root/vscodestat
1
0
Fork 0
Code Issues Pull Requests 1 Packages Projects Releases 102 Wiki Activity
Files
af175e078c97de1834f160b1e207c16ef13c75f8
vscodestat/todo.txt
T
root af175e078c
continuous-integration/drone/tag Build is passing
Details
feature: cleanup helloWorld, focus event nomme, tests extractProjectName
2026-04-30 14:39:38 +02:00

103 lines
4.2 KiB
Plaintext
Raw Blame History

REVIEW DE CODE — 2026-04-26
============================================
Extension VSCode (TypeScript) qui collecte des metriques sur
l'activite du user dans VSCode :
- ouverture de fichier / changement d'onglet (event 'open')
- sauvegarde de fichier (event 'save')
- focus/blur de la fenetre (event 'focus')
Envoie un POST JSON a la URL configuree (`vscodestat.url`).
NB : extension force-installed dans les containers vscode + vscodeluigi
(cf vscode/todo.txt). C'est l'extension de monitoring activite dev.
SECURITE
--------
[ ] vscodestat.url configurable user-side (CRITIQUE pour exfil)
src/extension.ts:14-23 : commande `setUrl` permet au user de
changer l'URL en runtime via `vscode.workspace.getConfiguration
().update('vscodestat.url', url, ConfigurationTarget.Global)`.
Le user peut donc rediriger ses metriques vers son propre
serveur. Dans le contexte (extension force-installed pour
tracking employe), le user peut bypass le tracking en
pointant sur `https://localhost/dummy` ou similar. Attendu /
pas attendu ?
NB : entrypoint.sh dans vscode/ overwrite la URL a chaque
boot du container. Donc tracking restored. Mais pendant la
session, user peut tweak. A documenter le comportement.
[ ] makeHttpRequest envoie au serveur l'event sans auth (RGPD)
src/extension.ts : `fetch(url, { method: 'POST',
headers: ..., body: JSON.stringify(json) })`. Pas de token.
Cote serveur (cf monitoringserver/todo.txt), `/vscodestat` est
aussi sans auth => tout le monde peut envoyer des metriques.
Mais ici c'est cote client, le code est legitime. Ce qui est
discutable c'est que l'event contient :
- `event: 'open'`, `project: extractProjectName(filePath)`
Ces donnees sont des metadonnees d'activite du salarie. RGPD
: doit etre dans le declaration des traitements RH.
[ ] extractProjectName fuite des paths potentiellement sensibles
src/extension.ts :
const match = path.match(/\/docker\/([^/]+)/);
if (match) return match[1];
Si un user ouvre un fichier hors `/docker/X/...`, le
`extractProjectName` retourne null, donc `project: null`
envoye. Pas un leak direct, mais combine au tracking precis,
profile complet de l'activite hors-projet.
[ ] Le user peut DISABLE l'extension volontairement
Standard VSCode : un user peut desactiver toute extension.
Le force-install au boot du container la re-active, mais
pendant la session, l'employe peut couper le tracking.
Pattern de force-tracking discutable (transparency).
[ ] Pas de TLS pinning sur fetch
Si l'URL pointe vers HTTPS (probablement),
`monitoringserver.raphaelpiccolo.com`, certificat valide. OK
mais pas de pinning.
BUGS / FRAGILITE
----------------
[ ] /opt/vsix/vscodestat.vsix : binaire du dossier autre
Cf vscode/todo.txt. Le vsix est COPIE dans l'image vscode
(Dockerfile:48). Si le vsix de ce repo est modifie mais pas
rebuild dans vscode/, decalage permanent.
[ ] Pas de batching
Chaque event = 1 fetch. Pas de queue + flush periodique.
Si reseau down, perte d'events (pas de retry). A capper.
[ ] makeHttpRequest catch silencieux
src/extension.ts : catch + console.error. Pas de
retry, pas de notification user. Si serveur down, events
perdus.
[ ] extractProjectName : path Windows hardcode au regex
src/extension.ts : replace `\\` -> `/` puis match
`/docker/(...)/`. OK pour les conventions /root/docker, mais
si project hors `docker/`, retourne null. A clarifier.
CODE MORT / POLLUTION
---------------------
[ ] vscodestat-1.1.X.vsix commit
Binaire commit dans git. A scrub si rebuild a chaque release
(drone publie deja sur Gitea, le vsix repo n'est utilise que
pour le `cp` vers vscode/). Decision : soit on automatise le
cp via un wget Gitea dans vscode/README, soit on le garde a
jour manuellement.
CONVENTIONS
-----------
[ ] Pas de README detaille sur l'integration serveur
README mentionne juste "Sample url". A documenter le format
JSON envoye et le comportement.
DECISION SUGGEREE
-----------------
[ ] Documenter le scope RGPD du tracking
Si l'extension force-installed est obligatoire pour tracker
l'activite des employes (Thomas, Luigi), declaration RGPD
requise (RGPD art 13).
Reference in New Issue View Git Blame Copy Permalink