Dzięki, nie znałem tej funkcjonalności VS Code. Widząc ten przycisk domyślałem się, że blokuje uruchomienie czegoś ale nie wiedziałem czego dokładnie :-)
W tym „ukrytym” przykładzie wciąż widać wykonywanie taska, po prawej stronie „terminala” jest taka ikonka kolby z napisem powershell. Ale na pewno jest to dużo mniej widocznie niż pełny terminal. Ciekawy odcinek.
Nie zaprzeczam, ale w tym filmie nie widać żadnych niebezpieczeństw z Discordem tylko z VSCodem. Discord pelni tylko role prezentacji danych. Moznaby bylo rownie dobrze wyslac ten tajny plik emailem albo na serwer FTP. Nie w tym rzecz.
Ale Numer właśnie wczoraj szukałem o tym informacji. A da się jakoś głębiej umieścić pobieranie pliki wykonywalnego np. W jakiejś paczce node ? Albo jakiś submodul gita ?
To inne ataki. GIT ma hooki, tam może być złośliwy kod. A paczki NPM mają package.json i tam również można umieścić kod do wykonania. Obie metody opisuje w kursie ;)
Jeśli to SPAM, odradzam klikanie. Dlaczego? Bo oszuści często wysyłają emaile na różne adresy i nie do końca wiedzą, czy one istnieją. Jeśli klikniesz w guzik "unsubscribe" to ułatwiasz im sprawę. Osobiście preferuje używanie przycisku "to spam" w Gmailu. A czy przez samo tylko kliknięcie można pobrać złośliwe oprogramowanie? O tym opowiadałem tutaj: th-cam.com/video/GW39uqJP-fs/w-d-xo.html
No dobrze, ale co robić, jak żyć? Czy wystarczy po prostu wciskać przycisk "Nie, nie ufam niczemu co pobrane z githuba"? Jakie reperkusje ma wciśnięcie przycisku "Nie, nie ufam", czy to tylko blokuje wykonywanie tego kodu czy też robi coś jeszcze? Tyle pytań i żadnych odpowiedzi 🤔
Jeśli nie zaufasz, to wtedy: zadania są wyłączone, debuggowanie nie działa, niektóre ustawienia nie działają i niektóre rozszerzenia mają ograniczone funkcje. Więcej na: code.visualstudio.com/docs/editor/workspace-trust
MS lubi do swoich produktów dodawać automatyczne instalatory malware. Tak było z autorun, makrami, ie w pierwszych wersjach, itd. Myślałem, że ten etap mamy już za sobą, a tu taka niespodzianka. Czy można wybrać malware w zależności od platformy? Tzn. czy można robić od razu wersje na windows, linux i macos w jednym skrypcie? 🙂
Brak informacji w filmiku co się stanie gdy klikniemy w brak zaufania. Jeżeli to by nas ochroniło, pytanie też jakie inne funkcjonalności wycina brak zaufania
Co można odpalić w tej komendzie w tym tasku faktycznie niebezpiecznego? Bo tutaj jest z góry zdefiniowany jakiś plik dla konkretnej nazwy i konkretnej ścieżki.
Dzięki, nie znałem tej funkcjonalności VS Code. Widząc ten przycisk domyślałem się, że blokuje uruchomienie czegoś ale nie wiedziałem czego dokładnie :-)
W tym „ukrytym” przykładzie wciąż widać wykonywanie taska, po prawej stronie „terminala” jest taka ikonka kolby z napisem powershell. Ale na pewno jest to dużo mniej widocznie niż pełny terminal. Ciekawy odcinek.
Plus za spostrzegawczość ;)
O to visual studio. Obo, "najlepiej" zabezpieczony komunikator na świecie.
Ale to jest dobre!
to jednak dobrze że usuwam folder .vscode
Już od pierwszych chwil spędzonych z Discord, zauważyłem że jest to oprogramowanie niebezpieczne. Zagrożenie na każdym kroku.
