ALL YOUR (VS)CODES ARE BELONG TO US

VSCode
Берём популярную цветовую тему.

А оно вообще зачем? Как-то код «радужнее» писать получается?

А оно вообще зачем? Как-то код «радужнее» писать получается?

Людям нравятся красивые вещи.

node-ipc был от проприерастов?

Будто бы расширение vim’а так не может.

А оно вообще зачем? Как-то код «радужнее» писать получается?

Людям нравятся красивые вещи.

Вы из тех кто молоток, отвертку, гаечный ключ, топор, пилу, болгарку &etc подбираете по принципу «лишь бы красиво»?

Вы из тех кто молоток, отвертку, гаечный ключ, топор, пилу, болгарку &etc подбираете по принципу «лишь бы красиво»?

Ты видимо не видел мастерские скульпторов. Украшение инструментов – наверное древнейшая форма тюнинга.

У vim нет маркетплейсов, где они делают вид, что верифицируют загруженное.

Не путайте скульптора с дровосеком.

Не путайте скульптора с дровосеком.

У папы вся бензопила была обклеена стикерами с голыми бабами. Сорян, это везде такое. Оттуда же засечки на автоматах, акульи морды на самолетах и прочее народное творчество.

а мелкософт и не способен проверить все сторонние библиотеки, которые ставятся вообще через npm… Это главная причина по которой VS Code от рута запускать не надо, его бы по-хорошему в Flatpak засунуть, но он тогда становится неюзабельным чуть менее чем полностью

У папы все бензопила была обклеена стикерами с голыми бабами.
была

Куда делась?

акульи морды на самолетах

И давно самолёты стали инструментом?

а мелкософт и не способен проверить все сторонние библиотеки, которые ставятся вообще через npm…

Нет, но он может хотя бы формально верифицировать, что проект Darcula не пытается выдать себя за проект Dracula (что происходит в статье). К тому же, Apple же как-то справляется со своим стором?

Это главная причина по которой VS Code от рута запускать не надо, его бы по-хорошему в Flatpak засунуть, но он тогда становится неюзабельным чуть менее чем полностью

Все что интересно стырить через VS Code доступно без рута.

И давно самолёты стали инструментом?

Как давно самолеты стали инструментом войны? Ну примерно в первую мировую.

ssh-ключи у меня запаролены. тырь

Я, конечно, понимаю каким образом такое могло получиться, но это опять про репутацию ms.

Вот когда весь дружный мировой опенсорц осилит родить ХОТЯ БЫ ОДИН НОРМАЛЬНЫЙ БЛОКНОТ, тогда и начинайте осторожно задирать лапу на чью-то репутацию. А до тех пор да, ноуты на люниксах будут стоить дороже, потому что психиатры для сотрудников гарантийных отделов задаром не работают.

неюзабельным чуть менее чем полностью

То есть полностью юзабельным?

ssh-ключи у меня запаролены. тырь

Во-первых, твои ssh ключи никому не всрались. Во-вторых, ничто не мешает запустить диалог во время работы с VSCode «введите пароль для вашего SSH ключа», получить пароль, расшифровать и стырить. Я знаю что ты мне сейчас скажешь ОЛОЛОЛО Я СРАЗУ ЗАМЕЧУ ЧТО ЧТО-ТО НЕ ТАК. Как показывает практика, либо не заметишь, либо окажешься одним из сотни параноиков. А твой коллега – нет.

Нет, я намеренно придаю тот смысл зеленой галочке, который в ней видят пользователи: …

Вы уж как-то слишком сильно обобщаете на всех свое индивидуальное восприятие визуальной информации) Я, например, вообще никогда не обращал внимание на галочки - только сейчас узнал их значение)) Меня всегда больше интересует авторство расширения, количество скачиваний и упоминание расширения в основной документации и в инете. Всегда заглядываю на соответствующую github-страничку.

… Что авторы статьи и сделали

Авторы статьи «подделали» название популярного расширения рассчитывая на невнимательность пользователей, что в конечном итоге и имело место. Галка, если и потребовалась, то только для имитации «солидного» расширения, имеющего домен - не больше.

