Безопасность браузерных игр
В прошлой статье мы затрагивали тему безопасности браузерных игр, но не остановились на ней подробно. Теперь же рассмотрим дейсвительные методы защиты. Для этого необходимо также узнать какие-существуют методы взлома.
Исходя из названия, браузерная игра запускается пользователем в браузере, а следовательно должна рассматриваться тема безопасности браузеров. Мы уже написали и обсудили множество статей на эту тему и единогласно признали лучшим браузером Google Chrome. Поэтому не будем подробно останавливаться на этом.
Распространение HTML5 как технологии (именно технологии, а не языка) позволило создавать мощные онлайн-игры, запускаемые из браузера. Возможности HTML5 позволяют добиваться практически любых эффектов и возможностей игры. В качестве сохраняемости игрового процесса используется локальное хранилище. Его ввели на замену устаревшим cookie, которые могли содержать лишь 4Кб информации. Локальное хранилище позволяет использовать хоть весь объем жеского диска пользователя, а следовательно безграничное пространство (по сравнению с общим весом всех файлов сохранений). Следует заметить, что по технологии доступ к локальному хранилищу возможен только у привелигерованного пользователя, в то время как другие юзеры не могут это сделать. Проблемы начинаются, когда бреши безопасности браузеров открывают злоумышленникам эту возможность и вопрос безопасности наиболее актуализируется.
Для решения этой проблемы используются цифровые подписи. Использование цифровой подписи для защиты приложения позволит вам не беспокоиться о его дальнейшей защите. ЭЦП строятся на надежных шифрах с открытым ключем. На сегодняшний день известны единичные случаи взлома ЭЦП в специальных условиях (мощные машины и длительное время), которые далеки от реальных. Получить ЭЦП для приложения можно у специализированного вендора. Срок действия подписи - 1 год. Далее ее нужно обновлять.
Помимо использования ЭЦП рекомендуется проверять буквально каждый шаги и каждое изменение системы в процессе игры. Каждое действие игрока должно быть сопровождено соответствующими ему правами доступа. Это наиболее актуально в играх, где для получения дополнительных возможностей нужно вносить реальные деньги, например, для увеличения силы игрока.
Помните, что даже при соблюдении всех предосторожностей создать самое защищенное приложение у вас не выйдет. Поэтому первое время следует ввести тестовый период, в течении которого игру оценят лучшие в мире тестировщики - ваши игроки! Прислушивайтесь к советам игроков и разузнайте как можно обойти ваши фильтры и преграды под видом новичка. Даже мировые компании вроде Google или Microsoft объявляют о награде за найденные баги в их продуктах, так чем же вы хуже? Объявите конкурс, что заплатите достойную награду за найденые уязвимости в системе. Тем самым вы убъете сразу двух зайцев: привлечете больше пользователей и защитите систему!
