Roll20 verwendet die branchenweit beste 256-Bit-SSL-Verschlüsselung, um Ihre Daten und Ihre Privatsphäre zu schützen. Wir verfügen außerdem über Sicherheitsmaßnahmen wie: Halten Sie andere von Ihren Kampagnendaten fern, es sei denn, Sie laden sie ausdrücklich ein, verschlüsseln Sie unsere Backups und mehr. Unser Ziel ist es, Ihnen die Gewissheit zu geben, dass Ihre Spiele in unseren Händen sicher sind.
Schwachstellen melden
Wir sind nicht perfekt und wir wissen, dass es Fehler und Dinge geben wird, an die wir nicht gedacht haben. Wenn Sie einen Exploit oder eine Schwachstelle in Roll20 gefunden haben, melden Sie uns dies bitte so schnell wie möglich über unser Webformular. Wir würden uns über eine Frist von 7 Tagen (oder länger) freuen, um etwaige Probleme zu klären, bevor sie öffentlich bekannt gegeben werden, falls Sie dies wünschen. Leider bieten wir keine Bargeldprämien für Fehlerberichte an. Wir werden Sie auf unserer Seite Danksagungenauflisten, wenn Sie uns dies auf verantwortungsvolle Weise mitteilen.
Sicherheit vs. „Betrug“
Roll20 ist insofern einzigartig, als es sich um eine Spieleplattform handelt, die Hunderte verschiedener Arten von Spielen unterstützt. Infolgedessen werden die Spielregeln selbst vom Roll20-Programm nicht wirklich durchgesetzt. Während Sie zum Beispiel nur in der Lage sein sollten, Spielsteine zu bewegen, über die der GM Ihnen die Kontrolle gegeben hat, können Sie sie beliebig weit bewegen, selbst wenn die Regeln Ihres Spiels festlegen, dass sich der Spielstein nur 10 Fuß pro Spielzug bewegen kann. Während Sie nur Karten von Stapeln ziehen können, die für Sie sichtbar sind, können Sie beliebig viele Karten ziehen, auch wenn die Regeln Ihres Spiels vorschreiben, dass „nur 1 Karte pro Spielzug gezogen werden soll“. Die Liste hier ist endlos.
Bitte melden Sie uns keine „Schwachstellen“ bezüglich der Durchsetzung spielspezifischer Regeln, „Betrug“ bei einem Spiel usw. Roll20 ist so konzipiert, dass es eine Tischplatte nachahmt, und wie im wirklichen Leben kann ein Spieler, der schummeln möchte, wahrscheinlich einen Weg finden, dies zu tun. Tabletop-Spiele werden auf der Grundlage des Vertrauens in die Spieler und in den GM (oder die Person, die das Spiel leitet) gespielt. In Monopoly kann jemand von der Bank stehlen, aber er ruiniert nur das Spiel für alle, und keine automatische Durchsetzung kann ihn davon abhalten.
Beispiele für Dinge, die uns interessieren:
- Sie können einem Spiel beitreten, obwohl Sie nicht dazu eingeladen wurden.
- Sie können sich als anderer Benutzer anmelden.
- Sie können die privaten Nachrichten einer Person anzeigen.
- Sie können einem Spiel beitreten und es völlig zerstören (z. B. alles vom Spielbrett löschen).
Beispiele für Dinge, bei denen es sich nicht um Sicherheitslücken, sondern um regelspezifisches Betrügen handelt:
- Sie können die HP des Tokens einer anderen Person mithilfe des @{target} -Makros anzeigen.
- Sie haben eine Möglichkeit gefunden, zu einer anderen Seite im Spiel zu wechseln.
- Sie haben eine Möglichkeit gefunden, den Nebel des Krieges auf Ihrem Bildschirm vorübergehend zu deaktivieren.
- Sie können die Statistiken eines Charakters anzeigen, auch wenn Sie diesen Charakter nicht steuern können.
Zusammenfassend lässt sich sagen, dass wir Sicherheitslücken als schwerwiegende Verstöße gegen die Kernfunktionalität der Website betrachten und nicht als Umgehung der in Roll20 integrierten Grundregeldurchsetzung.
Heartbleed-Sicherheitslücke
Wir haben diesbezüglich mehrere E-Mails erhalten und dachten uns daher, dass wir hier eine offizielle Antwort veröffentlichen würden. Als die OpenSSL-Schwachstelle „Heartbleed“ bekannt wurde, überprüften wir sofort unsere Server und fanden keinen, auf dem eine anfällige Version von OpenSSL ausgeführt wurde. Aus Sicherheitsgründen haben wir alles auf die neueste gepatchte Version aktualisiert. Derzeit ist es jedoch nicht erforderlich, Ihr Passwort zu ändern, und Roll20 war zu keinem Zeitpunkt anfällig für diesen Angriff.