Roll20은 산업 표준 256비트 SSL 암호화를 사용하여 데이터와 개인 정보를 보호합니다. 또한, 우리는 특정한 초대가 없는 한 다른 사람들이 캠페인 데이터에 접근하지 못하도록 하는 등의 보안 조치를 취하고 있으며, 백업 데이터를 암호화하는 등의 조치도 있습니다. 당사의 목표는 당신의 게임이 안전하게 보관되고 있다는 것을 확신할 수 있도록 하는 것입니다.
보안 vs. "부정 행위"
Roll20은 수백 가지 다른 종류의 게임을 지원하는 게임 플랫폼으로 독특합니다. 결과적으로, Roll20 프로그램에서는 게임 규칙 자체가 실제로 강제되지 않습니다. 예를 들어, GM이 당신에게 제어권을 주어야만 토큰을 이동할 수 있다고 해도, 규칙에서는 토큰이 턴당 10피트만 이동할 수 있다고 명시되어 있어도, 원하는만큼 토큰을 이동할 수 있습니다. 당신이 볼 수 있는 덱에서만 카드를 뽑을 수 있지만, 게임 규칙에서는 '턴당 1장의 카드만 뽑을 수 있다'고 명시되어 있어도, 원하는만큼 카드를 뽑을 수 있습니다. 이곳에서 나열된 목록은 끝이 없습니다.
게임 특정 규칙을 강제로 시행하기, 게임에서 '부정행위'를 하기 등에 대한 '취약점'을 제출하지 마십시오. Roll20은 탁상 게임을 에뮬레이션하기 위해 설계되었으며, 실제로 플레이어가 속일 의도가 있다면, 그들은 어떤 방법으로든 속일 수 있습니다. 탁상 게임은 플레이어들과 GM(또는 게임을 진행하는 사람)에 대한 신뢰에 기반하여 진행됩니다. 누군가는 Monopoly에서 은행에서 훔쳐갈 수 있지만, 그들은 모두의 게임을 망치기만 할 뿐이며, 자동적인 시행도 그들을 그러한 행동으로부터 막을 수 없습니다.
우리가 관심을 가지는 사항의 예:
- 초대받지 않은 상태에서도 게임에 참여할 수 있습니다.
- 다른 사용자로 로그인할 수 있습니다.
- 누군가의 개인 메시지를 볼 수 있습니다.
- 당신은 게임에 참여하여 완전히 망가뜨릴 수 있습니다 (예: 보드에서 모든 것을 삭제).
보안 취약점은 아니지만 규칙에 따른 부정 행위의 예시:
- 다른 사람의 토큰의 HP를 @{target} 매크로를 사용하여 볼 수 있습니다.
- 게임에서 다른 페이지로 전환하는 방법을 찾았습니다.
- 화면에서 안개를 일시적으로 비활성화하는 방법을 찾았습니다.
- 캐릭터를 제어할 수 없지만 캐릭터의 스탯을 볼 수 있습니다.
요약하자면, 보안 취약점은 Roll20에 기본 규칙 강제가 우회되는 방법이 아닌 사이트의 핵심 기능에 대한 심각한 위반으로 간주됩니다.
하트블리드 취약점
우리는 이에 관해 여러 이메일을 받았으므로 공식적인 답변을 여기에 게시하려고 생각했습니다. "하트블리드" OpenSSL 취약점이 공개되었을 때, 우리는 즉시 서버를 확인했고 취약한 버전의 OpenSSL을 실행 중인 서버를 찾지 못했습니다. 우리는 모든 것을 최신 패치된 버전으로 업그레이드하여 안전을 확보했지만, 현재로서는 비밀번호를 변경할 필요가 없으며, 언제든지 Roll20은 이러한 공격에 취약하지 않았습니다.