快捷搜索:

您的位置:澳门新葡4473网站 > 新闻社区 > 微软推VS Code开源扩展TACO:支持三大平台混合应用

微软推VS Code开源扩展TACO:支持三大平台混合应用

发布时间:2020-04-07 01:23编辑:新闻社区浏览(52)

    因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,因为基于它的应用会被轻松地修改并植入后门 —— 而不会触发任何警告。

    IT之家讯TACO是微软于2013年5月份推出的一款用于Visual Studio的Apache Cordova开发工具,开发者可使用这款工具利用共享的JavaScript代码库为iOS、安卓以及Windows平台构建混合应用程序。这款工具易于安装,共享的JavaScript API支持本地设备功能访问,包括相机、日历以及联系人等,能够实现100%的代码重用。

    在上周二的 BSides LV 安全会议上,安全研究员 Pavel Tsakalidis 演示了一个他创建的使用 Python 开发的工具 BEEMKA,此工具允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。安全研究员表示他利用的漏洞不在应用程序中,而在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应,而且这个漏洞仍然存在。

    今天微软推出了使用TACO构建、调试以及预览应用的新方法,发布了适用于Visual Studio Code的Cordova工具扩展。你将能够在Visual Studio Code中开发调试混合应用程序,在命令面板中找到Cordova特定的命令,使用智能感知浏览对象、函数以及参数。你可以使用Apache Cordova框架的stock版本或者其他框架,包括Ionic、Onsen、PhoneGap以及SAP Fiori Mobile Client。由于它们都使用相同的Cordova版本系统和核心运行时,因此TACO能够兼容你所使用的JavaScript框架。

    图片 1

    另外,你也可以使用Visual Studio Code编辑在Visual Studio中创建的项目。比如,你可以在Windows平台的Visual Studio中使用Ionic模版创建Cordova项目,然后在苹果OS X以及Linux平台的Visual Studio Code中继续开发。不论使用哪个平台的编辑器,你都能够获得完整的调试、智能感知以及语言支持。

    图片 2

    用于Visual Studio Code的Cordova工具扩展下载:点此进入。

    虽然进行这些更改在 Linux 和 macOS 上需要使用管理员访问权限,但在 Windows 上只需本地访问权限即可。这些修改可以创建新的基于事件的“功能”,可以访问文件系统,激活 Web cam,并使用受信任应用程序的功能从系统中泄露的信息(包括用户凭据和敏感数据)。在他的演示中,Tsakalidis 展示了一个后门版本的 Microsoft Visual Studio Code,它将打开的每个代码选项卡的内容发送到远程网站

    Tsakalidis 指出,问题在于 Electron ASAR 文件本身未加密或签名,允许在不更改受影响应用程序的签名的情况下对其进行修改。开发人员要求拥有加密 ASAR 文件权限的请求被 Electron 团队关闭,但他们也没有采取任何行动。

    (文/开源中国)    

    本文由澳门新葡4473网站发布于新闻社区,转载请注明出处:微软推VS Code开源扩展TACO:支持三大平台混合应用

    关键词: