Какая вообще гарантия что на сайте не кидают вам в плагины трояны, вирусы, майнеры, и стилеры?

Какая вообще гарантия что на сайте не кидают вам в плагины трояны, вирусы, майнеры, и стилеры. Какую гарантию дают разработчики сайта, что у них плагины полностью чистые. Так как я не понимаю, какая выгода им с этого, они платят за плагины деньги и сливают их в общий доступ. Разработчики же в минусе, какая выгода им от этого сайта?

 

И вообще не только вирусы и так далее. Но и еще бэкдоры, их же тоже могут оставлять разработчики сайта. Они пишут что они терпеть не могут если будет что-то угрожать ихним пользователям, так почему я должен верить на слово? Я хочу доказательство того, что плагины слитые полностью чистые, и не содержат уязвимостей, и других нежданных приколов.

 

@xRift,
1. Нужно понять, что сливаемый плагин покупается один раз и дальше обновлять его на сайте бесконечно, уже даже плагины интересные закончились, которые можно купить. А люди могут по сей день покупать группы, тем самым принося доход.
2. Тебе никто не мешает скачать рекаф и открыть исходный код плагина, который ты здесь скачиваешь, и изучить код.
3. Форум существует довольно давно, и в интернете ты почти ничего не найдешь нормальных доказательств, что здесь вирусы, т. к. их просто нету.
4. Все плагины, которые выкладывают люди, проходят модерацию через администрацию сайта, и если плагин полное говно или имеет бэкдор, то он не допускается на сайт, а если и даже он попал, есть люди, которые сами их могут проверить и отправить репорт (тому пример я, у которого есть в профиле бейдж-награда «ХакХантер»).
5. Администраторы форума создают инструменты, которые помогают обезопасить твой сервер, тому пример бот в телеграмме на поиски хаков в плагине MinePluginCheck (да, он не покажет конкретный хак, он просто покажет все классы, где есть подозрения, но это не точные данные, т. к. всё зависит от плагина. Бот может триггериться на функционал с подключением к сайту, хотя плагину это может быть необходимая функция. Данный бот создан как инструмент помощи для изучения плагина, чтобы проще было смотреть исходный код с помощью Рекафа).

Они пишут что они терпеть не могут если будет что-то угрожать ихним пользователям, так почему я должен верить на слово?

Ну тут я могу тебе посоветовать взять рекаф в руки и вперед смотреть код плагина.
За 5 лет существования сайта, еще с того момента, когда он был не форумом, у него собралась достаточная доверительная база, у кого ни спросишь из людей, создающих сервера в майнкрафте, 95% из них скажут, что знают БМ и, может, даже пользовались им. Думай.

 

Какая вообще гарантия что на сайте не кидают вам в плагины трояны, вирусы, майнеры, и стилеры.

Никакой

Какую гарантию дают разработчики сайта, что у них плагины полностью чистые.

Никакую

Всё работает на репутации данного сайта. Если на сайте имелись бы вирусы и бекдоры - на него вышло бы множество самых разных разоблачений с какими-никакими доказательствами, тем не менее ничего подобного за долгую историю работы сайта не было. Из такового - лишь мелкие необоснованные претензии, но когда начинаешь в них дольше разбираться - понимаешь, что ничего общего с плагинами с сайта проблемы данных индивидов не имеют.

Так как я не понимаю, какая выгода им с этого, они платят за плагины деньги и сливают их в общий доступ. Разработчики же в минусе, какая выгода им от этого сайта?

Группа GOLD и SPONSOR (а в редких случаях и nocopyright)
1 голд пользователь своей подпиской за 1000 рублей может оплатить пару мелких плагинов, а за их обновление разрабы оригиналов денег не берут, остаётся лишь взламывать и выкладывать сюда.

И вообще не только вирусы и так далее. Но и еще бэкдоры, их же тоже могут оставлять разработчики сайта. Они пишут что они терпеть не могут если будет что-то угрожать ихним пользователям, так почему я должен верить на слово?

По кочану и никак иначе. Всем верить конечно никакой верилки не хватит, но если бы был хотя бы 1 звоночек, что что-то может быть не так - был бы повод задуматься. Таковых же фактически нет.

Я хочу доказательство того, что плагины слитые полностью чистые, и не содержат уязвимостей, и других нежданных приколов.

А вот тут возник вопрос - какого доказательства тебе будет достаточно для того, чтобы убедиться в честности сайта?
В самих плагинах никогда нет ничего, что могло бы вызвать какие-либо подозрения, а в некоторых случаях защиты от сайта на плагинах вовсе может не висеть, как в случае с самописами от комьюнити.
Наибольшую веру должно внушать то, что сайтом пользуются тысячи людей, которые ставят плагины на тысячи своих серверов и ни у кого за много лет не возникало никаких проблем из-за скачанного с данного сайта контента.