Вы уж как-то слишком сильно обобщаете на всех свое индивидуальное восприятие визуальной информации) Я, например, вообще никогда не обращал внимание на галочки - только сейчас узнал их значение)) Меня всегда больше интересует авторство расширения, количество скачиваний и упоминание расширения в основной документации и в инете. Всегда заглядываю на соответствующую github-страничку.

А сотни скачавших этого не сделали.

Авторы статьи «подделали» название расширения рассчитывая на невнимательность пользователей, что в конечном итоге и имело место. Галка, если и потребовалась, то только для имитации «солидного» расширения, имеющего домен - не больше.

Смотри-ка, догадался. Я тебе сейчас скажу ужасную вещь: для большинства пользователей факт наличия галки / корки / удостоверения сразу же убирает любые сомнения. Можно попытаться воспитать поколение сверхлюдей, для которых это не так, а можно UX поправить.

… А сотни скачавших этого не делают.

Вы опять фантазируете за других - сотни скачавших расширение просто купились на «поддельное» название популярного расширения и «поддельное» название соответствующего домена, поскольку отсутствие домена действительно бросилось бы в глаза. Впрочем, можете думать как угодно -ваше право)

Вы опять фантазируете за других - сотни скачавших расширение просто купились на «поддельное» название популярного расширения и «поддельное» название соответствующего домена, поскольку отсутствие домена действительно бросилось бы в глаза.

Они это расширение увидели только благодаря тому, что:

• Оно было на главной (чуваки влегкую накрутили счетчик просмотров скриптом в контейнере)
• Оно было помечено как верифицированное (что дает очков для попадания на главную)
• Ссылка на Github вела на оригинальный репозиторий (потому что не проверяется, что ссылки совпадают с верифицированным доменом)

Ну, я думаю, определяющим все же был первый пункт и «поддельное» название популярного расширения - остальное чисто для визуального оформления «солидного» расширения:

Feeling inspired we decided to take the popular Dracula theme named “Dracula Official” (with over +6,000,000 installs) and create our own copycat “Darcula Official”.

Замечу, что многие устанавливают расширения посредством самого VSCode вообще не заходя в магазин.

Напомни, это MS недавно пыталась backdoor во все мейнстримные дистрибутивы линукса присунуть?

Да кто туда только не пытался бэкдоров совать. Например, NSA:

https://miracl.com/blog/backdoors-in-nist-elliptic-curves/

Или доебанщики сами себе бэкдор в SSH сунули:

https://threatpost.com/how-debian-openssl-bug-almost-spawned-disaster-051809/72669/

Забэкдорить лялекс – это не rocket science, когда у тебя и так в каждой версии есть неисправленный local privilege escalation.

Вот когда весь дружный мировой опенсорц осилит родить ХОТЯ БЫ ОДИН НОРМАЛЬНЫЙ БЛОКНОТ

Ну, KWrite.

А вообще emacs рулет.

… суть этой статьи заключается вовсе не в «галке», к которой вы прицепились, а в том, что в магазине отсутствует строгая модерация расширений и автоматическая проверка на всевозможные злоупотребления (на вирусы все же проверяют). Хотя, я думаю, этот цикл статей еще является и просто маркетинговым трюком для популяризации собственного продукта дополнительной проверки расширений на безопасность.

А оно вообще зачем? Как-то код «радужнее» писать получается?

Не знаю, чувак. У меня в emacs монохромная тема. И голые бабы.

… суть этой статьи заключается вовсе не в «галке», к которой вы прицепились, а в том, что в магазине отсутствует строгая модерация расширений и автоматическая проверка на всевозможные злоупотребления (на вирусы все же проверяют). Хотя, я думаю, этот цикл статей еще является и просто маркетинговым трюком для популяризации собственного продукта дополнительной проверки расширений на безопасность.

Я не знаю зачем ты мне начал доказывать что галка все правильно делает. Это очевидно плохой UX. Проблема тоже очевидно не только в ней.

emacs рулет

Технически туда тоже может прилететь чопопало. В т.ч. и в цветовой теме.

