VSCode बग से GitHub टोकन चोरी संभव
मूल शीर्षक: 1-Click GitHub Token Stealing via a VSCode Bug
यह क्यों महत्वपूर्ण है
VSCode की व्यापक लोकप्रियता और GitHub integration के कारण यह गंभीर सुरक्षा चिंता है।
VSCode webview सुरक्षा मॉडल में खामी के कारण एक क्लिक में GitHub OAuth टोकन चुराया जा सकता है। यह टोकन सभी रिपोज़ में पढ़ने-लिखने की अनुमति देता है, जिसमें निजी रिपोज़ भी शामिल हैं।
GitHub का github.dev फीचर ब्राउज़र में VSCode चलाने की सुविधा देता है। यह OAuth टोकन का उपयोग करके GitHub के साथ इंटरैक्ट करता है, जो केवल विशिष्ट रिपो तक सीमित नहीं है बल्कि उपयोगकर्ता की सभी accessible repositories तक पहुंच देता है। VSCode webviews सुरक्षा के लिए iframe का उपयोग करके अलग origin में JavaScript execute करता है। यह vscode-webview:// origin main VSCode window के vscode-file:// origin से अलग है। इससे Markdown preview और Jupyter notebooks जैसी सुविधाओं में भी core application सुरक्षित रहता है। दोनों origins के बीच communication Window.postMessage() API के माध्यम से होता है। शोधकर्ता Ammar Askar ने इस सुरक्षा मॉडल में खामी खोजी है जिससे attacker एक क्लिक में GitHub token चुरा सकता है।