 

И вообще не только вирусы и так далее. Но и еще бэкдоры, их же тоже могут оставлять разработчики сайта. Они пишут что они терпеть не могут если будет что-то угрожать ихним пользователям, так почему я должен верить на слово? Я хочу доказательство того, что плагины слитые полностью чистые, и не содержат уязвимостей, и других нежданных приколов.

Прежде чем требовать доказательства чистоты кода, предоставь хотя бы одно подтверждение своим опасениям. Выучи Java, декомпилируй плагин, найди уязвимость и покажи её — тогда будет диалог. А пока ты пытаешься ставить под сомнение чужой труд, не имея ни знаний, ни аргументов, это выглядит не как бдительность, а как прогрессирующий синдром диванного аудитора..

 

Прежде чем требовать доказательства чистоты кода, предоставь хотя бы одно подтверждение своим опасениям. Выучи Java, декомпилируй плагин, найди уязвимость и покажи её — тогда будет диалог. А пока ты пытаешься ставить под сомнение чужой труд, не имея ни знаний, ни аргументов, это выглядит не как бдительность, а как прогрессирующий синдром диванного аудитора..

Проблема в том, что нормальные вирусы на чистой Java уже давно никто не пишет. Я бы все таки придерживался парадагимы нулевого доверия.

 

Никакой

Никакую

Всё работает на репутации данного сайта. Если на сайте имелись бы вирусы и бекдоры - на него вышло бы множество самых разных разоблачений с какими-никакими доказательствами, тем не менее ничего подобного за долгую историю работы сайта не было. Из такового - лишь мелкие необоснованные претензии, но когда начинаешь в них дольше разбираться - понимаешь, что ничего общего с плагинами с сайта проблемы данных индивидов не имеют.


Группа GOLD и SPONSOR (а в редких случаях и nocopyright)
1 голд пользователь своей подпиской за 1000 рублей может оплатить пару мелких плагинов, а за их обновление разрабы оригиналов денег не берут, остаётся лишь взламывать и выкладывать сюда.


По кочану и никак иначе. Всем верить конечно никакой верилки не хватит, но если бы был хотя бы 1 звоночек, что что-то может быть не так - был бы повод задуматься. Таковых же фактически нет.


А вот тут возник вопрос - какого доказательства тебе будет достаточно для того, чтобы убедиться в честности сайта?
В самих плагинах никогда нет ничего, что могло бы вызвать какие-либо подозрения, а в некоторых случаях защиты от сайта на плагинах вовсе может не висеть, как в случае с самописами от комьюнити.
Наибольшую веру должно внушать то, что сайтом пользуются тысячи людей, которые ставят плагины на тысячи своих серверов и ни у кого за много лет не возникало никаких проблем из-за скачанного с данного сайта контента.

А что если это стелс вирус? Вдруг у админа тихо майнится крипта на маленьких мощностях, или его базы данных сливаются раз в месяц на сторонний айпи через днс туннель? А что если произошла атака на цепочку поставок? Жаль что тысячи людей пользующиеся плагинами, не профессиональные аудиторы)

 

@xRift,
1. Нужно понять, что сливаемый плагин покупается один раз и дальше обновлять его на сайте бесконечно, уже даже плагины интересные закончились, которые можно купить. А люди могут по сей день покупать группы, тем самым принося доход.
2. Тебе никто не мешает скачать рекаф и открыть исходный код плагина, который ты здесь скачиваешь, и изучить код.
3. Форум существует довольно давно, и в интернете ты почти ничего не найдешь нормальных доказательств, что здесь вирусы, т. к. их просто нету.
4. Все плагины, которые выкладывают люди, проходят модерацию через администрацию сайта, и если плагин полное говно или имеет бэкдор, то он не допускается на сайт, а если и даже он попал, есть люди, которые сами их могут проверить и отправить репорт (тому пример я, у которого есть в профиле бейдж-награда «ХакХантер»).
5. Администраторы форума создают инструменты, которые помогают обезопасить твой сервер, тому пример бот в телеграмме на поиски хаков в плагине MinePluginCheck (да, он не покажет конкретный хак, он просто покажет все классы, где есть подозрения, но это не точные данные, т. к. всё зависит от плагина. Бот может триггериться на функционал с подключением к сайту, хотя плагину это может быть необходимая функция. Данный бот создан как инструмент помощи для изучения плагина, чтобы проще было смотреть исходный код с помощью Рекафа).

Ну тут я могу тебе посоветовать взять рекаф в руки и вперед смотреть код плагина.
За 5 лет существования сайта, еще с того момента, когда он был не форумом, у него собралась достаточная доверительная база, у кого ни спросишь из людей, создающих сервера в майнкрафте, 95% из них скажут, что знают БМ и, может, даже пользовались им. Думай.

А если в рекафе мы обнаружим кастомную обфускацию или вредоносную нагрузку мимикрирующую под защиту кода или легитимные менеджеры библиотек?

 

Какая вообще гарантия что на сайте не кидают вам в плагины трояны, вирусы, майнеры, и стилеры. Какую гарантию дают разработчики сайта, что у них плагины полностью чистые. Так как я не понимаю, какая выгода им с этого, они платят за плагины деньги и сливают их в общий доступ. Разработчики же в минусе, какая выгода им от этого сайта?

Жаль что ТС никто не дал нормальный ответ. Вопрос про выгоду с плагинов - скорее всего это окупается с продажи донат групп, но каждый может думать как он хочет. Вопрос про гарантии - их нету, самый "честный" модератор или администратор это человек который может устать или ошибиться, а современный вредоносный код как раз проектируется так, что бы декомпиляторы по типу рекафа видели идеально чистую картину. Что тебе делать? - Не ищи доказательств чистоты, их тебе никто не даст, придерживайся нулевого доверия, считай любой скачанный плагин потенциально опасным, используй изоляцию, мониторь исходящий трафик и нагрузку на cpu, делай бэкапы, и все что тебе вздумается.

 

А если в рекафе мы обнаружим кастомную обфускацию или вредоносную нагрузку мимикрирующую под защиту кода или легитимные менеджеры библиотек?

Ну обнаружишь ты там код антислива, который просто проверяет забанен ли пользователь на форуме и все, и чо? А если ты код не умеешь читать, ну, помолись богу я хз

 

Ну обнаружишь ты там код антислива, который просто проверяет забанен ли пользователь на форуме и все, и чо? А если ты код не умеешь читать, ну, помолись богу я хз

Ну это и печально что у тебя такое представление о современном нормальном вредоносе с которым ты похоже всего не сталкивался. Буквально, сам подтвердил что в плагины вшиается обфусцированнй код с сетевыми запросами, в ИБ это легитимный бэкдор, кто гарантирует что запрос забанен ли юзер не превратится в команду на скачивание и запуск произвольного байт кода? (Я не говорю что прямо сейчас такое есть, просто игнорировать это - полная неграмотность и дилетанство, всякое бывает, даже у более крупных проектов). Я думаю такие вещи как единая точка компрометации тебе ни о чем не скажет, так же как и атака на цепочку поставок, и рантайм байткод манипуляции.

 

Ну это и печально что у тебя такое представление о современном нормальном вредоносе с которым ты похоже всего не сталкивался. Буквально, сам подтвердил что в плагины вшиается обфусцированнй код с сетевыми запросами, в ИБ это легитимный бэкдор, кто гарантирует что запрос забанен ли юзер не превратится в команду на скачивание и запуск произвольного байт кода? (Я не говорю что прямо сейчас такое есть, просто игнорировать это - полная неграмотность и дилетанство, всякое бывает, даже у более крупных проектов). Я думаю такие вещи как единая точка компрометации тебе ни о чем не скажет, так же как и атака на цепочку поставок, и рантайм байткод манипуляции.

Если у тебя имеются опасения касаемо форума, почему ты не можешь пройти мимо него, вместо того чтобы наводить здесь пустого шороху, где из 19k+ учасников никто не жаловался за вредоносность кроме тебя 1?

Ты скорее нарываешься на бан за безаргументированную клевету своими опасениями без доказательств, нежели отстоишь какую-то никому не нужную точку зрения..

 

Если у тебя имеются опасения касаемо форума, почему ты не можешь пройти мимо него, вместо того чтобы наводить здесь пустого шороху, где из 19k+ учасников никто не жаловался за вредоносность кроме тебя 1?

Ты скорее нарываешься на бан за безаргументированную клевету своими опасениями без доказательств, нежели отстоишь какую-то никому не нужную точку зрения..

