Xsm*_*ael 2 security privacy visual-studio-code vscode-settings
VS Code 随着其疯狂的扩展变得越来越强大,但伴随着所有这些灵活性和强大功能而来的是安全和隐私风险。
因此,我的问题是是否有可能阻止特定扩展程序访问互联网。
答案似乎是否定的,您无法阻止扩展网络访问:
VSCode 问题 #52116:扩展权限、安全沙盒和更新管理提案保持开放。最近有评论者活动,但我没有看到 VSCode 团队采取行动的迹象。
问题如何完全禁用来自 vs 代码(遥测、更新等)的网络请求报告说,设置明显的开关不会阻止 VSCode 发出网络请求。
我制作了自己的简单扩展,它使用http模块发出外部网络请求,并且工作正常。
我尝试http.proxy在settings.json.
相关地,人们可能会问是否有任何系统可以检测或防止恶意扩展行为。答案似乎是否定的:
VSCode 扩展的安全和隐私问题及其答案基本上似乎归结为“运行您自己的防火墙”。
问题VS Code 扩展安全性如何处理?它的答案归结为“微软没有采取任何措施来确保扩展不是恶意的”。
我个人已将一个扩展程序上传到市场。我可以报告说大约需要五分钟才能出现在那里;几乎没有足够长的时间让任何人对其进行审查。此外,我在创建 github repo 之前无意中上传了它,但这并没有引起任何问题,这表明该服务不会进行任何检查以确保 github 上的内容与扩展中的内容相匹配。
总的来说,我觉得这是一个可怕的情况。我会做两件事来保护自己:
我尝试坚持使用下载量很大且最近未更新的扩展程序。然后我禁用了自动更新。这样,我运行的所有东西在我使用之前都有机会被暴露为恶意软件。
扩展作为 VSIX 文件分发,这些文件只是具有不同文件名后缀的 ZIP 文件。如果我有任何怀疑,我会先将其下载为文件并四处查看。特别是检查package.json脚本和 Typescript 或 Javascript 源代码(如果有的话)。这当然远非万无一失,但确实如此。
| 归档时间: |
|
| 查看次数: |
1503 次 |
| 最近记录: |