セキュリティ

Roll20は業界最高水準の256ビットSSL暗号化を採用し、お客様のデータとプライバシーを保護します。 また、お客様が特に招待しない限り、キャンペーンデータに他人がアクセスできないようにしたり、バックアップを暗号化したりするなど、セキュリティ対策も万全です。 私たちの目標は、お客様のゲームが私たちの手にある間は安全であるという安心感を提供することです。 


脆弱性の報告

私たちは完璧ではないし、バグや私たちが考えていないことがあることもわかっている。 Roll20の脆弱性を発見された場合は、できるだけ早くウェブフォームからご報告ください。 問題が公になる前に対処するために、7日間(あるいはそれ以上)の期間を設けていただけるとありがたい。 残念ながら、バグ報告に対する賞金は提供していません。 あなたのお名前を 謝辞ページに掲載させていただきます。


セキュリティー対 "不正行為"

Roll20のユニークな点は、何百種類ものゲームをサポートするゲーム・プラットフォームであるということだ。 その結果、Roll20プログラムでは、ゲームのルールそのものが強制されることはない。 例えば、GMがコントロール権を与えたトークンしか動かせないはずなのに、たとえゲームのルールで1ターンに10フィートしか移動できないと指定されていても、好きなだけ移動させることができます。 あなたがカードを引けるのは見えているデッキからだけですが、たとえゲームのルールで「1ターンに1枚しかカードを引けない」と指定されていたとしても、あなたは好きなだけカードを引くことができます。 このリストは枚挙にいとまがない。

ゲーム固有のルールの適用、ゲームでの「不正行為」などに関する「脆弱性」の提出はご遠慮ください。 Roll20は卓上をエミュレートするようにデザインされているので、現実と同じように、プレイヤーが不正をしようと思えば、おそらくその方法を見つけることができるだろう。 卓上ゲームは、プレイヤーへの信頼とGM(またはゲームを運営する人)への信頼に基づいてプレイされる。 誰かがモノポリーの銀行から盗むことはできるが、それは皆のためにゲームを台無しにするだけであり、いくら自動的な取締りがあってもそれを止めることはできない。

私たちが聞きたいと思っていることの例:

  • 招待されていなくてもゲームに参加できる。
  • 別のユーザーとしてログインできます。
  • 相手のプライベートメッセージを見ることができます。
  • ゲームに参加し、そのゲームを完全に破壊することができる(例えば、ボードからすべてを削除する)。

セキュリティの脆弱性ではないが、ルール特有の不正行為の例:

  • 他人のトークンのHPは、@{target} マクロを使って見ることができる。
  • あなたはゲーム内で別のページに切り替える方法を考え出した。
  • あなたは、スクリーン上の戦争の霧を一時的に無効にする方法を考え出した。
  • そのキャラクターを操作できなくても、そのキャラクターのステータスを見ることができる。

つまり、要約すると、私たちはセキュリティの脆弱性を、Roll20に組み込まれた基本的なルールの適用を回避する方法ではなく、サイトのコア機能に対する重大な侵害であると考えています。


ハートブリードの脆弱性

この件に関して何通かのメールをいただいたので、ここに正式な回答を掲載しようと思った。 OpenSSLの脆弱性 "Heartbleed "が公表されたとき、私たちは直ちにサーバーをチェックしましたが、脆弱なバージョンのOpenSSLを実行しているサーバーは見つかりませんでした。 念のため、すべてのパッチを最新のバージョンにアップグレードしましたが、現時点ではパスワードを変更する必要はありません。

この記事は役に立ちましたか?
85人中65人がこの記事が役に立ったと言っています