Где ты увидел клевету? Ты сам перекрутил понятия клеветы и опасений, я нигде не писал что тут стиллер, я просто ТС объяснил некоторые базовые правила ИБ, но видимо вам по барабану. Как раз пока существуют такие как вы, можно бесконечно распространять вирусы, ну какая разница, источник существует 5 лет, вроде никто не жаловался (да, тут же сидят аудиторы вирусологи которые каждый плагин мониторят (ирония), наверное они стелс вирус обнаружат (заметь, я не говорю что на этом форуме есть вирусы, ты просто не умеешь текст анализировать, приходится уточнять тебе в скобочках всё подряд), речь идет в принципе про весь интернет). Про бан вообще не понял, к чему он тут? Чето не видел в правилах запрета на повышение грамотности пользователей в вопросах безопасности, мой посыл был прост, слепое доверие источникам (ко всем) это риск, жалко что это оказывается очень трудно осмыслить некоторым.

 

Где ты увидел клевету? Ты сам перекрутил понятия клеветы и опасений, я нигде не писал что тут стиллер, я просто ТС объяснил некоторые базовые правила ИБ, но видимо вам по барабану. Как раз пока существуют такие как вы, можно бесконечно распространять вирусы, ну какая разница, источник существует 5 лет, вроде никто не жаловался (да, тут же сидят аудиторы вирусологи которые каждый плагин мониторят (ирония), наверное они стелс вирус обнаружат (заметь, я не говорю что на этом форуме есть вирусы, ты просто не умеешь текст анализировать, приходится уточнять тебе в скобочках всё подряд), речь идет в принципе про весь интернет). Про бан вообще не понял, к чему он тут? Чето не видел в правилах запрета на повышение грамотности пользователей в вопросах безопасности, мой посыл был прост, слепое доверие источникам (ко всем) это риск, жалко что это оказывается очень трудно осмыслить некоторым.

То что ты подозриваемо говоришь о том что тут можеть быть вредоносное ПО уже приравнивается к обвиненю, поскольку ты ничего не скачал, не проверил, не нашёл.. Зачем тогда боятся того, к чему ты даже не будешь во преки опасениям прикосаться.. Просто прекрати выписывать ересь и просто ступай с миром, не ввязываясь в дискусии, которые безоговорочно переростут в что-то больше чем простой спор, который ни к чему не приведёт..

Даже если каким-то волшебным образом что-то когда-то может иметь в себе какую-то микроуязвимость (в чём я весьма сильно и даже безоговорочно сомневаюсь, учитывая всю строгость модерации всех ресурсов форума) - ты всего-лишь Никто (если хочешь чтобы не звучало грубо, то - прохожий нн) для тех, кто использует данный форум, никому не интересны твои опасения, которые ты пытаешься усердно навязать, поскольку абсолютно каждый из когда-либо пользовавшихся форумом осведомлён и уверен в чистоте каждого ресурса и никогда тут не сталкивался с чем-то подобным..

По твоей логике можно равносильно и обо всех других форумах и сайтах предоставляющих плагины/моды и тд сказать что к ним так же есть некие опасения... Сначала найди хотя бы один пример где есть что-то, а потом уже будешь задумываться о чём-то.. Слишком глупая дискусия, а если у тебя есть какие-то проблемы с подозрениями, то оставь пожалуйста свою паранойю при себе..

 

То что ты подозриваемо говоришь о том что тут можеть быть вредоносное ПО уже приравнивается к обвиненю, поскольку ты ничего не скачал, не проверил, не нашёл.. Зачем тогда боятся того, к чему ты даже не будешь во преки опасениям прикосаться.. Просто прекрати выписывать ересь и просто ступай с миром, не ввязываясь в дискусии, которые безоговорочно переростут в что-то больше чем простой спор, который ни к чему не приведёт..

Даже если каким-то волшебным образом что-то когда-то может иметь в себе какую-то микроуязвимость (в чём я весьма сильно и даже безоговорочно сомневаюсь, учитывая всю строгость модерации всех ресурсов форума) - ты всего-лишь Никто (если хочешь чтобы не звучало грубо, то - прохожий нн) для тех, кто использует данный форум, никому не интересны твои опасения, которые ты пытаешься усердно навязать, поскольку абсолютно каждый из когда-либо пользовавшихся форумом осведомлён и уверен в чистоте каждого ресурса и никогда тут не сталкивался с чем-то подобным..

По твоей логике можно равносильно и обо всех других форумах и сайтах предоставляющих плагины/моды и тд сказать что к ним так же есть некие опасения... Сначала найди хотя бы один пример где есть что-то, а потом уже будешь задумываться о чём-то.. Слишком глупая дискусия, а если у тебя есть какие-то проблемы с подозрениями, то оставь пожалуйста свою паранойю при себе..

Может перестанешь уже в какой раз выдумывать слова которые я не говорил? (Ты сам придумал что я "подозреваю" что либо, сам же с этим и споришь выше).

