나는 온라인 간단한 최고 점수를 가진 간단한 게임을 개발합니다.높은 점수 확보
공격 방법 중 하나가 스푸핑입니다.
사용자 이름과 점수가 포함 된 게시물 요청을 보내고 싶었습니다. 지금은 데이터를 보내고 받아보고 처리하는 방법을 살펴 보겠습니다. (게임 내 또는 SQL 주입 등의 내열성이 없음)
질문 : 이 프로세스 클라이언트 측을 보호하려면 어떤 가능성이 있습니까? baddies가 게시 요청을 어떻게 도용하여 스푸핑 할 수 있습니까? 요청 내용을 보호하기위한 해결책은 무엇입니까?
인사
당신은 submittable되는 것을 가짜 높은 점수를 중지 할 수 없습니다. 최종 클라이언트가 최고 점수에 디지털 서명 할 수는 있지만 클라이언트는 수정할 수 있으므로 아무 것도 달성 할 수 없습니다. 당신이 할 수있는 최선의 게임은 게임 플레이에 의한 완전한 플레이와 함께 높은 점수를 얻는 것입니다. 그렇게하면 플레이를 통한 플레이가 의심 스럽거나 잘못된 행동을 찾기 위해 감사 될 수 있습니다.
당신의 통신이 안전하다는 것을 100 % 보장 할 수는 없지만 공격자의 직업을 더 어렵게 만들 수 있습니다.
게임 내에서 점수를 암호화하고 서버에 (암호화 된) 점수를 보내면 방금 Wireshark를 다운로드 한 대부분의 스크립트 꼬마들에게 패배시키고 숫자를 변경하는 법을 배웠습니다.
그러나 결정된 공격자는 게임을 리버스 엔지니어링하여 암호화 키를 결정하거나 디버거를 게임에 첨부하고 전송하기 바로 전에 점수를 수정할 수도 있습니다.
더 어렵게 만드는 방법이 있지만 결국 게임이 얼마나 안전하고 얼마나 많은 시간과 노력을 투입 할 것인지 균형을 잡습니다.
점수 또는 메시지에 서명하는 가장 좋은 방법은 무엇입니까? – Mruf