Речь ваще не о том. firkax тут заливает о какой-то плохой репутации MS. Правда не может вспомнить, что они такого плохого сделали.

Технически туда тоже может прилететь чопопало. В т.ч. и в цветовой теме.

Да, но нет. В ELPA и MELPA премодерация, в отличие от VSCode Marketplace. Совершенно другая культура.

В ELPA и MELPA премодерация

Каждой версии или только первого сабмита? Если только первого сабмита, то это одно и то же с дополнительным шагом.

Не вижу особой разницы с точки зрения пользователя.

Как минимум сборка без телеметрии это уже разница для пользователя. Кроме того, vscode это всё же не для домохозяек продукт.

Так получился VS Codium, у которого таже MIT лицензия, но деактивирована MS-телеметрия

И доступ к каталогу дополнений. Что для конфигурируемого редактора устремляет осмысленность такой сборки к нулю. Есть, конечно, у vscodium свой каталог дополнений, но когда я последний раз смотрел, то наполненность просто нельзя было даже сравнивать с каталогом от ms. При этом, я не нашёл никакой информации о необходимости ограничения доступа для сторонних сборок в интересах пользователей. Т.е. это чуть трансформированный EEE под прикрытием open source.

Т.е. это чуть трансформированный EEE под прикрытием open source.

Ты просто очень хочешь притянуть сюда EEE. Вторая буква E (Extend) говорит о практике, когда MS врывалась в стандарты, слегка их правила, добавляла проприетарных плюшек и пушила в массы. Очевидным образом, когда MS пишет свой редактор под свободной лицензией, ни о каком Extend речи идти не может – это их продукт, которым они поделились. Сделай свой стор, позови туда авторов, и будет тебе счастье в VS Codium. Просто ты не можешь, потому что опенсурс сообщество превратилось в стадо импотентов, которые даже GUI библиотеку написать не могут.

Речь ваще не о том. firkax тут заливает о какой-то плохой репутации MS. Правда не может вспомнить, что они такого плохого сделали.

Это потому что он старый маразматик, его мозг запрограммирован на C и из-за этого полон дыр и течёт памятью.

А я вот могу: можем начать с бесконечных угроз патентных исков против линуксовых вендоров в 2000х (одним из смешных следствий чего стал всратый дизайн гнума лол) и заканчивая довольно кабальными OEM-соглашениями с вендорами железа, по которым те не могли поставлять ляптопы с другими ОС, если они хотели продавать ляптопы с Windows.

От себя хочу добавить, что любой сайт или сервис, которые покупают Microsoft, сразу превращается в чудовищное неюзабельное говно. Примеров вагон: Skype, LinkedIn, GitHub. Последние два и так были не фонтан, но с переходов в лоно MS они стали вообще полным трешаком.

Каждой версии или только первого сабмита? Если только первого сабмита, то это одно и то же с дополнительным шагом.

С каждой. У авторов нет контроля над тем, что попадает в ELPA/MELPA, эти каталоги дёргают код из гита и сами дальше распространяют. Т.е. ты им кидаешь ссылку на репозитарий и коммит, который надо опакетить и всё. Заодно при этом ты им не можешь присунуть дырявый тарбол, оставив git чистым.

А я вот могу: можем начать с бесконечных угроз патентных исков против линуксовых вендоров в 2000х (одним из смешных следствий чего стал всратый дизайн гнума лол) и заканчивая довольно кабальными OEM-соглашениями с вендорами железа, по которым те не могли поставлять ляптопы с другими ОС, если они хотели продавать ляптопы с Windows.

И вроде бы да, но так делает буквально любая корпорация, которая дорывается до монополии.

От себя хочу добавить, что любой сайт или сервис, которые покупают Microsoft, сразу превращается в чудовищное неюзабельное говно. Примеров вагон: Skype, LinkedIn, GitHub. Последние два и так были не фонтан, но с переходов в лоно MS они стали вообще полным трешаком.

Большая часть опенсурс сервисов бывает такими с самого начала. Делает ли это их UX всратым? О да. Но репутация (в контексте воровства данных) тут ваще не при чем.

По чьей трактовке? Потому что у каждого задрота эти понятия свои.