Nie zaprzeczam, ale w tym filmie nie widać żadnych niebezpieczeństw z Discordem tylko z VSCodem. Discord pelni tylko role prezentacji danych. Moznaby bylo rownie dobrze wyslac ten tajny plik emailem albo na serwer FTP. Nie w tym rzecz.
Ale Numer właśnie wczoraj szukałem o tym informacji. A da się jakoś głębiej umieścić pobieranie pliki wykonywalnego np. W jakiejś paczce node ? Albo jakiś submodul gita ?
To inne ataki. GIT ma hooki, tam może być złośliwy kod. A paczki NPM mają package.json i tam również można umieścić kod do wykonania. Obie metody opisuje w kursie ;)
@@KacperSzurek a jest jakiś uniwersalny sposób jak to wykryć czy trzeba robić dumpa plików przed u po i porównać czy coś wyleciało ?
Słyszałem też o możliwości umieszczenia złośliwego kodu w paczkach NuGet odpalanego w momencie instalacji paczki
Czy jest bezpieczne klikanie w linki "unsubscribe" które są w mailach, zwykle na dole?
Często taka poczta jest w spamie
Jeśli to SPAM, odradzam klikanie. Dlaczego? Bo oszuści często wysyłają emaile na różne adresy i nie do końca wiedzą, czy one istnieją. Jeśli klikniesz w guzik "unsubscribe" to ułatwiasz im sprawę. Osobiście preferuje używanie przycisku "to spam" w Gmailu. A czy przez samo tylko kliknięcie można pobrać złośliwe oprogramowanie? O tym opowiadałem tutaj: th-cam.com/video/GW39uqJP-fs/w-d-xo.html
No dobrze, ale co robić, jak żyć? Czy wystarczy po prostu wciskać przycisk "Nie, nie ufam niczemu co pobrane z githuba"? Jakie reperkusje ma wciśnięcie przycisku "Nie, nie ufam", czy to tylko blokuje wykonywanie tego kodu czy też robi coś jeszcze?
Tyle pytań i żadnych odpowiedzi 🤔
warto też zajrzeć uprzednio do folderu .vscode przed wrzuceniem projektu do visual studio
Jeśli nie zaufasz, to wtedy: zadania są wyłączone, debuggowanie nie działa, niektóre ustawienia nie działają i niektóre rozszerzenia mają ograniczone funkcje. Więcej na: code.visualstudio.com/docs/editor/workspace-trust
MS lubi do swoich produktów dodawać automatyczne instalatory malware. Tak było z autorun, makrami, ie w pierwszych wersjach, itd. Myślałem, że ten etap mamy już za sobą, a tu taka niespodzianka. Czy można wybrać malware w zależności od platformy? Tzn. czy można robić od razu wersje na windows, linux i macos w jednym skrypcie? 🙂
tbh zawsze ustawiałem vs code żeby automatycznie ufał otwartym folderom xd bo nie wiedziałem że tak się da
Brak informacji w filmiku co się stanie gdy klikniemy w brak zaufania. Jeżeli to by nas ochroniło, pytanie też jakie inne funkcjonalności wycina brak zaufania
To poprostu nie zobaczysz kodu
Kaboom 😂
Czy jak uda mi sie wlamac do sklepu i sciagnac kurs bez placenia to otrzymuje go za darmo w nagrode?
Tylko jak nikt się nie zorientuje 🙂
Nie. Kurs jest właśnie po to, aby legalnie się czegoś nauczyć ;)
A to samo by było dla IDE od JetBrainsów?
Tak. Większość IDE ma podobną opcję.
ale trafiłem
Co można odpalić w tej komendzie w tym tasku faktycznie niebezpiecznego? Bo tutaj jest z góry zdefiniowany jakiś plik dla konkretnej nazwy i konkretnej ścieżki.
Można ;)