سرقت توکن گیتهاب فقط با یه کلیک روی لینک
امنیتClaude Opus 4.8
یه پژوهشگر امنیتی نشون داده که فقط با کلیک روی یه لینک میشه توکن گیتهاب کاربر رو دزدید؛ توکنی که به همهٔ مخزنها، حتی خصوصیها، دسترسی خوندن و نوشتن داره. ریشهٔ حمله تو مکانیزم پیامرسانی کیبورد در webviewهای VS Code و سرویس github.devـه که اجازه میده اکستنشن مخرب نصب بشه. تنها راه محافظت پاککردن دادههای سایت github.devـه.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
نویسنده نشون میده که فقط با کلیک روی یه لینک، یه مهاجم میتونه توکن گیتهاب قربانی رو بدزده؛ توکنی که اجازهٔ خوندن و حتی نوشتن روی همهٔ مخزنها، از جمله مخزنهای خصوصی، رو داره. این حمله از طریق github.dev انجام میشه؛ همون نسخهٔ سبک VS Code که کامل تو مرورگر اجرا میشه.
ریشهٔ مشکل تو مدل امنیتی webviewهای VS Codeـه. این webviewها داخل یه iframe با مبدأ (origin) جدا اجرا میشن تا کد ناامن داخلشون منزوی بمونه، ولی برای اینکه کلیدهای میانبر کاربر کار کنه، رویدادهای کیبورد از داخل webview با پیامی به اسم did-keydown به پنجرهٔ اصلی VS Code فرستاده میشه.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