Вот ты такие понятия как подозрение и обвинение объединил как нечто общее, это вообще разное абсолютно, это небо и земля, подозрение это рабочий процесс, а не личное оскорбление, по аналогии, если я говорю что в здании нет пожарной сигнализации, я не обвиняю владельца в поджоге, я говорю ему про небезопасность среды.

Фразу "зачем бояться того, к чему не будешь прикасаться" я вообще не понял из чего ты сгенерировал, где я такое говорил? Неужели тебе реально даже пояснений в скобочках не хватило что бы сделать выводы? У меня для тебя плохие новости...

Твой трюк закончить на правах сильного или че это было, сыграл против тебя же, если для тебя дискуссия о векторах атак это ересь, значит вместо аргументов у тебя остались одни эмоции, спор ни к чему не приведет пока ты боишься признать очевидные дыры в своей логике.

Я так же не пойму твои когнитивные искажения, при чем тут мой статус "прохожего"? Ты так пытаешься обесценить сами законы логики и безопасности? Снова не контролируешь свои эмоции и переходишь на личности, тем самым показывая свою слабость в данной сфере.

В информационной безопасности нет волшебства, даже гиганты с миллиардными бюджетами (Microsoft, Apple, Google) иногда лажают, вспомни ту же атаку на SolarWinds или Log4j, там были тысячи модераторов и аудиторов которые гораздо выше уровнем, но произошли провалы, из этого следует что у тебя высокая наивность. Уже в какой раз оперируешь аргументом "Никто не сталкивался", как ты думаешь, проектируют ли вирусы так, что бы с ними не сталкивались?

И да, ТЫ ПРАВ, Я ЭТО И ДОНОШУ ДО ТЕБЯ, говорю что на других формуах и сайтах предоставляющих плагины и моды может быть тоже вредоносный код, я правда не понял, что это за мув от тебя был, ты мой тезис пытался выставить абсурдом?

Жирным шрифтом напишу, специально для тебя, можешь быть ты так увидишь, хотя, раз ты уж из сообщения длинной в 15 строк не увидел основной посыл, то наверное ты и это пропустишь мимо своих глаз, увидишь триггер "вирус" и пойдешь строчить новый ответ "ну блин, никто же не поймал, значит их вообще никогда не может быть". Я никого не обвиняю, не подозреваю на этом форуме, я просто хотел донести до автора темы, что никто никогда не даст 100% гарантии безопасности, абсолютно ни на каком ресурсе и источнике.

 

Ну это и печально что у тебя такое представление о современном нормальном вредоносе с которым ты похоже всего не сталкивался. Буквально, сам подтвердил что в плагины вшиается обфусцированнй код с сетевыми запросами, в ИБ это легитимный бэкдор, кто гарантирует что запрос забанен ли юзер не превратится в команду на скачивание и запуск произвольного байт кода? (Я не говорю что прямо сейчас такое есть, просто игнорировать это - полная неграмотность и дилетанство, всякое бывает, даже у более крупных проектов). Я думаю такие вещи как единая точка компрометации тебе ни о чем не скажет, так же как и атака на цепочку поставок, и рантайм байткод манипуляции.

Ребенок, прочитай код, там один Get запрос у API и все, ты код читать умеешь?

 

Ребенок, прочитай код, там один Get запрос у API и все, ты код читать умеешь?

Позоришься на весь форум)) Вот честно, тебе самому не смешно с себя? (без агресси, я просто реально не слышал таких ответов уже давно, хотя ты вроде какой то донатер, какие то группы навороченные у тебя в профиле) Я сам вижу места в которых можно законтрить меня в этом споре, но ты зачем то лезешь в техническую часть, в которой ты похоже сам на уровне того, кем ты меня только что назвал, ты в курсе что по Get запросу сегодня может придти одно, завтра другое? Я кстати не знал, что в рекафе можно смотреть ответы сервера, спасибо что рассказал о данной функции, сам так громко кричишь о рекафе, но походу твое владение им ограничивается только упоминанием названия в спорах. Еще забавно про "ты код читать умеешь?", а разве он не должен быть скрыт от меня обфускацией?)

 

В интернете нельзя верить никому. Это самое первое правило при включении роутера.
Дальше решайте сами.

Что-то кому то яростно доказывать, стуча в грудь кулаком я не намерен. Люди с головой сами проверяют код не ища темы с клятвами админов о безопасности ресурсов. Да, проверяем, да, уверены что ничего нет. Но я никогда не поверю ни одному представителю сайта любого в 100% безопасности. Личная проверка того, что скачивается лучшая практика.

Смысла в этой теме нет. До последнего не хотел отвечать тут. Но не пытайтесь продолжать срач. ТС спросил, и более не заходил на форум.