Hay que hacer una extension revisor de la comunidad, en directo! MIDU (Malware Investigator Detector Universal) DEV (Detector Extension Visualstudio) Podria con simplemente la lista y versiones de las extensiones analisar una vez y cachear para futuras consultas Como tambien podria ser una web que se le pasa la lista de extensiones+versiones

Ahora me soy cuenta que la VS no era de Visual Studio sino de Virus Source

deverdad esto es preocupante que una empresa del tamaño de microsoft no tenga una revision detallada de las extenciones que se emplean e vsc siendo la mayoria programadores o estudiantes de programacion que utilizamos vsc como editor principal y que muchas veces se manejen datos tan privados de una compañia o de uno mismo y que atacantes puedan utilizar esos datos y venderlos a su gusto me aterra y mas por que vsc es lo que mas se utiliza actualmente gracias midu

Visual studio code es de Microsoft... que buen caballo de trolla que nos ha metido el buen, generoso y bondadoso Bill, que no se pierda la costumbre. XD

Con amigos así no Necesitamos Enemigos, muchos Éxitos, saludos...

11:35 momento Windows Update

Visual Studio Code está hecho con electron que prácticamente era inseguro por defecto, permitiendo que todos sus procesos pudieran acceder a las APIs de NodeJs de manera abierta, fue hasta cierto tiempo después que se empezaron a ver temas de seguridad que dejaron los flags de seguridad activos por defecto, tanto para limitar el acceso a las APIs de Node de forma directa como para aislar el contexto de ejecución de Javascript de cada proceso, esto obviamente introdujo breaking changes porque ahora las aplicaciones que utilizaban APIs de Node en otros procesos que no fuera el principal (proceso que realizar el arranque de todo lo necesario para levantar la aplicación) ya no podían acceder a las APIs de Node directamente, e introdujeron una forma de comunicación entre procesos para permitir a los desarrolladores crear canales de comunicación entre el proceso principal y los subprocesos. Quiero pensar que Visual Studio Code fue escrito en el tiempo donde los flags de seguridad estaban desactivados por defecto y electron estaba en sus primeras etapas, por lo que el tema de extensiones al final hereda estas carencias de seguridad, y aunque ha pasado el tiempo, las herramientas han evolucionado y Visual Studio Code tenga una API para exponer ciertas funcionalidades, este no realizan el sandboxing de las extensiones para mantener la compatibilidad con todas las extensiones disponibles a día de hoy, es un intercambio doloroso, pero tiene sentido. Y aunque pensemos que es una falta a la seguridad del usuario final, otros ejemplos de este tipo de escenarios donde se busca mantener compatibilidad con las cosas que funcionaron desde siempre, pero luego empezaron a haber problemas de seguridad tenemos por ejemplo que el método HTTP POST es considerado parte de las solicitudes simples y seguras aunque en su semántica no lo sea, por lo que el CORS no imposibilita su ejecución en el servidor, luego tenemos el tema de las cookies que por defecto siempre han sido adjuntadas a partir de cualquier solicitud que se realiza al dominio al que pertenecen y hasta día de hoy es el comportamiento por defecto salvo excepciones donde se aplican otras medidas de seguridad que pueden o no estar por defecto según que navegador sea. No sé hasta que punto le sale rentable a Microsoft romper el editor para mitigar esto o realizar verificaciones estrictas de las extensiones que son publicadas mediante procesos manuales y automatizados, considerando que es un producto que les genera entre 0 y nada, pero ellos sabrán, son los expertos jaja.

No se si soy el unico, pero busque la pagina web por la url y me salio que no es segura, asi que la busque solo por el nombre y no me aparece, se me hizo raro

Es increíble que haya tardado tanto en saltar la liebre... A ver si Micro$oft compra ExtensionTotal y lo monta nativo al VS... Sería un detalle...

10:19 estaba tomando y casi me ahogo, no me esperaba ese comentario

ahora a usar las extensiones minimas posibles

Por que todo lo que tiene que ver con microsoft tiene problemas de virus y de seguridad?

MIDU, por favor has un curso o projecto de REACT NATIVE.

