Уже несколько дней на форумах идет очень активное обсуждение ситуации вокруг дырчатости клиента игры. Но ММОзговед не поддается панике, так что давайте разбираться.
Давным давно, в одной далекой стране под названием Южная Корея Джейк Сонг и группа единомышленников решили провести эксперимент. Для эксперимента им понадобилось создать программу тестирования в игровой форме, которую назвали ArcheAge. В ходе тестирования предполагалось исследовать психологические и поведенческие особенности людей из разных стран.
Шутка. Хотя более логичного объяснения, почему Аркейдж получился таким уязвимым к взломам, я придумать не могу. Если только они выиграли государственную программу по трудоустройству криворуких специалистов. В любом случае, факт заключается в том, что создатели игры вообще не использовали наработки в области защищенности онлайн игр.
Верны, судя по всему, три тезиса. Во-первых, данные, посылаемые на сервер и от сервера не шифруются. Это ведет к двум неприятным следствиям: для взаимодействий с сервером необязательно требуется родной клиент, крайне легко понять и изменить передаваемую информацию. Само по себе это не очень страшно, однако очень сильно упрощает создание ботов, которые управляются не методом клика. Во-вторых, что гораздо хуже, сервер очень слабо валидирует (от англ. valid — верный; проверяет на правильность и соответствие ожиданиям) приходящие пакеты. Этот момент самый удивительный. Совершенно непонятно, насколько наивным надо быть, чтобы думать, что этим никто не воспользуется. Третий момент, который упрощает создание встроенных в клиент ботов — отсутствие защиты от модификации клиента.
Эти три фактора смешались в гремучий коктейль. Кроме того есть очень важный фактор, который многократно ухудшил текущую ситуацию. F2P сыграл злую шутку. Нет никакой опасности для игрока, который использует уязвимость на бесплатном аккаунте. Прокачка занимает часы, если не минуты (с использованием уязвимости), если аккаунт банится, то просто создается новый. Это очень заметно по тому факту, что на серверах с закрытой регистрацией все эти проблемы проявились в гораздо меньшей степени и почти не повлияли на игру. Действительно, восстановить себе персонажа уже не получится, если засекут и забанят.
А теперь давайте разбираться с тем, чем это всем нам грозит. Так как вопросов много, я постарался составить FAQ. Поехали.
Q: Все плохо?
A: Да, все не очень хорошо.
Q: Все пропало?
A: Нет, конечно же. Хоть ситуация и серьезная, паниковать еще рано.
Q: Но ведь вся экономика к чертям же летит?!
A: Не совсем так. Есть три условных проблемы для экономики: ввод золота, ввод ресурсов и ввод экипировки (получение опыта и ОР я не рассматриваю по той причине, что к моменту запуска севера все заинтересованные лица будут уже 50 уровня, а ОР — средство, но не цель). В долгосрочной перспективе золото очень быстро уйдет на аукцион осад, ресурсы, как видно из текущей ситуации, скорее выравнивают уровень экипировки у игроков (который и так бы выровнялся с учетом того, что кап очень близок), так как их выбрасывают на аукцион. Единственная действительно серьезная проблема — экипировка. Здесь все зависит от возможностей и желания mail.ru.
Q: Вайп! Вайп! Вайп!
A: Если посмотреть на ситуацию с другими играми, то мы увидим, что боты и эксплойты есть везде. Например, в EVE Online большинство самых крупных кораблей (были?) построены из ресурсов, добытых ботами. Вайпов это ни разу не вызвало. Вопрос не в том, есть ли эксплойты. Они есть всегда и везде. Вопрос в том, какие последствия будут от этих ботов и эксплойтов для игры. Мое личное мнение заключается в том, что при некоторых телодвижениях со стороны mail.ru никаких необратимых изменений в игре не будет. Более того, если сравнивать текущую проблему с проблемой старта, когда не все смогли получить монеты и как следствие имели очень мало шансов на свой дом/пугало в ближайшем будущем, оказывается, что сейчас последствия меньше.
Q: Ах, какие mail.ru <тут любое ругательство на выбор>.
A: Надо очень четко понимать, в чем mail.ru виноваты, а в чем — нет. Это сложно, потому что у игроков на протяжении многих лет складывалось не очень хорошее впечатление об этой компании.
Q: Так в чем же они не виноваты?
