VSCode: El editor de codigo con extensiones maliciosas 

Hay que hacer una extension revisor de la comunidad, en directo! MIDU (Malware Investigator Detector Universal) DEV (Detector Extension Visualstudio) Podria con simplemente la lista y versiones de las extensiones analisar una vez y cachear para futuras consultas Como tambien podria ser una web que se le pasa la lista de extensiones+versiones

Ahora me soy cuenta que la VS no era de Visual Studio sino de Virus Source

deverdad esto es preocupante que una empresa del tamaño de microsoft no tenga una revision detallada de las extenciones que se emplean e vsc siendo la mayoria programadores o estudiantes de programacion que utilizamos vsc como editor principal y que muchas veces se manejen datos tan privados de una compañia o de uno mismo y que atacantes puedan utilizar esos datos y venderlos a su gusto me aterra y mas por que vsc es lo que mas se utiliza actualmente gracias midu

11:35 momento Windows Update

Muchas gracias por tu información 👍

Con amigos así no Necesitamos Enemigos, muchos Éxitos, saludos...

Visual studio code es de Microsoft... que buen caballo de trolla que nos ha metido el buen, generoso y bondadoso Bill, que no se pierda la costumbre. XD

Visual Studio Code está hecho con electron que prácticamente era inseguro por defecto, permitiendo que todos sus procesos pudieran acceder a las APIs de NodeJs de manera abierta, fue hasta cierto tiempo después que se empezaron a ver temas de seguridad que dejaron los flags de seguridad activos por defecto, tanto para limitar el acceso a las APIs de Node de forma directa como para aislar el contexto de ejecución de Javascript de cada proceso, esto obviamente introdujo breaking changes porque ahora las aplicaciones que utilizaban APIs de Node en otros procesos que no fuera el principal (proceso que realizar el arranque de todo lo necesario para levantar la aplicación) ya no podían acceder a las APIs de Node directamente, e introdujeron una forma de comunicación entre procesos para permitir a los desarrolladores crear canales de comunicación entre el proceso principal y los subprocesos. Quiero pensar que Visual Studio Code fue escrito en el tiempo donde los flags de seguridad estaban desactivados por defecto y electron estaba en sus primeras etapas, por lo que el tema de extensiones al final hereda estas carencias de seguridad, y aunque ha pasado el tiempo, las herramientas han evolucionado y Visual Studio Code tenga una API para exponer ciertas funcionalidades, este no realizan el sandboxing de las extensiones para mantener la compatibilidad con todas las extensiones disponibles a día de hoy, es un intercambio doloroso, pero tiene sentido. Y aunque pensemos que es una falta a la seguridad del usuario final, otros ejemplos de este tipo de escenarios donde se busca mantener compatibilidad con las cosas que funcionaron desde siempre, pero luego empezaron a haber problemas de seguridad tenemos por ejemplo que el método HTTP POST es considerado parte de las solicitudes simples y seguras aunque en su semántica no lo sea, por lo que el CORS no imposibilita su ejecución en el servidor, luego tenemos el tema de las cookies que por defecto siempre han sido adjuntadas a partir de cualquier solicitud que se realiza al dominio al que pertenecen y hasta día de hoy es el comportamiento por defecto salvo excepciones donde se aplican otras medidas de seguridad que pueden o no estar por defecto según que navegador sea. No sé hasta que punto le sale rentable a Microsoft romper el editor para mitigar esto o realizar verificaciones estrictas de las extensiones que son publicadas mediante procesos manuales y automatizados, considerando que es un producto que les genera entre 0 y nada, pero ellos sabrán, son los expertos jaja.

por eso es mejor usar el bloc de notas nomás (?

Oooook, me quedo con mi VIM + Plugins xD

10:19 estaba tomando y casi me ahogo, no me esperaba ese comentario

Es increíble que haya tardado tanto en saltar la liebre... A ver si Micro$oft compra ExtensionTotal y lo monta nativo al VS... Sería un detalle...

No se si soy el unico, pero busque la pagina web por la url y me salio que no es segura, asi que la busque solo por el nombre y no me aparece, se me hizo raro

Respecto a la sandbox, el termino viene de cuando dejas a un niño pequeño en la típica caja de arena (mucho mas típica en USA) el niño cree que puede hacer lo que quiera, hace lo que quiere, pero realmente esta en un entorno que es imposible que la lie... Pues en código es lo mismo, lo metes en un entorno donde el código pude hacer lo que quiera, pero cualquier cosa que haga no saldrá de ese entorno (en teoría)

Hola midu Esta noticia me hizo desinstalar extensiones que ni eran peligrosas. Tengo un problema desde siempre y no se como resolverlo. Al entrar en los HOST con VSCode por SSH este instala la tipica carpeta oculta .vsc y dentro sube un monton de archivos de las extensiones. El problema es que siempre se queda una de estas extensiones enganchada gastando recursos y mi host me bloquea la IP ademas de limitar el host por uso excesivo de recursos. El caso es que aun deshabilitando las gran mayoría de extensiones me sigue pasando. Asi que solo entro por SFTP, perdiendo gran parte de la potencia que VSCode proporciona si lo hiciera por SSH conoces alguna solucion para esto?

