.

Те же люди потом ставят оффтопик на голое железо без огороженных виртуалок снаружи, да ещё и дуалбутом на тот же диск где линукс стоит, думая что мс хорошие и ничего не напортят.

А что, они воровали что-то у пользователей? Ссылки на судебные разбирательства в студию.

Воровать так, чтоб потом попасть в суд и как минимум публично спалиться, будет только дурак. Ну а про воровство по гос заказу точно никаких судов не будет.

Воровать так, чтоб потом попасть в суд и как минимум публично спалиться, будет только дурак. Ну а про воровство по гос заказу точно никаких судов не будет.

Ясно, значит не воруют. А разговоров-то было.

Ты не понял о чем речь идет

Может и не понял - надо формулировать более однозначно)

Куда уж однозначнее: расширение получило галку, что оно верифицировано. Верификации не было.

Дописал тебе в коммент что ты засланец от микрософта.

Как будто меня волнуют комменты сетевых сумасшедших.

Проблема в том, что любое расширение может сливать пользовательские данные?

расширение получило галку, что оно верифицировано. Верификации не было.

Верифицировано на что конкретно? И почему же не было?

We even had a domain name darculatheme.com, similar to the official draculatheme.com. Surprisingly the only thing you need to do to become a verified publisher on the VSCode Marketplace is the verify your domain, …

что и было честно выполнено.

Ну и чего с моей дрисней они собираются делать? ИИ тренировать?

Пусть код и открыт, но продукт же проприетарный. А альтернативным сборкам проход в магазин дополнений заказан.

vscode открыт

код открыт, а продукт проприетарный. ну и открытый код != свободное ПО.

vscode открыт

да-да. про EEE все слыхали. ms молодцы. отличная репутация

windows это ОС #1 на десктопах. На открытом рынке. С бесплатными альтернативами.

ну да. они ж никогда не заявлили всякие глупости из разряда «скачивая линукс, вы скачиваете коммунизм». ну и открытый рынок это прикол. я лично видел в одном магазине 2 ноута одной модели с 2мя ОС: линукс и винда. угадаешь какой был дороже?

Зачем что-то воровать, если пользователи (которые не читают лицензионное соглашение или пренебрегают сохранностью данных) сами свои данные несут в ручках мелкософту?

Это не верификация, это скам.

Зачем что-то воровать, если пользователи (которые не читают лицензионное соглашение или пренебрегают сохранностью данных) сами свои данные несут в ручках мелкософту?

На ms работает большая часть компаний в мире. Где прецеденты-то?

Прецеденты чего? Сбора данных? Они вроде не скрывают.

Это не верификация, это скам.

Скам - это то, что сделали авторы статьи переставив буквочки в названии исходного расширения и в своем домене)

ну и открытый код != свободное ПО

Лолшто? Там MIT, свободнее некуда.

да-да. про EEE все слыхали. ms молодцы. отличная репутация

Какой в жопу EEE, vscode это продукт MS. Что они embrace and extinguish, свой собственный код? :DDDD

ну и открытый рынок это прикол. я лично видел в одном магазине 2 ноута одной модели с 2мя ОС: линукс и винда. угадаешь какой был дороже?

На четыре тыщи? Не смешно.

Скам - это то, что сделали авторы статьи переставив буквочки в названии исходного расширения и в своем домене)

Все так. И получили галочку, сообщающую что эти парни проверенные, им можно доверять.

Они не скрывают что, что скачивают исходники продуктов твоей корпорации?

Лолшто? Там MIT, свободнее некуда.

Я уже понял, что ты путаешь open source и free software. В 3й раз писать не надо. Просто почитай в чём разница.

Какой в жопу EEE, vscode это продукт MS

Это было к репутации ms, а не к vscode.

На четыре тыщи? Не смешно.

Похоже, ты предположил, что дешевле был ноут с линуксом на четыре тыщи, но нет. Дешевле был ноут с вендой. Не на много, на тысячу может (правда дело был лет 10 назад) но всё же. Я, конечно, понимаю каким образом такое могло получиться, но это опять про репутацию ms.

