يمكن أن تلتزم تعديلات اللعبة نقاط الضعف تجاوز العازلة؟
https://stackoverflow.com//questions/21032142
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أنا لا أفعل عادة في المنتديات لأنني عادة ما يمكنني العثور على أي إجابة أحتاج باستخدام Google. ومع ذلك، فإن كل عملية البحث التي أركض أنا أعطني نتائج محددة للغاية، مثل نقاط الضعف الفائقة في الزمن المخزن المؤقت موجودة بالفعل للحصول على لعبة أو نظام معين وهو ليس ما أحتاج إليه.
لدي شبكة منزلية بما في ذلك Windows Server 2008 R2 وابني يريد بدء خادم Minecraft وهو بالطبع أريد أن أعطيه إمكانية الوصول الكامل إلى ذلك حتى يتمكن من التعلم. ومع ذلك، أعلم أن كل لعبة هي "تعديل" ويستخدم خرائط مخصصة وما شابه ذلك في الكثير من ألعابه.
قلقي هو أنني سأقوم بإنشاء مخاطر أمنية على شبكتي بناء على برمجة عديمة الخبرة. سيعطيه القدرة على تثبيت وإنشاء تعديلات على الخادم الخاص بي، يحتمل أن تفتح نقاط الضعف (خارج منافذ Minecraft المفتوحة) بسبب قلة الخبرة المحتملة للناس في الواقع كتابة التعديل؟ أو تفعل تعديل فقط ببساطة لا تعمل بهذه الطريقة ولا يمكنني العثور على إجابة على سؤالي لأنها متخلفة ولا أحد في الواقع برامج وزارة الدفاع لول؟
المحلول
على الطريقة التي يعمل بها نظام MOD للعبة، وما إذا كانت اللعبة نفسها رملية. الأهم من ذلك، لا يوجد برنامج آمن تماما. عليك أن تقرر مستوى الأمان والموثوقية التي تسعد بها.
هناك عدة طرق يمكن أن تعرض وزارة الدفاع عن الضعف:
- قد تسمح اللعبة بالوصول إلى مجموعة من الإجراءات غير المعلقة بشكل غير مناسب، مثل الوصول إلى نظام الملفات. يمكن أن يشمل ذلك المطور لا sandboxing وزارة الدفاع بشكل صحيح.
- يمكن أن يستغل وزارة الدفاع ثغرة أمنية في واجهة برمجة تطبيقات اللعبة للوصول إلى الإجراءات لم يكن مطور اللعبة ينوي. سيكون هذا بسبب خطأ في API.
- يمكن أن يستغل وزارة الدفاع ثغرة أمنية في محرك اللغة (على سبيل المثال، جافا له تاريخ طويل من ثغرات الأمن).
- وزارة الدفاع نفسها قد تكون عرضة للهجوم، ويمكن تقديمها لشن واحدة من الهجمات أعلاه.
إذا كان نظام MOD هو البرنامج النصي أو مؤسسات VM، مثل LUA أو JavaScript أو Java، فسأشعر بالراحة نسبيا الآمن التثبيت الآمن (طالما أن اللعبة تحتوي على API / الرمل ملف)، لأن الاستغلال 2-4 غير مرجح نسبيا.
(فهمي الأصلي رمز الإضافات محدود، لكنني متأكد من أنك يجب أن تثق في وزارة الدفاع الأصلية إذا كنت ترغب في تشغيله. حتى لو كنت، قد لا يزال الأمر كذلك قابل للاستقرار.)
فهمي لتعديل ماين كرافت هو أنهم مكتوكون في جافا. شعوري حول شباب Mojang هو أنهم يعرفون ما يفعلونه، لذلك سأفاجأ إذا لم تكن وزارة الدفاع الخاصة بها مصممة بشكل جيد وتنفيذها بشكل جيد. بعد القول أنه، يقدم تثبيت MODS بالضرورة مخاطر أمنية.
إذا كان هذا الخطر غير مقبول، فيمكنك تقليله عن طريق إدخال عمق للنظام. لماذا لا تقول، قم بتشغيل خادم Minecraft الخاص بك في جهاز ظاهري، مع وصول محدود إلى الشبكة (المنافذ المطلوبة فقط، على سبيل المثال)؟ وبهذه الطريقة يتم تقليل تأثير الضعف بشكل كبير.
أوصي بإنشاء أوبونتو VM على VirtualBox (نظرا لأنها مجانية كما هو الحال في البيرة)، ولكن يمكنك تثبيتها على أي نظام التشغيل الذي تشعر بالراحة فيه.
نصائح أخرى
المخزن المؤقت لغات البرمجة التي تسمح بالوصول إلى الذاكرة غير محددة.مكتوب MINECRAFT في جافا، وهي لغة غير عرضة للتجاوزات المخزن المؤقت، لذلك سيكون من غير المرجح أن تعرض وزارة الدفاع الخالص جافا أي شيء يشبه هذا النوع من الضعف.
بطبيعة الحال في Java، لا يزال بإمكان البرامج في جافا عرضة لأنواع أخرى من مشكلة الأمان، إما ضد اللعبة نفسها (على سبيل المثال، كان هناك تسجيل دخول حساب اللعبة ضد خوادم MINECRAFT) أو مقابل الخادم (أنا غير مدرك لأي معروفحالات هذا للحصول على ماين كرافت، لكنه ممكن دائما).تنطبق التخفيف المعتاد لخوادم التشغيل، على سبيل المثال قفل شبكة الوصول إلى شبكة IPS جيدة إذا كان ذلك ممكنا، تشغيل الخادم كمستخدم محدود وما إلى ذلك.
