本帖最后由 tdiant 于 2020-2-25 23:46 编辑
少年写作业便听说圈内巨♂闻?!毁灭世界?1.7.10版MOD服从此灭亡?
这一天风平浪静,与平常没什么区别。
突然QQ群图标在屏幕右下角闪烁,我以为又是鸽子在摸鱼,于是漫不经心点开......
嗯?!
相信大家今天肯定是看到了这个帖子:
https://www.mcbbs.net/thread-968903-1-1.html
woc!MC MOD服大漏洞?!1.7.10 MOD服出现致命BUG?究竟是什么情况?1.12也沦陷了?
究竟是人性的扭曲还是道德的沦丧?
我作为圈内垃圾,试着解答一些大家问的比较多的问题,希望在解决方法发布之前,能给大家一个初步的答案。
最起码没有解决方法,也应该了解一小下这个“BUG”究竟是什么情况。
MC游戏本体或者Forge出问题了吗?
我一看到这个帖子一开始以为是Forge出大问题了。我寻思着,Forge十年基业,被发现了这么一个漏洞,恐怕这是要垮台?
然后我平复心情,重新审视,在某网站上我看到了这个漏洞的相关代码,经过仔细地阅读,我可以肯定——
Forge没有问题,MC游戏本体也没问题。
这个漏洞具体是什么情况?啥意思啊?
这个漏洞并不是某个特定的代码出现了错误这类的问题。你需要明白,这个漏洞是一堆MOD作者都犯了同一个错误导致的。
什么意思???
就好比你是一个开当铺的,顾客给你手镯你就给他手镯的钱,给你钻石你就给他钻石的钱......
但是你有个致命的问题,你从来没有考虑过给你的手镯究竟是真的还是假的。
也就是,你对顾客给你的东西是100%信任的,根本不去想给你的是不是假货。
那么如果有一天,一个顾客来到你的店铺,从口袋里拿出了一个假钻石递给你,你会......
你会照样付钱给他!然后接过来假手镯!
也就是,顾客用假手镯骗了你的钱!
明白了这个道理你就应该明白这次的漏洞是什么问题了,有一堆MOD开发者开发MOD,他们的MOD在接收玩家游戏客户端发来的数据包的时候,没有考虑数据包里的数据究竟是不是合理的,拿过来这个数据就用,他们本应该想到玩家客户端是不能信任的,数据应该被判断是不是合理才对!
然后突然有一天,一个人“挟持了”玩家客户端里安装的那份MOD,逼迫客户端MOD向服务端传输了虚假的信息......
也就是这是MOD作者自己的大意酿成的货,现在有个人把存在这类问题的MOD的这些问题搜集在一起,做成了一个“整合”。
这些MOD作者为自己的疏忽为自己埋下了“炸弹”,现在“炸弹”炸了。
这个BUG涉及到了哪些版本?
你可以这么想想,如果这个作者在1.7.10版本编写时没想过要判断数据包内容是否属实,那么他以后维护的时候,很有可能从来没想过要去做判断。可能他们一直认为能用就行了。
就好比有一道题你少了一个条件,以后你做这个题很有可能会一直少条件,直到大考考完了出分发现翻车了,你才会意识到原来我这么多年做的都是错的。
如果这样去想,这些BUG理论是全版本的。任何版本的MOD都有可能存在这个问题。
因为任何开发者都有可能犯这个错误,如果犯了“过于信任客户端”的毛病,他开发出来的MOD如果火了,很有可能也会被这样盯上。
也就是,你手里的任何一个版本的任何一个MOD都有可能有这个问题,具体有没有,你得看这个MOD开发者细不细心。
怎么修复这个问题?
很遗憾的是,如果你想通过增加某个MOD、增加某个修复插件的方式修复这些MOD的问题,实现起来极为困难。(小莫做了个MOD出来修复了一部分MOD的问题,这句话我觉得是对的,但是非开发者可能无法理解,故删去)
这个问题是MOD作者自己的疏忽造成的,涉及到的MOD如果想修复相应的问题,最好的办法就是让MOD作者自己修好自己的MOD。
也就是,给这些涉事MOD增加对相关数据包的判断才可以。
简而言之,就是把涉及到的MOD都一个个增加相关应有但是没有去做的判断,把他们改好才可以。
作为服主,可能目前没有什么好的解决办法。
令人高兴的是,有些人在目前涉及到的、尚在维护中的MOD作者发去了pr,相信这些MOD作者会发现自己的问题,进行修复。
也有一些人(比如 上面那个链接的帖子作者小莫,加他QQ他不同意!!!嘤嘤嘤)在努力修复这些问题。
后记
这对于开发者
并不是什么大事,
只是一句话的问题:
请注意,
MOD开发的时候,
要注意判断客户端传过来的数据包是不是有问题。
说起来只是一句话的事情,
也并没有什么技术含量。
但大家都以为MOD能用就可以了。
直到问题与我们每个人
都紧密相关。
注:
感谢hookan、缇亚祢在本文撰写时提供的帮助。
本文旨在口语化、通俗化讲述漏洞详细内容,不具有专业性,存在诸多叙述问题,且本人水平有限,难免有所疏漏,敬请谅解。
少年写作业便听说圈内巨♂闻?!毁灭世界?1.7.10版MOD服从此灭亡?
这一天风平浪静,与平常没什么区别。
突然QQ群图标在屏幕右下角闪烁,我以为又是鸽子在摸鱼,于是漫不经心点开......
嗯?!
相信大家今天肯定是看到了这个帖子:
https://www.mcbbs.net/thread-968903-1-1.html
woc!MC MOD服大漏洞?!1.7.10 MOD服出现致命BUG?究竟是什么情况?1.12也沦陷了?