… Все так. И получили галочку, сообщающую что эти парни проверенные, им можно доверять.

Вы намеренно или чисто подсознательно придаете свой собственный смысл термину «verified publisher» - явно не соответствующий тому, что есть на самом деле. Не забывайте, что смысл каждого технического термина, относящегося к конкретному продукту, в принципе нельзя додумывать самостоятельно - для этого есть документация:

Verify a publisher
You can become a verified publisher by verifying ownership of an eligible domain associated with your brand or identity. Once your publisher is verified, the Marketplace will add a verified badge to your extension details.

https://code.visualstudio.com/api/working-with-extensions/publishing-extension

Зачем же. Можно биток майнить. Можно тебе код модифицировать и показывать как будто он не модифицирован, но компилировать всё как надо. Так что ты сам соберёшь софт с майнером и поставишь его туда где твоя дрисня используется, чтоб она биток майнила.

Some programmers have even noticed that Copilot seems to copy their code in its resulting outputs. On Twitter, open-source users have documented examples of the software spitting out lines of code that are strikingly similar to the ones in their own repositories.

Думаешь пункт про сбор данных был включен в продукты ms по приколу?

Не вижу особой разницы с точки зрения пользователя. Но тем не менее MS не запрещает самому собрать «свой VS Code» из их исходников. Так получился VS Codium, у которого таже MIT лицензия, но деактивирована MS-телеметрия, это основное отличие от VS Code.

The VSCodium project exists so that you don’t have to download+build from source. This project includes special build scripts that clone Microsoft’s vscode repo, run the build commands, and upload the resulting binaries for you to GitHub releases. These binaries are licensed under the MIT license. Telemetry is disabled.

Ты глупый или прикидываешься? Код это не что-то материальное чтоб его кража была сразу заметна. А палиться на их месте, повторю, будут только идиоты, ну либо кто-то совсем наглый и уверенный в своей безнаказанности. Тайком зеркалировать интересующие данные себе на сервер они могут совершенно без видимых тебе «прецедентов», и это само по себе уже воровство. А как и когда это использовать дальше - уже другой вопрос, но и тут есть варианты делать это незаметно для окружающих.

Я уже понял, что ты путаешь open source и free software. В 3й раз писать не надо. Просто почитай в чём разница.

По чьей трактовке? Потому что у каждого задрота эти понятия свои.

Похоже, ты предположил, что дешевле был ноут с линуксом на четыре тыщи, но нет.

Ванга из тебя не очень.

Дешевле был ноут с вендой. Не на много, на тысячу может

Ну о чем и речь.

Ты глупый или прикидываешься? Код это не что-то материальное чтоб его кража была сразу заметна. А палиться на их месте, повторю, будут только идиоты, ну либо кто-то совсем наглый и уверенный в своей безнаказанности. Тайком зеркалировать интересующие данные себе на сервер они могут совершенно без видимых тебе «прецедентов», и это само по себе уже воровство. А как и когда это использовать дальше - уже другой вопрос, но и тут есть варианты делать это незаметно для окружающих.

MS Windows система #1 уже лет тридцать во всем цивилизованном мире. Пруфы есть? Нет. Значит ты балабол.

Думаешь пункт про сбор данных был включен в продукты ms по приколу?

Каким образом Copilot связан с установкой венды?

Вы намеренно или чисто подсознательно придаете свой собственный смысл термину «verified publisher» - явно не соответствующий тому, что есть на самом деле.

Нет, я намеренно придаю тот смысл зеленой галочке, который в ней видят пользователи: ДА, ВСЕ ЗАШИБИСЬ, ЭТОМУ ПАБЛИШЕРУ МОЖНО ВЕРИТЬ. Если зеленая галка на главной странице означает что-то другое – надо пойти к тем, кто это сделал, и объяснить им где и как они неправы. Что авторы статьи и сделали.

Не использовать софт от разработчиков с плохой репутацией. В частности злостных проприерастов.

Напомни, это MS недавно пыталась backdoor во все мейнстримные дистрибутивы линукса присунуть? Или это был опенсурсный проект с богатой историей?