A: Конечно, услугу предоставляют нам именно они, поэтому ответственность за ситуацию, конечно же, лежит на них. Тем не менее, код пишут не они, не забывайте об этом. Еще до ЗБТ, общаясь с Сергеем Теймуразовым на тему игры, я спрашивал его про борьбу с ботами в контексте того, что на Корее это большая проблема. Тогда он сам удивлялся, что там с ботами не борются, хотя все инструменты для этого разработчики сделали. Есть предположение, что как и в случае с незащищенном протоколом, система защиты от ботов просто не работает.
Q: Так они же знали о всех проблемах, но все равно решили срубить побольше денег?
A: Я думаю, что тут сыграло много факторов. Напомню, что в корейском регионе система шерифов работает, хотя так же уязвима к злоупотреблениям. Поэтому так остро проблема протокола, скорее всего, всплыла действительно только у нас. А про ботов я уже рассказал. Так что думаю тут получилось так, что серьезность проблемы они действительно не понимали, хотя, думаю, что и стремление побыстрее начать зарабатывать тоже сыграло свою роль.
Q: Да вас всех там купили, вот вы и расписываете все в радужном свете.
A: Наверное, переубедить особенно яростных сторонников теорий заговоров у меня не получится. Я лучше расскажу, что mail.ru сделали не так.
Q: И чего же они сделали не так?
A: Ну, во-первых, о проблеме протокола было известно заранее. О любви наших игроков к соревнованию любой ценой — тоже. Сопоставить эти два фактора было необходимо. Сопоставить и принять меры. Заранее. Во-вторых, отвратительная работа службы технической поддержки и коммьюнити менеджеров. Я не знаю, кто конкретно в этом виноват, но ощущение, что общаешься со стеной. Это ощущение подкрепляется полным нежеланием идти на контакт. В таких условиях очень сильно уменьшается желание отдавать такой компании деньги. Несмотря на прекрасную игру. И последнее. У меня складывается субъективное ощущение, что в mail.ru недооценивают масштаб проблемы. Это может оказаться фатальным. Время покажет.
Q: А как же паника, выключение серверов? Где реальные шаги?
A: Паника — удел паникеров, а серверы и так уже на профилактике. И совершенно не факт, что в полночь их поднимут. Это реальные шаги. Все будет зависеть от успешности исправлений.
Иллюстрация: Глубокая проблема.
Q: Да ну, не верю. Это проблема слишком глубокая, чтобы исправить за такое короткое время.
A: Тут есть два фактора. Во-первых, о проблеме известно давно, значит вполне вероятно, что какие-то наработки были уже готовы. Во-вторых, судя по косвенным данным, некоторая фильтрация пакетов клиента существует, это означает, что писать с нуля всю систему не надо.
Q: И что же будет?
A: Скорее всего патч, который они сегодня пытаются установить, решит лишь малую часть проблем. Тем не менее, если он будет успешным, последовательными фиксами самые явные проблемы будут исправлены. Это касается незащищенности протокола от подмены пакетов. С ботами же все будет плохо еще долгое время.
Q: Что надо сделать mail.ru для того, чтобы исправить ситуацию?
A: Первое, что надо сделать, это начать нормальное общение с игроками. Черт возьми, список забаненых игроков с указанием кланов — это первое, что надо сделать. Если это необходимо, внесите изменение в лицензионное соглашение и пропишите такую возможность, но список должен быть. Второе, что надо сделать, это либо дать нагоняй службе технической поддержки пользователей, либо увеличить ее численность. Либо и то, и другое. Я могу утверждать, что ни сроки ответов, ни качество этих ответов не выдерживают никакой критики. И не убеждать себя, что проблема имеет локальный характер. И чуть не забыл. Нулевое, что надо делать — это продолжать исправлять эти баги.
109 комментариев
При этом не системные ответы на острые вопросы, объем работы которую mail.ru делает (и заставляет делать корейцев), меня наводит на один из двух вариантов: либо катастрофически не хватает ресурсов, либо есть прямой запрет руководству проекта на прямое общение с игроками АА от более высокого руководства. Ну, есть и третий вариант, но мне очень не хочется его озвучивать. Я лично испытал на своей шкуре все три (включая не озвученный) варианта. И все они мне и нашей команде стоили много-много дополнительных бед и хлопот в конце.
Что касается технической части… Мне кажется, сказывается два фактора: 1) попытка увеличить эффективность сетевого кода за счет снижения его защищенности 2) опора первоначальной разработки на локальную, корейскую ситуацию с регистрацией аккаунта. Можно сказать, в данном случае код вышел «в жестокий взрослый мир», где быстренько была определена несостоятельность его «воспитания в закрытом загончике» 8)
Вот КМы и отвечают только специальными шаблонами, заранее утверждёнными и подписанными у начальства.
Бот не может реснуть босса, он не может так же его в соло убить невероятное количество раз.
