Найти хаки в плагинах

все пишут что на всех неофициальных ресурсах плагины содержат хаки. а нельзя просто плагин открыть в эклипсе и просмотреть код на наличие хаков? если нельзя, то разработчики, объясните в чем я не прав

 

Слишком много людей не верят в то, что люди могут выкладывать плагины без злого умысла, а тупо для того чтобы распространить своё творение.
В большинстве случаев достаточно будет просто нормально проверить код через декомпилятор, чтобы определить имеется ли там как или что-либо. Если код обфусцирован - такое лучше не качать

 

Можно.
Но с вероятностью 90% такие плагины обфусцированы (их код для человека очень сложно или невозможно понять и делается это отдельными утилитами при компиляции плагина).
Никто не будет тратить время на то, чтобы разобраться в таком коде (кроме некоторых исключений). Попробуй декомпилировать майнкрафт, поймешь о чем речь.

 

Скинь мне такую)

 

я слышал что майнкрафт состоит из спагетти кода

 

реально? а я думал из кофе

 

Если содержимое плагина обфусцированно, его лучше просто не устанавливать. Если нет его можно разобрать (декомпелировать) и попробовать найти в нём скрытый функционал. Кстати есть специальный плагин-антивирус для поиска вредоносных плагинов, может быть будет полезно
https://www.spigotmc.org/resources/spigot-anti-malware.64982/

 

Этот анти-малварь - лютейшая клоунада. Он способен обнаружить только setOp(true) - не более

 

Теоретически можно проверить всё. Но на практике:
1) Это может занять очень много времени из-за большого объёма кода
2) Это может занять ещё больше времени, если код обфусцирован

Более того, многие НЕ проверяют код в библиотеках, вшитых в плагины. Например, google.gson или apache.commons.lang. Хотя там тоже прекрасно может быть подлянка.

На самом деле, процесс проверки можно ускорить, если использовать автоматические анализаторы кода по типу keiko, но даже с его использованием времени может уйти уйма.

Поэтому если ты заботишься о экономической выгодности своего сервера - необходимо 2 раза подумать, прежде чем тратить время на анализ крупного/обфусцированного плагина. Возможно выгоднее было бы за денежку заказать допил уже существующего с похожим функционалом (но которому ты будешь доверять на 100%).

Не существует идеального кода, но в целом код игры сейчас уже достаточно неплох если сравнивать с тем, что было раньше. Очень сильно всё отрефакторили в связи с введением нового функционала

 

Во-первых, ничего более адекватного, к сожалению, на текущий момент просто нет. Keiko не подходит для полноценного использования в продакшне.

Во-вторых, ты не прав касательно того, что этот плагин может детектить только .setOp(true).
Пара примеров:
https://github.com/OpticFusion1/MCA...alware/scanner/realtime/DirectoryWatcher.java
https://github.com/OpticFusion1/MCA...antimalware/check/impl/SystemAccessCheck.java

Естественно, идеальной защиты не существует. И в целом даже не проблема - адекватно критиковать то, что есть.
Но конкретно твои слова звучат как "не используй это, потому что оно плохо работает". А эта логика неверна. Лучше использовать хоть что-то, чем не использовать ничего. Особенно, если ты любитель пиратских плагинов. Хотя я такое осуждаю

 

По крайней мере когда я давал этой штуке на проверку ряд хак плагинов - он не пометил и половины
(а если плагин под обуфой то я не думаю что он будет хоть на что-то способен)

 

Будет. В плагине несколько runtime-проверок