无意间看到一个插件又是闭源,又是加混淆,又是联网,我没有仔细分析,我只是反编译快速浏览了一下(没有仔细看),这个插件有很多网络行为,还 fetch 和组织 URI, 原理上如果作者愿意的话完全可以从远端 URI fetch 内容实现 XSS 注入。
我不是说作者一定有恶意行为(所以插件名就不说了),只是说又是闭源又加混淆又是联网的插件应该至少标记一下。
插件市场应该把闭源的插件特别标注一下
本贴最后更新于 645 天前,其中的信息可能已经时移俗易
相关帖子
-
有确切恶意行为的话请在社区集市仓库提交 issue,谢谢。
插件是闭源的(repo 没有源码),反编之后阅读依然比较困难,所以不好分析到底有没有恶意行为。以及(如果)从远端载入恶意代码的话,本地分析也看不出来。我只是觉得闭源插件应该在市场专门标注一下。zxkmm •@88250 加个标识应该还是没什么问题的,有的人就只用开源的插件@a2930610542 可能 D 大考虑到做此标记会挫败开发者开发插件的积极性?zxkmm •@zxkmm 我觉得既然允许插件收费,那就得允许闭源@zxkmm 大概还是因为加个标记有点麻烦@a2930610542 理论上在 pipeline 里面加个 python 脚本判断一下发布 release 的是不是 bot 就行zxkmm •@a2930610542 谢谢提醒,我之前不知道有收费的插件。我好像暂时没见过。zxkmm • -
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于