Боты достают все же игровымы методами, как бы это странно не звучало — точнее, машинным фармом. Рескилл боссов и дюп вешей подобным не является. В теории — бот никогда может не выбить тот же плащик, если ему будет фатально не везти. А человек раздвоивший плащ — его уже начитерил.
Основные вопросы не к ботам — хоть они и благоприятно влияют на игровую экономику, они несколько снижают ее привлекательность для игроков.
Вопрос багоюза — пагубно влияет и на привлекательность, и на экономику.
А еще — как раз этих людей может порадовать то, что экономика не будет страдать от «школьника Пети» который решит продать свои реги СРОЧНО и из-за этого обвалить курс призм.
При ботах они недорогие — но по стабильному курсу. На том же ЗБТ синяя призма в один день стоила 15г, а в другой 5. Но не суть вопроса, суть вопроса в том — зачем подменять понятия про ботов, если основная проблема все же в багоюзе.
Прелесть в том, что при правильных настройках, экономика регулирует сама себя. Школьник Петя, выложив призмы за бесценок, ничего не обвалит, призм не хватит. А то, что он выложил, тут же скупят и перевыставят те же любители «экономической составляющей». А вот ботовод с миллионом призм, не стоивших ему и часа реальных усилий, как раз и обвалит всё к чертям.
а вы тут только и твердите — всё будет хорошо, давайте подождем — а давно пора понять — с мылом хорошо не будет.
И поэтому… <продолжите мысль, пожалуйста>.
Моих мыслей? Это не я, а вы пишете вот эту всю блажь, с которой мне не хочется спорить, как из-за ее формы, так и из-за ее сути. Поэтому я перехожу к главному и спрашиваю вас, если вы считаете, что «с мылом хорошо не будет», то какой ваш следующий шаг? Лично ваш.
Мои шаги простые — кончается премиуи, не продлеваю, играю на фри — сношу пугало — отдаю кому то в гильдии — жду открытия севера — участие в осадах — удаление игры через месяцок.
Мейл только что сделал заявление что дюпа выявлено не было.
А так же «Если вы обладаете доказательствами использования каких-либо уязвимостей, пожалуйста, обращайтесь в службу поддержки. „
Гениально. Человек рвёт *** записывает и перекодирует видео, а далеко не все умеют и хотят этим заниматься, шлёт это видео на суппорт, а ему пишут, что “данный случай требует многократной проверки» и бот продолжает бегать ещё две недели. ОТЛИЧНО!
На мой взгляд, лицемерит именно тот, кто говорит, что «с мылом хорошо не будет», но остается в игре. В остальных случаях вы не можете залезть человеку в голову. Если бы я не верил, что все будет хорошо, зачем бы я оставался в игре?
Моя одобрять!..
А кстати, если не ошибаюсь, вы ведь раздумывали, играть в АА или нет. Таки решились? В двух словах не скажете, какой сервер выбрали и чем занимаетесь в игре?
Перефразирую — боты хоть и не очень хорошо, но набить больше чем есть и проще чем есть — они не могут.
А вот .kill с возможностью повторить пока не надоест — это уже полные кранты.
1. Гильдии на луции в первые дни надюпали столько, что волосы дыбом встают.
2. Никто не собирается их банить и что-то с ними делать.
3. Дюпали в этих гильдиях все поголовно.
4. Дюпать всем поголовно — стиль этих гильдий.
5. Запахло жареным и они сдали баги мылу, а те типа их простили.
6. Они наглые дюперы и говорят что юзать ботов — это нормально.
7. Дюперы и багоюзеры всем известны и мылу в том числе.
8. Никаких санкций к ним нет и скорее всего не будет.
Это серьезные обвинения, как игроков, так и издателя. Надеюсь вы не пустобрех и у вас есть доказательства?
2. Персонажи замеченые на видео — частично онлайн прямо сейчас.
3. Никто и не говорит про «поголовно»
4. Девиз тех же Райз — победа любой ценой. Как и хаоса. Вы разьве не знали?
5. По вполне интересной информации, которую я не могу напрямую разглашать — баги и их юзеров сдали не сами багоюзеры, а создатели радаров.
6. Каким местом связано нарушение механики с нарушением правил, в рамках механики?
7. Персонажи использующие атакующие баги(в чем немало и есть проблема) сохраняются в логах сервера, и в системном чате персонажей.
Там где надюпано — при желании с серверной стороны вопроса тоже все достаточно просто.
8. Санкции удовлетворительные для сообщества должны быть вывешены на общее обозрение. Несколько средневековый стиль — но люди хотят видеть казнь.
