Как можно реализовать проверку подлинности данных на игровом сервере?

Question

[Viktor_P]

К примеру, есть некая простая игра по сети, суть которой - кто дальше проедет на машине или, проще говоря, кто наберет больше очков. Для реализации лидерборда данные в любом случае нужно отправлять на сервер. И тут встает вопрос - как реализовать логику, при которой сервер будет понимать, что данные - это действительно результат игры, а не какой-нибудь "левый" запрос отправленный через REST-клиент с накрученными данными?

Есть ли какие-то паттерны, как реализуются в этих случаях сервера?

Answer 1

[devalone]

Шифрование + авторизация + проверка данных на "реальность", т.е. если максимальная скорость машины 100 км/ч, а от клиента приходит результат, что он за секунду проехал 1000км, то тут явно что-то не так. Но даже в таком случае есть шанс, что программу реверснут и будут посылать левые результаты, можно вынести весь игровой процесс на сервер, но, думаю, в вашем случае это не подойдёт. На 100% защититься от читеров в принципе невозможо, ибо есть вероятность, что напишут бота к вашей игре.

Answer 2

[Saboteur]

1. Процесс отправки результатов должен быть согласован с предыдущими данными.
То есть вы не должны принимать пакет с результатами и сразу в скоребоард. Сперва должен быть пакет, что игрок начал трассу, потом какие-то промежуточные значения, затем уже результат. Для каждого пакета должно быть корректное время создания.

2. Опять же, клиент игры может отправлять дополнительные пакеты с информацией, и желательно регулярно меняться чтобы хакеру было сложно написать "бот", который будет работать вечно.

3. Информация должна шифроваться, алгоритм храниться в секрете. Можно сделать несколько алгоритмов и между ними переключаться, чтобы хакер сломал голову, разбираясь в каком виде он должен слать данные.

4. Логирование действий обязательно. Если есть подозрение, что какой-то клиент шлет некорректные данные (тренируется в написании бота) - можно банить сразу, или можно обсфуцировать бан - делать для такого клиента лаги, глюки и проблемы, чтобы он не понял что происходит, а банить немного погодя, чтобы он не мог вычислить какое именно его действие привело к бану.

Comments

[Viktor_P]

Да, спасибо. Это именно то заключение, к которому пришел и я.
Но появляется второй, дополнительный вопрос - игра подразумевается в вебе, соответственно на JS. Ну а js по сути нельзя (или я просто не знаю способов?) скомпилировать так, чтобы его нельзя бы декомпилировать. Соответственно какой бы сложности не было шифрование, при огромном желании всегда можно будет разобрать код на кусочки и выяснить этот алгоритм.
Как бороться с этой проблемой? Возможно имеет смысл отдельные куски писать на каком-то другом языке? Хотя не совсем даже представляю, на каком.

[devalone]

Viktor_P: js вы скомпилировать в принципе не можете, js либо инерпретируется, либо компилируется в машинный код браузером на ходу https://en.wikipedia.org/wiki/Chrome_V8
Вы можете только обфусцировать, ну или писать на webasm, но тогда потеряете часть аудитории со старыми браузерами. Но на чём бы вы не писали, всегда код смогут дизассемблировать и заменить в нём то, что нужно. Поэтому, если возможно, нужно делать как можно больше проверок на сервере.

[Saboteur]

js вы можете обсфуцировать, но главное - периодически меняйте что-то простенькое в алгоритме или структуре js.
Ботовод, который напишет свой клиент, будет слать кривые данные - можно будет их ловить, или как минимум банить и заставлять ПОСТОЯННО переписывать код.

Ботовод, который парсит ваш js и добавляет лишнее - при изменении структуры, будет вынужден тоже постоянно переписывать свой парсер.

То есть нужно спроектировать код таким образом, чтобы в последствии вы могли с минимальными усилиями для себя добавить хакерам много ручной работы.

Answer 3

[Алексей Павлов]

как реализовать логику, при которой сервер будет понимать, что данные - это действительно результат игры

100% защититься невозможно, но возможно сделать так, чтобы взлом стал гораздо дороже, чем выгода. Например, валидация данных в игровом сервере в условной "Flappy Bird" может быть заметно проще, чем GTA.

Очень хорошая и полезная статья Борьба с читерами в онлайн-играх: 22 «нужно» и «нельзя» на Хабре (плюс, важные комментарии). Выберите, какой уровень защиты вам нужен для вашей игры. Например, некоторые способы защиты невозможно сделать одному программисту (слишком долго и дорого).