보안

Roll20은 산업 표준 256비트 SSL 암호화를 사용하여 데이터와 개인 정보를 보호합니다. 또한, 우리는 특정한 초대가 없는 한 다른 사람들이 캠페인 데이터에 접근하지 못하도록 하는 등의 보안 조치를 취하고 있으며, 백업 데이터를 암호화하는 등의 조치도 있습니다. 당사의 목표는 당신의 게임이 안전하게 보관되고 있다는 것을 확신할 수 있도록 하는 것입니다. 


취약점 보고

우리는 완벽하지 않으며, 버그와 우리가 생각하지 못한 사항들이 있을 것이라는 것을 알고 있습니다. Roll20에서 익스플로잇이나 취약점을 발견한 경우, 웹 양식()을 통해 최대한 빨리 신고해 주시기 바랍니다. 이를 위해 문제가 공개되기 전에 7일 (또는 더 긴 기간) 동안 문제를 해결하기 위한 시간을 부탁드립니다. 안타깝게도, 당사는 버그 보고에 대해 현금 혜택을 제공하지 않습니다. 책임감 있는 방식으로 당사에 공개하는 경우 감사페이지에 귀하를 등재합니다.


보안 vs. "부정 행위"

Roll20은 수백 가지 다른 종류의 게임을 지원하는 게임 플랫폼으로 독특합니다. 결과적으로, Roll20 프로그램에서는 게임 규칙 자체가 실제로 강제되지 않습니다. 예를 들어, GM이 당신에게 제어권을 주어야만 토큰을 이동할 수 있다고 해도, 규칙에서는 토큰이 턴당 10피트만 이동할 수 있다고 명시되어 있어도, 원하는만큼 토큰을 이동할 수 있습니다. 당신이 볼 수 있는 덱에서만 카드를 뽑을 수 있지만, 게임 규칙에서는 '턴당 1장의 카드만 뽑을 수 있다'고 명시되어 있어도, 원하는만큼 카드를 뽑을 수 있습니다. 이곳에서 나열된 목록은 끝이 없습니다.

게임 특정 규칙을 강제로 시행하기, 게임에서 '부정행위'를 하기 등에 대한 '취약점'을 제출하지 마십시오. Roll20은 탁상 게임을 에뮬레이션하기 위해 설계되었으며, 실제로 플레이어가 속일 의도가 있다면, 그들은 어떤 방법으로든 속일 수 있습니다. 탁상 게임은 플레이어들과 GM(또는 게임을 진행하는 사람)에 대한 신뢰에 기반하여 진행됩니다. 누군가는 Monopoly에서 은행에서 훔쳐갈 수 있지만, 그들은 모두의 게임을 망치기만 할 뿐이며, 자동적인 시행도 그들을 그러한 행동으로부터 막을 수 없습니다.

우리가 관심을 가지는 사항의 예:

  • 초대받지 않은 상태에서도 게임에 참여할 수 있습니다.
  • 다른 사용자로 로그인할 수 있습니다.
  • 누군가의 개인 메시지를 볼 수 있습니다.
  • 당신은 게임에 참여하여 완전히 망가뜨릴 수 있습니다 (예: 보드에서 모든 것을 삭제).

보안 취약점은 아니지만 규칙에 따른 부정 행위의 예시:

  • 다른 사람의 토큰의 HP를 @{target} 매크로를 사용하여 볼 수 있습니다.
  • 게임에서 다른 페이지로 전환하는 방법을 찾았습니다.
  • 화면에서 안개를 일시적으로 비활성화하는 방법을 찾았습니다.
  • 캐릭터를 제어할 수 없지만 캐릭터의 스탯을 볼 수 있습니다.

요약하자면, 보안 취약점은 Roll20에 기본 규칙 강제가 우회되는 방법이 아닌 사이트의 핵심 기능에 대한 심각한 위반으로 간주됩니다.


하트블리드 취약점

우리는 이에 관해 여러 이메일을 받았으므로 공식적인 답변을 여기에 게시하려고 생각했습니다. "하트블리드" OpenSSL 취약점이 공개되었을 때, 우리는 즉시 서버를 확인했고 취약한 버전의 OpenSSL을 실행 중인 서버를 찾지 못했습니다. 우리는 모든 것을 최신 패치된 버전으로 업그레이드하여 안전을 확보했지만, 현재로서는 비밀번호를 변경할 필요가 없으며, 언제든지 Roll20은 이러한 공격에 취약하지 않았습니다.

도움이 되었습니까?
78명 중 62명이 도움이 되었다고 했습니다.