Какая вообще гарантия что на сайте не кидают вам в плагины трояны, вирусы, майнеры, и стилеры?

Какая вообще гарантия что на сайте не кидают вам в плагины трояны, вирусы, майнеры, и стилеры. Какую гарантию дают разработчики сайта, что у них плагины полностью чистые. Так как я не понимаю, какая выгода им с этого, они платят за плагины деньги и сливают их в общий доступ. Разработчики же в минусе, какая выгода им от этого сайта?

 

И вообще не только вирусы и так далее. Но и еще бэкдоры, их же тоже могут оставлять разработчики сайта. Они пишут что они терпеть не могут если будет что-то угрожать ихним пользователям, так почему я должен верить на слово? Я хочу доказательство того, что плагины слитые полностью чистые, и не содержат уязвимостей, и других нежданных приколов.

 

@xRift,
1. Нужно понять, что сливаемый плагин покупается один раз и дальше обновлять его на сайте бесконечно, уже даже плагины интересные закончились, которые можно купить. А люди могут по сей день покупать группы, тем самым принося доход.
2. Тебе никто не мешает скачать рекаф и открыть исходный код плагина, который ты здесь скачиваешь, и изучить код.
3. Форум существует довольно давно, и в интернете ты почти ничего не найдешь нормальных доказательств, что здесь вирусы, т. к. их просто нету.
4. Все плагины, которые выкладывают люди, проходят модерацию через администрацию сайта, и если плагин полное говно или имеет бэкдор, то он не допускается на сайт, а если и даже он попал, есть люди, которые сами их могут проверить и отправить репорт (тому пример я, у которого есть в профиле бейдж-награда «ХакХантер»).
5. Администраторы форума создают инструменты, которые помогают обезопасить твой сервер, тому пример бот в телеграмме на поиски хаков в плагине MinePluginCheck (да, он не покажет конкретный хак, он просто покажет все классы, где есть подозрения, но это не точные данные, т. к. всё зависит от плагина. Бот может триггериться на функционал с подключением к сайту, хотя плагину это может быть необходимая функция. Данный бот создан как инструмент помощи для изучения плагина, чтобы проще было смотреть исходный код с помощью Рекафа).

Они пишут что они терпеть не могут если будет что-то угрожать ихним пользователям, так почему я должен верить на слово?

Ну тут я могу тебе посоветовать взять рекаф в руки и вперед смотреть код плагина.
За 5 лет существования сайта, еще с того момента, когда он был не форумом, у него собралась достаточная доверительная база, у кого ни спросишь из людей, создающих сервера в майнкрафте, 95% из них скажут, что знают БМ и, может, даже пользовались им. Думай.

 

Какая вообще гарантия что на сайте не кидают вам в плагины трояны, вирусы, майнеры, и стилеры.

Никакой

Какую гарантию дают разработчики сайта, что у них плагины полностью чистые.

Никакую

Всё работает на репутации данного сайта. Если на сайте имелись бы вирусы и бекдоры - на него вышло бы множество самых разных разоблачений с какими-никакими доказательствами, тем не менее ничего подобного за долгую историю работы сайта не было. Из такового - лишь мелкие необоснованные претензии, но когда начинаешь в них дольше разбираться - понимаешь, что ничего общего с плагинами с сайта проблемы данных индивидов не имеют.

Так как я не понимаю, какая выгода им с этого, они платят за плагины деньги и сливают их в общий доступ. Разработчики же в минусе, какая выгода им от этого сайта?

Группа GOLD и SPONSOR (а в редких случаях и nocopyright)
1 голд пользователь своей подпиской за 1000 рублей может оплатить пару мелких плагинов, а за их обновление разрабы оригиналов денег не берут, остаётся лишь взламывать и выкладывать сюда.

И вообще не только вирусы и так далее. Но и еще бэкдоры, их же тоже могут оставлять разработчики сайта. Они пишут что они терпеть не могут если будет что-то угрожать ихним пользователям, так почему я должен верить на слово?

По кочану и никак иначе. Всем верить конечно никакой верилки не хватит, но если бы был хотя бы 1 звоночек, что что-то может быть не так - был бы повод задуматься. Таковых же фактически нет.

Я хочу доказательство того, что плагины слитые полностью чистые, и не содержат уязвимостей, и других нежданных приколов.

А вот тут возник вопрос - какого доказательства тебе будет достаточно для того, чтобы убедиться в честности сайта?
В самих плагинах никогда нет ничего, что могло бы вызвать какие-либо подозрения, а в некоторых случаях защиты от сайта на плагинах вовсе может не висеть, как в случае с самописами от комьюнити.
Наибольшую веру должно внушать то, что сайтом пользуются тысячи людей, которые ставят плагины на тысячи своих серверов и ни у кого за много лет не возникало никаких проблем из-за скачанного с данного сайта контента.

 

И вообще не только вирусы и так далее. Но и еще бэкдоры, их же тоже могут оставлять разработчики сайта. Они пишут что они терпеть не могут если будет что-то угрожать ихним пользователям, так почему я должен верить на слово? Я хочу доказательство того, что плагины слитые полностью чистые, и не содержат уязвимостей, и других нежданных приколов.

Прежде чем требовать доказательства чистоты кода, предоставь хотя бы одно подтверждение своим опасениям. Выучи Java, декомпилируй плагин, найди уязвимость и покажи её — тогда будет диалог. А пока ты пытаешься ставить под сомнение чужой труд, не имея ни знаний, ни аргументов, это выглядит не как бдительность, а как прогрессирующий синдром диванного аудитора..

