十月份,我写了一篇有关PlayerUnknown Battlegrounds主菜单如何容易受到黑客攻击的文章。 一周后,我进行了跟进,以通知所有人该问题已解决。 我以为我已经解决了这个问题,直到我最近从读者“ Cole Cole”收到此消息:
今天还没有解决。2017年11月13日,我现在收到这种相同的黑客攻击。 有很多不同的类型,例如“您的浏览器不安全,人们在监视您”到“您赢得了新的Iphone X”。
旁注:当邮件中显示“ 11月13日”时,我是在12月13日收到的,因此我认为发件人只是在输入错误。
到目前为止,我还没有时间/精力去研究它,而PlayerUnknown的Battlegrounds 1.0版(最终)已经发布,所以……让我们开始吧。 要庆祝。
底线,前面
这有问题吗? 从我可以看到:没有。 PUBG仍在从远程Web服务器加载菜单和游戏资源,但是任何可能被欺骗来接管您的主菜单的通信均已安全完成。 我的意思是,它们是使用我的浏览器无法识别的密码通过HTTPS完成的。 这可能意味着使用过时的密码,以致现代浏览器或定制的,晦涩的浏览器不再支持它。 这些都不是“适当的安全性”,而是“ Good Enough™”。
那么,读者在给您留言时看到了什么? 可能是几件事。 该消息刚过去一周,因此它可能只是已经解决的问题的暂时重复。 比Bluehole更好的开发人员都遇到了这个问题,那为什么不呢? 另外,这是一个实际问题,但是几天前的1.0版本通过更改对其进行了修复。 如果现场生产硬件的配置与测试实例不同,则肯定会导致差异。
Cole的计算机也可能带有(或带有)病毒或其他形式的恶意恶意软件,它们破坏了安全通信。 他们也可能只是在和我打交道,想让我浪费时间输入更新信息。
这是否意味着PUBG将永远解决这些问题? 也许吧,也许不是。 他们仍在做几件不太正确的事情:
- 使用过时或非标准加密。 最好的情况是,它具有一些额外的安全性。 最坏的情况是,它是一种古老的,已经破解的加密类型,仅比没有加密要好。
- 完全可以远程加载静态游戏资源。 为什么还要这样做? 这不仅可能导致类似的问题,而且每次游戏开始时都要下载几兆字节的数据,这浪费了玩家的网络资源。
- 旧文件? 很明显,他们正在查询自己的实时资源服务器并从那里获取东西,但实际上可能没有使用它们。 如果我切断了该服务器的所有通信(加密的和非加密的),那么游戏似乎仍然可以正常工作。 为什么这些文件仍然在线存储呢? 谁知道?
- 并非所有通信实际上都是加密的。 我对“现在已加密”的评价是:“任何可能被欺骗来接管您的主菜单的通信”。 游戏仍然通过简单的,可欺骗的HTTP占用一些资源。 但是,对这些数据的响应似乎是某种原始的二进制数据,我无法分辨其目的或结构。 它们也太小(最多超过1 KB),无法包含整个菜单UI之类的内容。
最终评分:Me
这次最新的检查是“比我想像的要好,比我希望的要差”的练习。 我希望看到更多的清理工作,更清晰的本地托管所有游戏文件,以及在需要时进行更不透明的远程通信。 我得到的是好事和坏事的奇怪组合,充其量似乎是业余爱好者。 从技术上讲,它是安全的并且可以“工作”,对于在管理和市场营销上的人们来说,我相信这已经足够了。
虽然以工程师的身份来讲,这令人失望。 我很容易说出我的屁股不在线上的可能性,但是这种“最小可行的产品”可能更多。 不幸的是,这总体上代表了PUBG。
