JavaからのURLへの投稿データを保護するための最良の方法

Question

私はコースワーク用の小さなゲームを開発しています。私が決定した拡張はオンラインスコアボードです。私が思ったように、私のコースのいくつかの人々がスコアボードをハックして、自分のスコアを提出する方法を考え出しました。

現在のスコアの提出方法にはいくつか問題があることは知っていますが、ここにはあります。ゲームはスコアを生成し、その後、選手ID、スコア、およびパスワードのオプションでURL上でHTTP GETを行います。

これは、パスワードのデータを取得するのが難しいため、これをPOSTに変更することがあります。また、私はHTTPS上で実行することを検討しています（これはJavaでもっと難しいかどうかわかりませんが）。残念ながら、これは人々がJavaコードを逆コンパイルすることによってパスワードを見つけた主な方法を止めるものではありません。

ハッキングを防ぐ最良の方法はわかりません。それほど重要ではありませんが、コードをマークすると、スパムの負荷がかからないようにセキュリティを確保するのが良いでしょう。

コードを難読化したり、プロセス全体を保護する方法について、あなたの提案は何ですか？

Answer 1

匿名トラッキングからユーザートラッキングに変更することができます。これは偽装を防止するものではありませんが、追跡可能にします。

基本的なプロトコルは、スコアボードの変更がセッションキーを使用して署名または暗号化されていることがあります。セッションキーは、プレーヤー自身のログオン時に作成されます。ここでは、適切な認証システムを使用して作業できます。

今、少なくともあなたは変更が行われていると、あなたの学生を非難することができます占めているから知っている...

Answer 2

あなたのアプローチは単純に機能しません。セキュリティを確保する必要がある場合は、クライアント上で実行することはできません。

代わりに、ゲーム全体をサーバー上で実行する必要があり、ユーザーは移動のみを送信できます。そうすれば、あなたは動きを検証することができます（プレイヤーは不正な状態を作成することはできません）。正しいスコアを計算できます。

他のすべては常にハッキングできます。データを暗号化しないと、ネットワークスニファを使用してハッキングする可能性があります。 HTTPSを使用する場合、ハッカーはプロキシを使用してデータをデコードできます（man in the middle attack）。

Answer 3

難読化はあなたを助けにはなりません。 ハッカーにとっては難しくなりますが、確かに可能です。

プロセス全体を（少なくともある程度は）確保するために、クライアントにゲームロジックコードを使用しないでください。クライアントは、サーバーにゲームコマンドを送信する必要があります。コマンドを受信した後、サーバは、ユーザが与えられたコマンドを実行できるかどうかをチェックする必要があります。

たとえば、同僚が 'set jeff score 9999'コマンドを送信した場合でも、サーバーはjeffが実際に彼に9999ポイントを与えたゲームを行ったかどうかをチェックし、そうでない場合はエラーメッセージクライアント上で

一般的なルールは次のとおりです。クライアント上に何かがある場合、クライアントはそれを変更できます。ほとんどの人は、クライアントが無益に変更することを困難にする試みをしています。