Me parece ridículo que ahora de repente todo el mundo se alarme. No sé desde hace cuantos años existe la documentación de VSC Extensions, pero cualquiera que le haya dedicado un par de horas sabe de sobra que tiene acceso al sistema fuera de VSC. Lleva siendo inseguro desde el día 0, la gente es muy ignorante, da igual el sector que sea. PS: mi extensión está marcada como riesgo Medio en esta web. Uso filesystem para modificar Git hooks. Le falta mucho a esta herramienta.

Entonces estamos más protegidos los que usamos VSCode en paquetería flatpak o snap porque seria sandboxes VsCode estaría aislado del SO.

Que les parecería que se hiciera una páginas que escanee una extensión

Creo que lo mejor es que creen un verificado real, y que las empresa que quieran verificar tengan que pagar un certificado y revisado del código de la extensión. Simplificando; lo mismo que hace Apple para subir una app a la tienda. Y por otro lado que mejores la parte de que cada extensión corran en su propio entorno como Docker

pienso que ya debe cobrar por publicar una extensión en vscode, y así pueda verificarse manualmente.

Muchas gracias por tu información 👍

Amigos, ¿cual es la extension que se ocupa para tener los iconos de archivos, extensiones y de copilot en la parte superior del vsCode ?

Será hora de empezar con project idx????

Midu alguna lista negra de ext de vs

Y si no olvidamos a SUBLIME TEXT y seguimos allí 👍🏻

Bueno pero entonces no que quieren todo OPEN SOURCE? Y ahora a rezar para que nuestro equipo no sea hackedo 😅

Me parece que llegado a este punto, midu debería ayudarnos a impedir este problema de seguridad

Y quien escanea a ExtensiónTotal?

Y ahora k uso? D:

sublime text no me vayas a hacer lo mismo 😔

lo del process env me asustó :(

Dadle un ojo al vídeo de S4vitar sobre el tema, mas q recomendado. Pa mear y no exar gota😅

yo con mi VSCodium en mi bolsillo

ok, vuelvo a neovim, gracias por la info

Otra buena razón para cambiarse a neovim

Mantecado... Second Commit, digo comment.

usen vim y ya

S4vitar sal de este cuerpo

Hay que volver a NetBeans

si hacen sandbox las apps no se podran hacer muchas cosas con ella ya que algunas depende que entren a tu codigo

Yo usare nano

Es por eso que prefiero neovim

ya lo decía mi abuelo antes de ir a cagar: por eso uso emacs

Que grande , Midu sacrificando su ano por la comunidad

por eso es mejor usar el bloc de notas nomás (?

Oooook, me quedo con mi VIM + Plugins xD

Se viene el declive de vscode típico así cómo subió así caerá. Culpa de Microsoft con tal de ser el editor #1 sacrificó seguridad. 😑

Larga vida a jetbrains

VScode, su mayor virtud es tmb una gran desventaja

VS Code es el santo grial de la programación

Para que no lo este constantemente pagando el usuario final Podría pagarlo el que va subir la app por la verificación

y por eso hay que aprender a usar neovim

cuanto te pagaron de extension total Midu ?!! xdxd

Comentar que el archivo /etc/passwd no contiene la información de contraseñas sino la información de todos los usuarios del sistema linux, las contraseñas encriptadas se almacenan en /etc/shadow

Hay una razón justificable para leer variables de entorno de node. Cuando una extensión lee las variable de ambiente no lee la de los .env si es que no carga el archivo. Sucede que pueden ser usadas con fines estadísticos para mejoras de performance por ejemplo. Que les archivos del sistema ya es demasiado sucio.

Respecto a la sandbox, el termino viene de cuando dejas a un niño pequeño en la típica caja de arena (mucho mas típica en USA) el niño cree que puede hacer lo que quiera, hace lo que quiere, pero realmente esta en un entorno que es imposible que la lie... Pues en código es lo mismo, lo metes en un entorno donde el código pude hacer lo que quiera, pero cualquier cosa que haga no saldrá de ese entorno (en teoría)

Gracias a esto sigo prefiriendo los IDE de intellij idea

Que rapido lo hicieron de pago, ya no es gratuita la extensionTotal

Después de VSCode hay vida.

Candela... First comment

Pregunta... con figma que pasa?