保证高分

Question

我开发了一个简单的游戏，在线简单高分。

攻击它的一种方法是欺骗。

我想发送一个包含用户名和点数的Post请求。现在我们只看发送数据、接收数据和处理数据。(=>在游戏或SQL注入等方面没有防作弊)

问题是:我有什么可能保护这个过程的客户端？坏蛋如何劫持一个帖子请求，以便他们可以欺骗它？保护请求内容的解决方案是什么？

问候

Answer 1

你不能阻止假高分被提交。您可以让终端客户对高分进行数字签名，但是可以修改客户端，这样就什么都没有了。你能做的最好的事情就是，在比赛中取得高分的同时也要有一个完整的比赛。这样，就可以对剧本进行审计，以寻找可疑/错误的行为。

Answer 2

您不能保证100%的通信是安全的，但您可以使攻击者的工作更加困难。

如果你加密游戏中的分数并将(加密的)分数发送到服务器，你就击败了大多数刚刚下载Wireshark并学会改变数字的脚本小子。

然而，坚定的攻击者总是可以反向工程您的游戏，以确定加密密钥，甚至附加一个调试器到游戏，并修改他们的分数，就在它被发送。

有一些方法可以让这件事变得更加困难，但最终它是一个平衡，你希望你的游戏是安全的，以及你愿意投入多少时间和精力。