Ват?
А вообще — столько грязи льется на Луций. Вы серьезно думаете что там играет одна школота? В моей консте средний возраст — 30. В соседних констах варьируется от 25 до 35.
Пафосные слова про «ущемленное самолюбие и ЧСВ» — нет. Просто по личным ощущениям, Аранзебия и Олло, где у меня есть твинки, являются абсолютно незаселенным болотом. Это причем не оскорбление — а личные эмоции. Когда в локации бегаешь один, это очень угнетает. Вы сами говорили — главное «ммо», а там какой то сингплеер.
Снимайте уже розовые очки, большинство людей играющих на луции пришли по трем причинам.
1 — заселенность
2 — пвп составляющая, которая исходит из предыдущего пункта.
3 — ММО. Да-да. Оно самое, именно при большой населенности люди могут играть в Массив мультиплеер, а не я+мои друзья=весь онлайн.
Вы уже в который раз пытаетесь снять с собеседников какие-то мнимые «розовые очки». Может стоит на свое зрение внимание обратить вместо того, чтобы беспокоиться о чужом?)
Это все естественно есть только на Луцие, угу)))
p.s.
* Всё будет хорошо или нет, но тогда всё будет очень плохо *
обо всем волноваться волновалки не хватит.
habrahabr.ru/post/216523/
«Сделайте мне красиво, вчера и бесплатно!» И пофиг, что разрабы не вы.
Никто не против того, чтобы сервера лежали неделю. Или две — если нужно привозить корейцев. Вы же выдаете порывы людей играть честно хоть и трудно — за нытье и реакцию на «какие-то незначительные проблемы».
Ситуация, если без «воды» — катастрофическая. На момент «прямосейчас» — мейлру абсолютно ничего не сделало, а по словам самих багоюзеров — они тупо поменяли ID скиллов. Т.е. технически ничего залатано не было, и если кому-то повезет угадать скилл — все начнется заново. Лично мне хотелось бы увидеть частичный вайп — грубо говоря, оставить землевладения, уровни прокачки и профессии. Уже стоящие дома. Все остальное удалить, и выдать всем персонажам на выбор комплект белой брони на их диапазон уровней. И естественно продлить премиумы на месяц.
Просто я знаю пользователей. И знаю средний КПД предлагаемых ими решений и желаний (как они выглядят в глазах исполнителя — рекомендую почитать рассказ «совещание» А. Березина).
Поэтому частичный вайп (и объемы потерь как следствие) и прочие вещи даже обсуждать не буду. Я и на работе то без ТЗ такое предпочитаю не обсуждать, а уж в разговоре про программу которую я даже не знаю.
Одно могу сказать 99.9% предлагаемого пользователями (ососбенно пользоватеялми с мест до прохода через внедренцев и постановщиков задач) идиотизм без вариантов. Считаете что ваше предложение исключение? Ну может быть — не знаю.
Да жаль, что мейл.ру молчит о проделанной и текущей работе, но это не означает, что они ничем не занимаются. Можно хоть сколько строить теории заговора, но хорошо, если результат будет известен спустя неделю.
Закрыть проект на неопределённый срок до выхода глобальных исправлений.
Ввести в игру привязку регистрации к сотовому телефону с подтверждением по СМС. Не более 1 аккаунта на 1 мобильный номер. Вайпнуть все доп аккаунты под ноль.
Объяснить всё это критическими уязвимостями на этапе ОБТ и работать в усиленном режиме.
И да, побанить ВСЕХ кто хоть как-то читерил или ботил на бесконечный срок и вывесить список в паблик.
Причем желательно — ники всех персонажей. Аккаунты не надо — это все таки почта. А вот список ников обещает быть «объемным».
Про закрыть проект +1
Ну и насчет «1 пугало» — не согласен. я ничего не дюпал, просто запустил кучу компов через Тимвьювер, и повторять забег с нервами желания нет.
Закрыть проект на неопределенный срок — это признание в собственной несостоятельности. Конкуренты скажут спасибо, а в следующую игру от такого издателя лично я уже не поверю… Ну и толку от привязки к телефону? Я по нету могу купить симку за полтинник — это кого то остановит?
Все все прекрасно понимают) Только некоторые не паникуют, представьте себе. =)
Когда потом видят сообщения о банах и неподтверждённых дюпах/ТП, а потом читают на allcheats темы, где говорят, что никаких банов нет, скиллам всего-то поменяли ID, а телепорты с паками работают без проблем; когда, наконец, тонут при попытке засадить ферму…
А тут ещё оказывается, что пламенеющая древесина, которую mail.ru по их же словам убрали, опять появилась на ауке.
