非gleader命令转让会长命令！警惕！

最近有人提到GuildSetLeader这个函数可以转让公会!我特意去wowwiki上看上了下,查不到.



本来估计这是是条被BLZ作废掉的函数,不放心又跑游戏里测试,结果初步证实有效!

如图:我不是会长,所以会提示没有权限转让公会,如果....

那么这条函数被恶意写进插件然后通过某条特殊M语来触发,是完全没有问题的

看来这几天有人发贴会长被M就被转让公会而被大家喷小白/坚守自盗的,也许确实冤枉了。。

经常几位热心朋友的测试,此命令确实有效,等同于/gleader !
仅限国服版本,WLK无效.也许这就是国服这么多"小白,坚守自盗"而台服没听人说过的原因?

防范措施：

教招最简单的措施....
进游戏后输入
/run GuildSetLeader=nil


这样GuildSetLeader就作废了...
不过这个只是最简单的措施...有很多方法可以绕过置空

因为我还没遇到过这种带恶意代码的插件..所以不敢肯定是否存在...只是理论上是可以实现的...
要防范也不是太难..
1. 不在陌生的插件网站,下载插件, 集成插件用户请去发布站下载, 散户去curse这类知名的插件门户站点下载
警告:MOP这类以论坛为载体的插件集散地,因为发布非常自由, 所以不属于可以信任的插件获取源
2. 不接受他人传给的插件
3. 不下载混淆了代码的插件, BLZ的插件规范明确规定,插件代码不能混淆, 混淆了的代码没有透明度, 谁知道里面有没有恶意代码
4. 检查插件代码中是否含有敏感代码...

以上三点中, 第一点和第二点只要做到了..那么遭遇含恶意代码的可能性就很低了...就算遭遇了, 那么陪你一起中的人会非常非常多的...(这个算不算是一种安慰?)

第三点,稍微需要一点代码尝试, 能分辨是否被混淆过...比较经典的例子就是老版大脚, 其中大量使用了由"1"和"l"组成的引用名, 这算是一种初级的混淆(因为现在我不用大脚,所以不知道现在大脚是否还有混淆)

第四点,善用WINDOWS自带的文件搜索功能,搜索interface文件夹中所有文件是否包含敏感关键字, 如GuildSetLeader 或 "gleader"(这个要带引号)...有可疑的请去下载站点询问.


其实...其实...其实...最简单最无敌的办法是:把会长一职转给一个小号, 然后该小号禁用所有插件, 需要用到会长的专有职能的, 只有不多的几个...而且几乎都不常用.