究竟是人性的扭曲还是道德的沦丧?
我作为圈内垃圾,试着解答一些大家问的比较多的问题,希望在解决方法发布之前,能给大家一个初步的答案。
最起码没有解决方法,也应该了解一小下这个“BUG”究竟是什么情况。
MC游戏本体或者Forge出问题了吗?
我一看到这个帖子一开始以为是Forge出大问题了。我寻思着,Forge十年基业,被发现了这么一个漏洞,恐怕这是要垮台?
然后我平复心情,重新审视,在某网站上我看到了这个漏洞的相关代码,经过仔细地阅读,我可以肯定——
Forge没有问题,MC游戏本体也没问题。
这个漏洞具体是什么情况?啥意思啊?
这个漏洞并不是某个特定的代码出现了错误这类的问题。你需要明白,这个漏洞是一堆MOD作者都犯了同一个错误导致的。
什么意思???
就好比你是一个开当铺的,顾客给你手镯你就给他手镯的钱,给你钻石你就给他钻石的钱......
但是你有个致命的问题,你从来没有考虑过给你的手镯究竟是真的还是假的。
也就是,你对顾客给你的东西是100%信任的,根本不去想给你的是不是假货。
那么如果有一天,一个顾客来到你的店铺,从口袋里拿出了一个假钻石递给你,你会......
你会照样付钱给他!然后接过来假手镯!
也就是,顾客用假手镯骗了你的钱!
明白了这个道理你就应该明白这次的漏洞是什么问题了,有一堆MOD开发者开发MOD,他们的MOD在接收玩家游戏客户端发来的数据包的时候,没有考虑数据包里的数据究竟是不是合理的,拿过来这个数据就用,他们本应该想到玩家客户端是不能信任的,数据应该被判断是不是合理才对!
然后突然有一天,一个人“挟持了”玩家客户端里安装的那份MOD,逼迫客户端MOD向服务端传输了虚假的信息......
也就是这是MOD作者自己的大意酿成的货,现在有个人把存在这类问题的MOD的这些问题搜集在一起,做成了一个“整合”。
这些MOD作者为自己的疏忽为自己埋下了“炸弹”,现在“炸弹”炸了。
这个BUG涉及到了哪些版本?
你可以这么想想,如果这个作者在1.7.10版本编写时没想过要判断数据包内容是否属实,那么他以后维护的时候,很有可能从来没想过要去做判断。可能他们一直认为能用就行了。
就好比有一道题你少了一个条件,以后你做这个题很有可能会一直少条件,直到大考考完了出分发现翻车了,你才会意识到原来我这么多年做的都是错的。
如果这样去想,这些BUG理论是全版本的。任何版本的MOD都有可能存在这个问题。
因为任何开发者都有可能犯这个错误,如果犯了“过于信任客户端”的毛病,他开发出来的MOD如果火了,很有可能也会被这样盯上。
也就是,你手里的任何一个版本的任何一个MOD都有可能有这个问题,具体有没有,你得看这个MOD开发者细不细心。
怎么修复这个问题?
很遗憾的是,如果你想通过增加某个MOD、增加某个修复插件的方式修复这些MOD的问题,实现起来极为困难。(小莫做了个MOD出来修复了一部分MOD的问题,这句话我觉得是对的,但是非开发者可能无法理解,故删去)
这个问题是MOD作者自己的疏忽造成的,涉及到的MOD如果想修复相应的问题,最好的办法就是让MOD作者自己修好自己的MOD。
也就是,给这些涉事MOD增加对相关数据包的判断才可以。
简而言之,就是把涉及到的MOD都一个个增加相关应有但是没有去做的判断,把他们改好才可以。
作为服主,可能目前没有什么好的解决办法。
令人高兴的是,有些人在目前涉及到的、尚在维护中的MOD作者发去了pr,相信这些MOD作者会发现自己的问题,进行修复。
也有一些人(比如 上面那个链接的帖子作者小莫,加他QQ他不同意!!!嘤嘤嘤)在努力修复这些问题。
后记
这对于开发者
并不是什么大事,
只是一句话的问题:
请注意,
MOD开发的时候,
要注意判断客户端传过来的数据包是不是有问题。
说起来只是一句话的事情,
也并没有什么技术含量。
但大家都以为MOD能用就可以了。
直到问题与我们每个人
都紧密相关。
注:
感谢hookan、缇亚祢在本文撰写时提供的帮助。
本文旨在口语化、通俗化讲述漏洞详细内容,不具有专业性,存在诸多叙述问题,且本人水平有限,难免有所疏漏,敬请谅解。
如今还能看见和1710有关的帖子
感觉真亲切
感觉真亲切
支持td
科普要规范
不能像某地记者一样见风就是雨
科普要规范
不能像某地记者一样见风就是雨
还1.7.10的bug还是早点修复吧233,那些熊孩子的亲人是没了吗
所以到底要在哪一步加一个什么判断..
就是哪一个环节被挟持并发送了假数据包.
就是哪一个环节被挟持并发送了假数据包.
Forge本质就是为单人开发的mod 作者大多数都是爱好者 我个人觉得作者可能不会理会这种bug
永远不要相信用户的输入
SHEEP_REALMS 发表于 2020-2-26 00:26
永远不要相信用户的输入
输入啥。。东东
还好我这里是小服,不慌
有白名单,问题不是很大
现在不止1.7.10遭殃了 1.12.2也能刷
都提防一点吧
都提防一点吧
太惨了这个东西。1.12.2也没了