 

Прежде чем требовать доказательства чистоты кода, предоставь хотя бы одно подтверждение своим опасениям. Выучи Java, декомпилируй плагин, найди уязвимость и покажи её — тогда будет диалог. А пока ты пытаешься ставить под сомнение чужой труд, не имея ни знаний, ни аргументов, это выглядит не как бдительность, а как прогрессирующий синдром диванного аудитора..

Проблема в том, что нормальные вирусы на чистой Java уже давно никто не пишет. Я бы все таки придерживался парадагимы нулевого доверия.

 

Никакой

Никакую

Всё работает на репутации данного сайта. Если на сайте имелись бы вирусы и бекдоры - на него вышло бы множество самых разных разоблачений с какими-никакими доказательствами, тем не менее ничего подобного за долгую историю работы сайта не было. Из такового - лишь мелкие необоснованные претензии, но когда начинаешь в них дольше разбираться - понимаешь, что ничего общего с плагинами с сайта проблемы данных индивидов не имеют.


Группа GOLD и SPONSOR (а в редких случаях и nocopyright)
1 голд пользователь своей подпиской за 1000 рублей может оплатить пару мелких плагинов, а за их обновление разрабы оригиналов денег не берут, остаётся лишь взламывать и выкладывать сюда.


По кочану и никак иначе. Всем верить конечно никакой верилки не хватит, но если бы был хотя бы 1 звоночек, что что-то может быть не так - был бы повод задуматься. Таковых же фактически нет.


А вот тут возник вопрос - какого доказательства тебе будет достаточно для того, чтобы убедиться в честности сайта?
В самих плагинах никогда нет ничего, что могло бы вызвать какие-либо подозрения, а в некоторых случаях защиты от сайта на плагинах вовсе может не висеть, как в случае с самописами от комьюнити.
Наибольшую веру должно внушать то, что сайтом пользуются тысячи людей, которые ставят плагины на тысячи своих серверов и ни у кого за много лет не возникало никаких проблем из-за скачанного с данного сайта контента.

А что если это стелс вирус? Вдруг у админа тихо майнится крипта на маленьких мощностях, или его базы данных сливаются раз в месяц на сторонний айпи через днс туннель? А что если произошла атака на цепочку поставок? Жаль что тысячи людей пользующиеся плагинами, не профессиональные аудиторы)

 

@xRift,
1. Нужно понять, что сливаемый плагин покупается один раз и дальше обновлять его на сайте бесконечно, уже даже плагины интересные закончились, которые можно купить. А люди могут по сей день покупать группы, тем самым принося доход.
2. Тебе никто не мешает скачать рекаф и открыть исходный код плагина, который ты здесь скачиваешь, и изучить код.
3. Форум существует довольно давно, и в интернете ты почти ничего не найдешь нормальных доказательств, что здесь вирусы, т. к. их просто нету.
4. Все плагины, которые выкладывают люди, проходят модерацию через администрацию сайта, и если плагин полное говно или имеет бэкдор, то он не допускается на сайт, а если и даже он попал, есть люди, которые сами их могут проверить и отправить репорт (тому пример я, у которого есть в профиле бейдж-награда «ХакХантер»).
5. Администраторы форума создают инструменты, которые помогают обезопасить твой сервер, тому пример бот в телеграмме на поиски хаков в плагине MinePluginCheck (да, он не покажет конкретный хак, он просто покажет все классы, где есть подозрения, но это не точные данные, т. к. всё зависит от плагина. Бот может триггериться на функционал с подключением к сайту, хотя плагину это может быть необходимая функция. Данный бот создан как инструмент помощи для изучения плагина, чтобы проще было смотреть исходный код с помощью Рекафа).

Ну тут я могу тебе посоветовать взять рекаф в руки и вперед смотреть код плагина.
За 5 лет существования сайта, еще с того момента, когда он был не форумом, у него собралась достаточная доверительная база, у кого ни спросишь из людей, создающих сервера в майнкрафте, 95% из них скажут, что знают БМ и, может, даже пользовались им. Думай.

А если в рекафе мы обнаружим кастомную обфускацию или вредоносную нагрузку мимикрирующую под защиту кода или легитимные менеджеры библиотек?

 

Какая вообще гарантия что на сайте не кидают вам в плагины трояны, вирусы, майнеры, и стилеры. Какую гарантию дают разработчики сайта, что у них плагины полностью чистые. Так как я не понимаю, какая выгода им с этого, они платят за плагины деньги и сливают их в общий доступ. Разработчики же в минусе, какая выгода им от этого сайта?

Жаль что ТС никто не дал нормальный ответ. Вопрос про выгоду с плагинов - скорее всего это окупается с продажи донат групп, но каждый может думать как он хочет. Вопрос про гарантии - их нету, самый "честный" модератор или администратор это человек который может устать или ошибиться, а современный вредоносный код как раз проектируется так, что бы декомпиляторы по типу рекафа видели идеально чистую картину. Что тебе делать? - Не ищи доказательств чистоты, их тебе никто не даст, придерживайся нулевого доверия, считай любой скачанный плагин потенциально опасным, используй изоляцию, мониторь исходящий трафик и нагрузку на cpu, делай бэкапы, и все что тебе вздумается.

 

А если в рекафе мы обнаружим кастомную обфускацию или вредоносную нагрузку мимикрирующую под защиту кода или легитимные менеджеры библиотек?

Ну обнаружишь ты там код антислива, который просто проверяет забанен ли пользователь на форуме и все, и чо? А если ты код не умеешь читать, ну, помолись богу я хз