【黑客同盟2016年09月29日讯】受到开辟时间的限定,开辟者必要与时间比赛,乃至他们还谋面临是参加全部筹划的功能或是按期发行的选择。
在文章的开头,先对文章内容举行三点声明:
一、本文谈及的安全步伐仅在你的游戏进入应用市场前予以实行方能见效。这一点非常紧张,下文会详述这个题目。
二、本文不能包管一劳永逸,特别是鉴于移动平台的快速发展,以及很多人都盼望通过复制或在你的游戏中作弊捞取长处。
三、这些办理方案的重要目标并不在于创造不可逾越的停滞,而是减和缓打压黑客的嚣张气势。以是突破应用安全体系的耗时越长,你的游戏在黑客面前的吸引力则更低。
以下是防盗窟、防盗版、防黑客的六大具体战略
1.存档作弊防止机制
比方,《愤怒的小鸟》的存档破解工具能读取和改变游戏的进度值。
免费游戏通过内购举行红利。内购的道具可以或许资助玩家轻松绕开游戏设定的停滞和在游戏中的表现更为优秀。存档破解可以或许区分储存和这些道具值的存放文件,并对它们举行修改,或让作弊者采取雷同的方法获取无穷金币/现金。以后就是这些作弊工具的原理:
在大部分游戏中,当玩家实行某个举措,该举措的记录以及结果都会储存在本地文档(即移动装备中),并在上传至服务器前举行打包。由于一次性上传全部文件会严峻拦阻网速和侵害游戏体验,以是这些文档会举行分批上传。作弊工具就是在打包上传节点上得到作弊的机遇,并对该等文件依附外部存档修改工具,以获取应用的存档,以是作弊者可以或许修改游戏的举措,包罗获取游戏的付费道具。(这些存档作弊工具中有一些可以或许在游戏是否已经被反编译的环境下仍能起效,以是创建或利用第三方办理方案显得非常紧张)。
检测和构造任何外部存档修改的积极可以或许资助防备这类作弊方式的发生。假如开辟者对本身的创建存档作弊检测/防止步伐有信心,那么也可以举行自主开辟。反之,则在游戏中纳入商用办理方案。我的个人发起是举行全面的调研和选择一项商用办理方案。存档作弊程序在不绝的发展和改善,而商用服务较平凡游戏开辟者在这方面更有资源。
预计实行时间:这取决于办理方案是否通过二进制植入(耗时几分钟)、SDK(耗时数天以致数周),或自主开辟(数周以致数月)。
2.源代码和字符代码肴杂
平凡英文文本情势的源代码非常轻易明白,但当以字符和数字代替文本时则否则。肴杂式代码可以或许减慢黑客相识代码的速率,更不消说利用你的代码。
预计实行时间:数分钟以致数小时,取决于代码的复杂程度。比方,SecondWaveGames工作室喜好采取由谷歌提供的免费肴杂代码/打包代码。通读整个文档以及相干的栈溢出(StackOverflow)仅需一小时,而实行这种代码也只需花一小时。
3.二进制级别的代码肴杂和加密
假如将源代码肴杂比作为你的寝室上锁了的保险箱,二进制级代码肴杂则相称于锁上你的前面和在你的房子安放防盗门,给盗贼设置多一层困难。由于这对应用本身的内容并无伤害,因此该方法不会对应用的体验构成任何影响。
这种方法可以或许很好地防止反向工程,由于反向工程必要对二进制文件举行反编译,但很不幸,这是平凡黑客的懂得技能之一。
源代码能被轻易地复制,从而创造新的游戏。而OniixGames工作室(在波士顿和上海设点)却对此无能为力:“在一款我们近期发布的游戏中,我们碰到了一款在实质上反向变异了我们相助搭档产物的游戏,还在我们相助搭档的游戏环球发布一个月后乐成登岸了应用市肆。代码肴杂和加密二进制文件则能防止这些环境的发生。”Oniix的EvrettWallace如是说。
预计实行时间:取决于采取何种办理方案。方案植入大概会耗时数月(对于必要与应用的初始开辟举行深度融合的办理方案而言),采取SDK则需2-3周的时间。新近推出的办理方案可以或许将此耗时收缩至数分钟。比方近期我帮忙测试的一份样本文件上传/下载,以及整个流程仅需10分钟则可完成。
4.加密密钥利用动态密钥而非静态密钥
我们发现利用静态和硬编码密钥的游戏非常多。而且这还不止范围于小型开辟者。一些主流发行商的游戏和应用,以及一些着名的企业也在其游戏中采取单点登录的方式。
岂论你是否用于加密在装备上通讯或储存的数据,对它们实行硬编码,这就意味着加密无法轻易地被破译。
