#webview

GitHubの `github.dev` は、ブラウザ上で動く軽量版VSCode 便利な一方で、GitHubのOAuth token を使ってリポジトリへ広くアクセスできる 記事では、VSCode webview の設計上の隙を突いて、1回クリックさせるだけで token を盗める可能性が示された きっかけは、webview 内の `keydown` を親ウィンドウへ転送する仕組み その結果、攻撃者のJavaScriptが「ユーザー操作っぽく」ふるまえてしまった さらにVSCodeの機能を組み合わせることで、悪意ある extension の導入まで狙える流れが説明されている ただし、記事は実際のPoCや防御の考え方、VSCode側の対応も含めて公開されている この記事は、「VSCodeのバグを使うと、1クリックでGitHub token を抜かれるかもしれない」という、かなりゾッとする話を扱っています。 ここでいう GitHub token は、ざっくり言うと GitHub上であなたの代わりに操作するための合鍵 みたいなものです。 しかも記事で問題にしている token