Уже несколько дней на форумах идет очень активное обсуждение ситуации вокруг дырчатости клиента игры. Но ММОзговед не поддается панике, так что давайте разбираться.
Давным давно, в одной далекой стране под названием Южная Корея Джейк Сонг и группа единомышленников решили провести эксперимент. Для эксперимента им понадобилось создать программу тестирования в игровой форме, которую назвали ArcheAge. В ходе тестирования предполагалось исследовать психологические и поведенческие особенности людей из разных стран.
Шутка. Хотя более логичного объяснения, почему Аркейдж получился таким уязвимым к взломам, я придумать не могу. Если только они выиграли государственную программу по трудоустройству криворуких специалистов. В любом случае, факт заключается в том, что создатели игры вообще не использовали наработки в области защищенности онлайн игр.
Верны, судя по всему, три тезиса. Во-первых, данные, посылаемые на сервер и от сервера не шифруются. Это ведет к двум неприятным следствиям: для взаимодействий с сервером необязательно требуется родной клиент, крайне легко понять и изменить передаваемую информацию. Само по себе это не очень страшно, однако очень сильно упрощает создание ботов, которые управляются не методом клика. Во-вторых, что гораздо хуже, сервер очень слабо валидирует (от англ. valid — верный; проверяет на правильность и соответствие ожиданиям) приходящие пакеты. Этот момент самый удивительный. Совершенно непонятно, насколько наивным надо быть, чтобы думать, что этим никто не воспользуется. Третий момент, который упрощает создание встроенных в клиент ботов — отсутствие защиты от модификации клиента.
Эти три фактора смешались в гремучий коктейль. Кроме того есть очень важный фактор, который многократно ухудшил текущую ситуацию. F2P сыграл злую шутку. Нет никакой опасности для игрока, который использует уязвимость на бесплатном аккаунте. Прокачка занимает часы, если не минуты (с использованием уязвимости), если аккаунт банится, то просто создается новый. Это очень заметно по тому факту, что на серверах с закрытой регистрацией все эти проблемы проявились в гораздо меньшей степени и почти не повлияли на игру. Действительно, восстановить себе персонажа уже не получится, если засекут и забанят.
А теперь давайте разбираться с тем, чем это всем нам грозит. Так как вопросов много, я постарался составить FAQ. Поехали.
Q: Все плохо?
A: Да, все не очень хорошо.
Q: Все пропало?
A: Нет, конечно же. Хоть ситуация и серьезная, паниковать еще рано.
Q: Но ведь вся экономика к чертям же летит?!
A: Не совсем так. Есть три условных проблемы для экономики: ввод золота, ввод ресурсов и ввод экипировки (получение опыта и ОР я не рассматриваю по той причине, что к моменту запуска севера все заинтересованные лица будут уже 50 уровня, а ОР — средство, но не цель). В долгосрочной перспективе золото очень быстро уйдет на аукцион осад, ресурсы, как видно из текущей ситуации, скорее выравнивают уровень экипировки у игроков (который и так бы выровнялся с учетом того, что кап очень близок), так как их выбрасывают на аукцион. Единственная действительно серьезная проблема — экипировка. Здесь все зависит от возможностей и желания mail.ru.
Q: Вайп! Вайп! Вайп!
A: Если посмотреть на ситуацию с другими играми, то мы увидим, что боты и эксплойты есть везде. Например, в EVE Online большинство самых крупных кораблей (были?) построены из ресурсов, добытых ботами. Вайпов это ни разу не вызвало. Вопрос не в том, есть ли эксплойты. Они есть всегда и везде. Вопрос в том, какие последствия будут от этих ботов и эксплойтов для игры. Мое личное мнение заключается в том, что при некоторых телодвижениях со стороны mail.ru никаких необратимых изменений в игре не будет. Более того, если сравнивать текущую проблему с проблемой старта, когда не все смогли получить монеты и как следствие имели очень мало шансов на свой дом/пугало в ближайшем будущем, оказывается, что сейчас последствия меньше.
Q: Ах, какие mail.ru <тут любое ругательство на выбор>.