试想一下:大街上的车都不是一条钥匙即可打开,就如你不应该在全部网站的账户上只利用单个暗码。大概更紧张的是,你绝不可以或许让这个密钥或暗码可供其他人利用或复制。
加密密钥是掩护互联网服务的基石,但必须利用得当。在大概的环境下,利用动态密钥,假如你得利用静态密钥,确保你加密。
预计实行时间:数小时以致数周,取决于你的游戏的开辟周期,以及必要处理惩罚的密钥的数量。
5.实行付出验证
在内购举行时,应用市肆便会发放一个付出验证码。在游戏服务器追回内购并返还至应用市肆的服务器予以确认前,付费验证码可被重复多次利用,偶然间还可以或许在差别的应用中利用。
由于银行的规定以及名誉卡在单子互换所处理惩罚的方式,偶然间会即时产生名誉卡收费。而在其他时间,则会在一天或两天后才会完成费用“待处理惩罚”至“处理惩罚”整个流程。(验证偶然间批量处理惩罚并每个数小时一次,或一天一次)。比方,Uber实行处理惩罚名誉卡的付出,而Lyfy的处理惩罚时间却为24小时。这就给利用卖弄名誉卡,以及被盗名誉卡举行内购有机可乘。
这种黑客征象非常广泛。移动分析公司Appsalar陈诉称,“越狱装备的舞弊比例高出50%”。游戏平台开辟者SOOMLA近期形貌了内购舞弊的发生过程,并以此中一个客户(一家游戏开辟者公司)为例,该公司原来在首天后应赚取高出1,000美元,但随后苹果的收入陈诉表现,该公司实际只赚了1-2美元。
通过在服务器端实行及时付出验证,你可以防止对付出验证码的滥用,并镌汰利用无效名誉卡信息的舞弊环境。
预计实行时间:最多耗时数小时或数天。一旦你相识内购体系的运作模式,实行及时付出验证并不困难。在植入内购体系时,确保你的服务器收到购买哀求时及时实行服务器端的查抄。
6.及时监控应用安全
门上锁了就安全了。有门的构筑更为安全。就更为有效的动态监测体系而言,在构筑被入侵前,向户主发出检测潜伏威胁的告诫非常关键。而应用分析工具的新兴范畴好像能让这种体系成为大概,让开辟者可以跟踪他们的应用,检测潜伏的黑客征象,并追踪他们的频率和始发点。只管如今市面上的关于这方面的服务尚较为稀缺,但它们仍值得观察和思量。
服务器端的掩护应参加防火墙和服务器安全软件;通讯应采取SSL和其他更为安全的方法。如今我们应该在应用的客户端上采取雷同的逻辑。只管敏感数据储存于客户端,但黑客仍可通过客户端获取这些数据。回到我们刚刚的类比当中,通过密钥进入的体系是安全的,但假如配备指纹辨认、热量探测和数字锁并配备监控摄像头的体系则更为安全。
预计实行时间:市面上有多个办理方案,实行时间从数分钟至数周不等。及时监控要求连续的监控。有鉴于此,我以为应该在客户服务/游戏端参加这种服务,由于其他平台,包罗MMORPG,也采取了这种跟踪功能。
P.S.为什么游戏发行后的办理方案代价更高
正如本文开头所说的,这些安全政策只有在应用进入市场火线能见效。这点非常紧张。我再次重申:假如你实行对已经进入应用市肆的应用施加掩护,那么恐怕已经是亡羊补牢,为时已晚。一旦游戏已经发布,这必要数周的开辟时间对游戏的代码举行修改。
而在这段时间,黑客大概已经完成了他们必要做的工作了。盗版游戏乃至能在原版游戏进入某个地区前便举行发布。在中国(GooglePlay被禁),市面上有数百个安卓的应用市肆,开辟者偶然间会发现他们与本身的多个克隆游戏举行竞争。以是,要在开辟周期的初期阶段便开始实行安全步伐。
我明白这大概与手游,特别是免费游戏的一样平常开辟方法背道而驰。手游是连续更新和优化的产物。就此,大部分的游戏初始发布时都是MVP(可行性最低的产物)版本,并在随后的时间举行迭代。受到开辟时间的限定,开辟者必要与时间比赛,乃至他们还谋面临是参加全部筹划的功能或是按期发行的选择。在这种环境下,安全通常都不受待见。
不幸的是,盗版仍相称放肆。手游行业产值数十亿美元,乃至一款游戏的年收入便能到达十亿美元,而且手游还在高速发展。思量到涉及云云巨大的经济长处,花上几个小时或是几天实行安全防御步伐是必须的。
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号PoweredByESCLINK.
我要评论