Me parece que llegado a este punto, midu debería ayudarnos a impedir este problema de seguridad

ahora a usar las extensiones minimas posibles

Creo que lo mejor es que creen un verificado real, y que las empresa que quieran verificar tengan que pagar un certificado y revisado del código de la extensión. Simplificando; lo mismo que hace Apple para subir una app a la tienda. Y por otro lado que mejores la parte de que cada extensión corran en su propio entorno como Docker

MIDU, por favor has un curso o projecto de REACT NATIVE.

Midu alguna lista negra de ext de vs

Hay una razón justificable para leer variables de entorno de node. Cuando una extensión lee las variable de ambiente no lee la de los .env si es que no carga el archivo. Sucede que pueden ser usadas con fines estadísticos para mejoras de performance por ejemplo. Que les archivos del sistema ya es demasiado sucio.

Será hora de empezar con project idx????

Y si no olvidamos a SUBLIME TEXT y seguimos allí 👍🏻

Larga vida a jetbrains

pienso que ya debe cobrar por publicar una extensión en vscode, y así pueda verificarse manualmente.

VS Code es el santo grial de la programación

Que les parecería que se hiciera una páginas que escanee una extensión

Entonces estamos más protegidos los que usamos VSCode en paquetería flatpak o snap porque seria sandboxes VsCode estaría aislado del SO.

Amigos, ¿cual es la extension que se ocupa para tener los iconos de archivos, extensiones y de copilot en la parte superior del vsCode ?

Gracias a esto sigo prefiriendo los IDE de intellij idea

Comentar que el archivo /etc/passwd no contiene la información de contraseñas sino la información de todos los usuarios del sistema linux, las contraseñas encriptadas se almacenan en /etc/shadow

Los mortales: etecé password 😤 Los pijoparlantes: itisí password 🧐🍷 Midudev: *etcétera* password 🥴

VScode, su mayor virtud es tmb una gran desventaja

Bueno pero entonces no que quieren todo OPEN SOURCE? Y ahora a rezar para que nuestro equipo no sea hackedo 😅

Después de VSCode hay vida.

lo del process env me asustó :(

Por que todo lo que tiene que ver con microsoft tiene problemas de virus y de seguridad?

Y quien escanea a ExtensiónTotal?

Y ahora k uso? D:

ok, vuelvo a neovim, gracias por la info

yo con mi VSCodium en mi bolsillo

Dadle un ojo al vídeo de S4vitar sobre el tema, mas q recomendado. Pa mear y no exar gota😅

Me parece ridículo que ahora de repente todo el mundo se alarme. No sé desde hace cuantos años existe la documentación de VSC Extensions, pero cualquiera que le haya dedicado un par de horas sabe de sobra que tiene acceso al sistema fuera de VSC. Lleva siendo inseguro desde el día 0, la gente es muy ignorante, da igual el sector que sea. PS: mi extensión está marcada como riesgo Medio en esta web. Uso filesystem para modificar Git hooks. Le falta mucho a esta herramienta.

Mantecado... Second Commit, digo comment.

Pregunta... con figma que pasa?

Candela... First comment

sublime text no me vayas a hacer lo mismo 😔

Para que no lo este constantemente pagando el usuario final Podría pagarlo el que va subir la app por la verificación

Se viene el declive de vscode típico así cómo subió así caerá. Culpa de Microsoft con tal de ser el editor #1 sacrificó seguridad. 😑

Que rapido lo hicieron de pago, ya no es gratuita la extensionTotal

Yo usare nano

y por eso hay que aprender a usar neovim

usen vim y ya

Hay que volver a NetBeans

Otra buena razón para cambiarse a neovim

S4vitar sal de este cuerpo

ya lo decía mi abuelo antes de ir a cagar: por eso uso emacs

si hacen sandbox las apps no se podran hacer muchas cosas con ella ya que algunas depende que entren a tu codigo

Que grande , Midu sacrificando su ano por la comunidad

cuanto te pagaron de extension total Midu ?!! xdxd

Es por eso que prefiero neovim