Вот тут-то и начинают расползаться слухи один «веселее» другого и обвинения mail.ru во всех грехах, вплоть до того, что якобы лично Усманов пускал красного петуха в серверную Инновы, чтобы вырвать контракт на АА.
Воистину, фантазия народных масс безгранична. :)
Пусть
пожиратели контентапена схлынет. и под ней уже будем посмотреть что останется.А вообще, да лучше всего начинать играть в ММО через год-полтора после релиза. Во первых весь шлак столько не проживет. Во вторых базовая пена схлынет и будет понятно во что играть. В третьих даже закроют основные косяки и будет норм атмосфера.
А самое главное не начинать на Алгалоне--там и так все занято ужеНе забавно, а грустно. Скрин сделан лично мной.
Не знаю с кем они там связаны, но видимо эти серверы более-менее чисты. Хотя на луции 100% уже существует танк и пара тракторов.
Кстати, в сторону теории заговора — хотя я считаю что это уж откровенно притянуто за уши — первый танк на луции был замечен у гильдии Rise, которой они выталкивали всех из под нуи в хазире.
Этот скриншот я сделал только что со своего аккаунта. Претензия не к рецепту на танк, а к тому что в каждом рецепте на наземную технику присутствует пять едениц огненной древесины. Которой как выяснилось — не должно быть доступно до открытия врат Северного Континента.
Но конечно же это не танк, это фотошоп. А над танком конечно не Rise написано. И вообще дюпа нет, а я Лев Толстой.
Скрин кстати от 1 марта, сервер, понятное дело, Луций.
i.imgur.com/qqJ9lQR.jpg
Проблема скорее в общем тоне новости, по которой можно было бы предположить, что они проблему решили.
Еще большей проблемой может оказаться, что они и правда так считают или в какой-то момент посчитали. Но о такой опасности я и в статье писал.
З.Ы. За ссылку на видео — спасибо.
З.Ы.Ы. Будьте сдержанней. Если бы видео было с более сдержанным текстом, я бы не только спасибо, я бы даже плюсанул.
Это для тех, кто ленится перейти по ссылке на ютуб.
В общем в луте моба можно прописать неограниченное количество лутаемых итемов. Можно вместо призмы лутануть стак призм. Так же сажают с помощью пакетов по 100 деревьев в одном месте одно внутри другого. Короче мейл=фейл. По крайней мере пока.
И что меня больше всего бесит, радар который портит всё пвп стоит 100 рублей и покупается любым школьником.
Выглядит вот так. Перезалил на другой ресурс, чтобы не рекламировать создателя, подозреваю что о основном функционале достаточно очевидно говорит его название
Мне просто интересно, это реальное неумение отличить функции локализатора от функций разработчика, или ты только делаешь вид, что не понимаешь, в чем между ними разница, чтобы «засвидетельствовать почтение» нелюбимой компании?
«Мы в курсе о активности наших коллег-программистов и специально не баним их, чтобы узнать как далеко они смогут зайти в своей креативности. После этого мы не допустим таковых случаев на ОБТ» ©
Похоже несколько переоценили либо свои возможности, либо недооценили креативность коллег.
Мы уже не раз говорили о том, что mail.ru недооценили потенциал проекта. И, как следствие, потенциал интереса к нему. Грубо говоря, это как планировать систему безопасности для ларька, а получить на его месте банк. Мне кажется, все упирается именно в это. Но, в любом случае, я считаю, что открытый протокол — это косяк разработчика и точно не область ответственности локализатора. Мнение субъективное, конечно же.
Я прекрасно понимаю возможности мейла. Я так же прекрасно понимаю, что они знали о багах, но тем не менее довели игру УЖЕ сейчас до такого состояния. Они ЗНАЛИ ЧЕМ ограничиваются читеры в Корее, и тем не менее разрешили создавать неограниченное количество акканутов, они ЗНАЛИ, что движок дырявый как решето и что с этим нужно что-то делать. Было ли что-то сделано? Были пофикшены пингозависимые скилы, спасибо за это, правда они были пофикшены когда люди начали спамить пакеты.
Я отказываюсь верить в неосведомлённость мейла. Я отказываюсь верить в отсутствие покровительства некоторым гильдиям и игрокам, я отказываюсь верить в честность заявлений об отсутствии дюпа. Я продолжаю видеть всё тех же ботов на спотах.
Ссылка не работает. aaplay показывает что серверы выключены, но они работают. Видимо какие-то изменения на серверах сломали мониторинг aaplay.