Я не встречал каких-то разночтений на этот счёт. Если у тебя есть ссылки, где утверждается, что open source == free software, то давай в студию.

Ванга из тебя не очень.

Да эт не вангование, а попытки распарсить твои обрывочные фразы. Если не хочешь чтобы люди мучались в попытках понять что там у тебя в голове по твоим постам, попробуй формулировать понятнее.

Ну о чем и речь.

Так это и есть для тебя открытый рынок? =D

С каждой. У авторов нет контроля над тем, что попадает в ELPA/MELPA, эти каталоги дёргают код из гита и сами дальше распространяют. Т.е. ты им кидаешь ссылку на репозитарий и коммит, который надо опакетить и всё. Заодно при этом ты им не можешь присунуть дырявый тарбол, оставив git чистым.

Тогда отличненько. Хоть тут задроты шмогли.

И вроде бы да, но так делает буквально любая корпорация, которая дорывается до монополии.

А можно примеры других корпораций, которые бы настолько поднасрали люнексоедам?

Большая часть опенсурс сервисов бывает такими с самого начала. Делает ли это их UX всратым? О да.

Ваще ни разу. UI и UX гитеи весьма офигенен, в сравнении с гитхабом. Про опенсорсные аналоги LinkedIn я не знаю, потому что это просто раковник.

Но репутация (в контексте воровства данных) тут ваще не при чем.

А.. ну, неотключаемая нормально телеметрия в Windows, которая в том числе сообщает какой софт ты запускаешь, это уже воровство данных или ещё нет?

Я не встречал каких-то разночтений на этот счёт. Если у тебя есть ссылки, где утверждается, что open source == free software, то давай в студию.

У меня есть ссылки где толпы мозолеедов о чем-то срутся. Я не хочу туда лезть. Есть сорцы под адекватной лицензией и без дополнительных условий? Софт свободный.

Так это и есть для тебя открытый рынок? =D

Да? Разница в тысячу рублей это просто смешно. Если бы ты не мог купить ляптоп без венды, а снос венды стоил существенных денег – это была бы проблема. А если ты платишь не 50000р, а 51000р, то это все в рамках погрешности и вообще насрать.

Каким образом Copilot связан с установкой венды?

Ещё раз. В первую очередь мой тезис в том, что у ms отвратительная репутация и причин тому более чем достаточно. Выискивать проблемы с каждым из их продуктов я не намерен. Но если речь зашло о венде, то её я не поставлю на своё железо потому что не хочу чтобы мне грозили судами за отключение обновлений.

А можно примеры других корпораций, которые бы настолько поднасрали люнексоедам?

А поднасрали? Ну то есть да, они что-то пытались делать, но разве ляптопов, на которые лялекс можно накатить, стало как-то сильно меньше?

Ваще ни разу. UI и UX гитеи весьма офигенен, в сравнении с гитхабом.

На один хороший UX мы можем найти один плохой UX. Суть в том, что это не влияет на репутацию.

А.. ну, неотключаемая нормально телеметрия в Windows, которая в том числе сообщает какой софт ты запускаешь, это уже воровство данных или ещё нет?

Это неприятно, но такое же активно пушили федорасы и убунта. В любом случае, это не имеет никакого отношения к данным: исходному коду твоих приватных проектов, твоей кредитке, фоткам голых жоп твоих шлюх.

Ещё раз. В первую очередь мой тезис в том, что у ms отвратительная репутация и причин тому более чем достаточно.

И эти причины ты почему-то привести не можешь (в разрезе MS Windows), притягивая за уши опциональный Copilot, который сразу тебе говорит что будет использовать твой код для обучения.

Выискивать проблемы с каждым из их продуктов я не намерен.

Потому что ты повторюшка-дядя-хрюшка, которого когда-то научили кричать АААА МС ГОВНО ВПОПЕНСУСРС СИЛА. Вот с тех пор ты это и кричишь, не особо применяя при этом мозг.

Но если речь зашло о венде, то её я не поставлю на своё железо потому что не хочу чтобы мне грозили судами за отключение обновлений.

