SR
а сколько у яндекса юзеров?
Size: a a a
2020 October 26
SR
пока нашел только что в 2015м ежедневно на почту заходило по 8.5 млн юзеров
SR
а, вот сам отчет https://yandex.ru/company/privacy/transparencyreport
SR
круто, что теперь и у нас какие-то репорты есть
SR
интересно насколько они правдоподобны
JD
2020 October 27
JD
В тему предыдущей статьи. vscode не проверяет файлы расширений, которые запускает. Например, если подменить файлы любого расширения, например, gitlens, vscode запустит этот код как ни в чём не бывало.
Например, заменяем файл
Например, заменяем файл
$HOME/.vscode/extensions/eamodio.gitlens-10.2.2/dist/extension.js. И vscode обработает всё что там есть.НС
В тему предыдущей статьи. vscode не проверяет файлы расширений, которые запускает. Например, если подменить файлы любого расширения, например, gitlens, vscode запустит этот код как ни в чём не бывало.
Например, заменяем файл
Например, заменяем файл
$HOME/.vscode/extensions/eamodio.gitlens-10.2.2/dist/extension.js. И vscode обработает всё что там есть.Если у вас на машине что-то может подменять файлы расширений, то всё уже плохо.
НС
А вот чтение из C: это неоч на винде, потому что при кривой виндовой многоюзерности в какую-то из этих директорий может кто угодно писать.
Но это только если юзеров несколько за одной машиной, и там винда.
Но это только если юзеров несколько за одной машиной, и там винда.
JD
Если у вас на машине что-то может подменять файлы расширений, то всё уже плохо.
всё от текущего юзера. от багов в том же браузере никто не застрахован.
JD
А вот чтение из C: это неоч на винде, потому что при кривой виндовой многоюзерности в какую-то из этих директорий может кто угодно писать.
Но это только если юзеров несколько за одной машиной, и там винда.
Но это только если юзеров несколько за одной машиной, и там винда.
я в убунте проверял, на винде надо отдельно смотреть, утилиты от sysinternals качать.
НС
я в убунте проверял, на винде надо отдельно смотреть, утилиты от sysinternals качать.
в убунте хрен-с-горы не может в
/node-modules писать (чтобы остальных юзеров задело)НС
А на винде в
C:/node-modules — другой вопросJD
В
/node-modules vscode не смотрит, я только что strace проверил, только в /usr/share и из домашней папки расширения грузит2020 November 03
НС
Брешут немного
Там не весь исходный код, но есть куча данных и тулзов, пишут
Там не весь исходный код, но есть куча данных и тулзов, пишут
MF
Интересно сколько весит весь
2020 November 04
JD
AK
В репозитории NPM выявлен вредоносный пакет twilio-npm
В репозитории NPM выявлен вредоносный пакет twilio-npm, в котором присутствует бэкдор, позволяющий управлять системой с внешнего сервера (во время импортирования модуля создаётся соединение с сервером злоумышленников и запускается reverse shell).
В репозитории NPM выявлен вредоносный пакет twilio-npm, в котором присутствует бэкдор, позволяющий управлять системой с внешнего сервера (во время импортирования модуля создаётся соединение с сервером злоумышленников и запускается reverse shell).