A: Надо очень четко понимать, в чем mail.ru виноваты, а в чем — нет. Это сложно, потому что у игроков на протяжении многих лет складывалось не очень хорошее впечатление об этой компании.
Q: Так в чем же они не виноваты?
A: Конечно, услугу предоставляют нам именно они, поэтому ответственность за ситуацию, конечно же, лежит на них. Тем не менее, код пишут не они, не забывайте об этом. Еще до ЗБТ, общаясь с Сергеем Теймуразовым на тему игры, я спрашивал его про борьбу с ботами в контексте того, что на Корее это большая проблема. Тогда он сам удивлялся, что там с ботами не борются, хотя все инструменты для этого разработчики сделали. Есть предположение, что как и в случае с незащищенном протоколом, система защиты от ботов просто не работает.
Q: Так они же знали о всех проблемах, но все равно решили срубить побольше денег?
A: Я думаю, что тут сыграло много факторов. Напомню, что в корейском регионе система шерифов работает, хотя так же уязвима к злоупотреблениям. Поэтому так остро проблема протокола, скорее всего, всплыла действительно только у нас. А про ботов я уже рассказал. Так что думаю тут получилось так, что серьезность проблемы они действительно не понимали, хотя, думаю, что и стремление побыстрее начать зарабатывать тоже сыграло свою роль.
Q: Да вас всех там купили, вот вы и расписываете все в радужном свете.
A: Наверное, переубедить особенно яростных сторонников теорий заговоров у меня не получится. Я лучше расскажу, что mail.ru сделали не так.
Q: И чего же они сделали не так?
A: Ну, во-первых, о проблеме протокола было известно заранее. О любви наших игроков к соревнованию любой ценой — тоже. Сопоставить эти два фактора было необходимо. Сопоставить и принять меры. Заранее. Во-вторых, отвратительная работа службы технической поддержки и коммьюнити менеджеров. Я не знаю, кто конкретно в этом виноват, но ощущение, что общаешься со стеной. Это ощущение подкрепляется полным нежеланием идти на контакт. В таких условиях очень сильно уменьшается желание отдавать такой компании деньги. Несмотря на прекрасную игру. И последнее. У меня складывается субъективное ощущение, что в mail.ru недооценивают масштаб проблемы. Это может оказаться фатальным. Время покажет.
Q: А как же паника, выключение серверов? Где реальные шаги?
A: Паника — удел паникеров, а серверы и так уже на профилактике. И совершенно не факт, что в полночь их поднимут. Это реальные шаги. Все будет зависеть от успешности исправлений.
Иллюстрация: Глубокая проблема.
Q: Да ну, не верю. Это проблема слишком глубокая, чтобы исправить за такое короткое время.
A: Тут есть два фактора. Во-первых, о проблеме известно давно, значит вполне вероятно, что какие-то наработки были уже готовы. Во-вторых, судя по косвенным данным, некоторая фильтрация пакетов клиента существует, это означает, что писать с нуля всю систему не надо.
Q: И что же будет?
A: Скорее всего патч, который они сегодня пытаются установить, решит лишь малую часть проблем. Тем не менее, если он будет успешным, последовательными фиксами самые явные проблемы будут исправлены. Это касается незащищенности протокола от подмены пакетов. С ботами же все будет плохо еще долгое время.
Q: Что надо сделать mail.ru для того, чтобы исправить ситуацию?
A: Первое, что надо сделать, это начать нормальное общение с игроками. Черт возьми, список забаненых игроков с указанием кланов — это первое, что надо сделать. Если это необходимо, внесите изменение в лицензионное соглашение и пропишите такую возможность, но список должен быть. Второе, что надо сделать, это либо дать нагоняй службе технической поддержки пользователей, либо увеличить ее численность. Либо и то, и другое. Я могу утверждать, что ни сроки ответов, ни качество этих ответов не выдерживают никакой критики. И не убеждать себя, что проблема имеет локальный характер. И чуть не забыл. Нулевое, что надо делать — это продолжать исправлять эти баги.
via источник
Комментариев нет:
Отправить комментарий