Roll20 utilizza la crittografia SSL a 256 bit per proteggere i tuoi dati e la tua privacy. Abbiamo anche misure di sicurezza come: tenere gli altri lontani dai dati della tua campagna a meno che tu non li inviti specificamente, crittografare i nostri backup e altro ancora. Il nostro obiettivo è fornirti la tranquillità sapendo che i tuoi giochi sono al sicuro tra le nostre mani.
Segnalazione delle vulnerabilità
Non siamo perfetti e sappiamo che ci saranno bug e cose a cui non abbiamo pensato. Se ha trovato un exploit o una vulnerabilità in Roll20, la preghiamo di segnalarcelo il prima possibile attraverso il nostro modulo web . Apprezzeremmo un periodo di 7 giorni (o più lungo) per affrontare eventuali problemi prima che vengano rivelati pubblicamente, nel caso tu scelga di farlo. Purtroppo, non offriamo alcuna ricompensa in denaro per segnalazioni di bug. Ti elencheremo nella nostra pagina degli Riconoscimentise ci comunichi in modo responsabile.
Sicurezza vs. "Cheating"
Roll20 è unico nel senso che è una piattaforma di gioco che supporta centinaia di tipi di giochi diversi. Di conseguenza, le regole del gioco stesso non sono realmente applicate dal programma Roll20. Ad esempio, anche se dovresti essere in grado di spostare i token che il GM ti ha dato il controllo, puoi spostarli quanto vuoi, anche se le regole del tuo gioco specificano che il token può muoversi solo di 10 piedi per turno. Anche se puoi pescare solo carte dai mazzi che sono visibili per te, puoi pescare quante carte vuoi, anche se le regole del tuo gioco specificano "pesca solo 1 carta per turno." L'elenco qui è infinito.
Per favore, non inviarci "vulnerabilità" riguardanti l'applicazione delle regole specifiche del gioco, "imbrogli" in un gioco, ecc. Roll20 è progettato per emulare un tavolo da gioco e, come nella vita reale, se un giocatore vuole barare, probabilmente può trovare un modo per farlo. I giochi da tavolo si basano sulla fiducia nei giocatori e nella GM (o nella persona che gestisce il gioco). Qualcuno può rubare dalla banca in Monopoly, ma sta solo rovinando il gioco per tutti, e nessuna forma di applicazione automatica può impedirgli di farlo.
Esempi di cose di cui siamo interessati a sapere:
- Puoi unirti a un gioco anche se non sei stato invitato.
- Puoi accedere come un altro utente.
- Puoi visualizzare i messaggi privati di qualcuno.
- Puoi unirti a un gioco e distruggerlo completamente (ad esempio, eliminare tutto dalla plancia)
Esempi di cose che non sono vulnerabilità di sicurezza ma sono imbrogli specifici delle regole:
- Puoi visualizzare i punti ferita del token di qualcun altro utilizzando la macro @{target} .
- Hai scoperto un modo per passare a una pagina diversa nel gioco.
- Hai scoperto un modo per disattivare temporaneamente la nebbia di guerra sul tuo schermo.
- Puoi visualizzare le statistiche di un personaggio anche se non puoi controllare quel personaggio.
Quindi, per riassumere, consideriamo le vulnerabilità di sicurezza come gravi violazioni della funzionalità principale del sito, non come modi per aggirare l'applicazione delle regole di base integrate in Roll20.
Vulnerabilità Heartbleed
Abbiamo ricevuto diverse email a riguardo, quindi abbiamo pensato di pubblicare qui una risposta ufficiale. Quando è stata divulgata la vulnerabilità OpenSSL "Heartbleed", abbiamo immediatamente controllato i nostri server e non ne abbiamo trovato nessuno che utilizzasse una versione vulnerabile di OpenSSL. Abbiamo proceduto con l'aggiornamento di tutto alla versione patchata più recente solo per sicurezza, ma al momento non è necessario cambiare la password e in nessun momento Roll20 è stato vulnerabile a questo attacco.