Лолшто? :DDDDDDD

А поднасрали? Ну то есть да, они что-то пытались делать, но разве ляптопов, на которые лялекс можно накатить, стало как-то сильно меньше?

Подавляющее большинство юзеров всегда используют дефолт. Многие даже заставку не мешают на экране. Я не шучу. Соответственно, сделав виндоус дефолтом нетехническими методами MS добились превосходства на этом рынке. Соответственно, Windows может быть насколько угодно отвратительной, юзеры это схавают.

На один хороший UX мы можем найти один плохой UX. Суть в том, что это не влияет на репутацию.

Ты не понял мой аргумент тут. Аргумент такой: MS делают сервисы, которые они покупают, хуже. Примеров обратного не найдено.

Это неприятно, но такое же активно пушили федорасы и убунта.

Нет, не пушили. В Ubuntu телеметрия:

1. отключаемая
2. передаёт сильно меньше данных, без отчётов о запущенном софте
3. спрашивает разрешение включиться при установке системы
4. показывает пример данных, которые она передаёт

В любом случае, это не имеет никакого отношения к данным: исходному коду твоих приватных проектов, твоей кредитке, фоткам голых жоп твоих шлюх.

Зато Windows Recall, делающая скриншоты экрана, имеет.

Почти смешно. Спасибо за попытку.

Но если речь зашло о венде, то её я не поставлю на своё железо потому что не хочу чтобы мне грозили судами за отключение обновлений.

Лолшто? :DDDDDDD

Конкретно ему вряд ли кто-то пригрозит, но вот в США есть такая штука как DMCA, которая в том числе запрещает обход средств защиты от копирования. Если MS всунет защиту от копирования (например венды) в Windows Update, то вполне потянет на повод для иска.

Так что конкретно вот этот ЛОРовский шизофреник весьма недалёк от истины.

… Я не знаю зачем ты мне начал доказывать что галка все правильно делает. Это очевидно плохой UX.

«Тут проблема-то не в том что любое дополнение может тебя трахнуть. Тут проблема в том, что ms якобы его верифицировало и дало ему зеленую галку, мол «вот эта штука ваще нормальная, не бойтесь поцоны». А по факту оно всех трахнуло.»

Твои слова? Вот к ним я и сделал замечание-пояснение, повлекшее дальнейший разговор - конкретно, к «ms якобы его верифицировало» и к «вот эта штука ваще нормальная, не бойтесь поцоны».

От просовывания скама никто не застрахован, и никаким интерфейсом это не победить. Да и сама статья совсем не про недостатки UX.

Подавляющее большинство юзеров всегда используют дефолт. Многие даже заставку не мешают на экране. Я не шучу. Соответственно, сделав виндоус дефолтом нетехническими методами MS добились превосходства на этом рынке. Соответственно, Windows может быть насколько угодно отвратительной, юзеры это схавают.

Когда они сделали Windows дефолтом, ни о каком десктопном ляликсе ещё речи не шло.

Ты не понял мой аргумент тут. Аргумент такой: MS делают сервисы, которые они покупают, хуже.

Хуже для кого? Skype for Business оказался весьма востребован.

Нет, не пушили.

Оно чуть лучше, но попытки протащить больше телеметрии были. Их откатывали только потому что юзеры бугуртили. Что, в целом, хорошо.

передаёт сильно меньше данных, без отчётов о запущенном софте

Но передает установленный, что в большинстве случаев то же самое.

Твои слова? Вот к ним я и сделал замечание-пояснение, повлекшее дальнейший разговор - конкретно, к «ms якобы его верифицировало» и к «вот эта штука ваще нормальная, не бойтесь поцоны».

В других сторах верификация – это верификация. Как выяснилось, даже у задротов в Emacs. Здесь это фикция.

Конкретно ему вряд ли кто-то пригрозит, но вот в США есть такая штука как DMCA, которая в том числе запрещает обход средств защиты от копирования. Если MS всунет защиту от копирования (например венды) в Windows Update, то вполне потянет на повод для иска.

Это все сильно зависит от позиции суда, и, насколько я знаю, прецедентов пока не было.