Correctifs d’exploitation de bugs
Avertissement
These docs were written for SpongeAPI 7 and are likely out of date. If you feel like you can help update them, please submit a PR!
Dans les versions récentes de Sponge (SpongeForge 974+), SpongeForge et SpongeVanilla ont corrigées quelques exploitations de bug client-serveur. Chaque fois que les implémentations détectent qu’un joueur exploite un bug, il sera éjecté du serveur avec un message expliquant pourquoi. Si activé, un message de log sera également envoyé à la console. Plus de correctifs d’exploitations seront déployés dans le futur.
Note
Si vous avez connaissance d’un bug que ne gérons pas, faites le nous savoir! Vous pouvez nous contacter via exploits@spongepowered.org ou par message privé à un des membres de l’équipe sur le forums. Veuillez ne PAS parler de ces bugs sur l’IRC, notre GitHub ou les forums, s’ils sont toujours inconnus. Ceci permet d’éviter des abus jusqu’à ce qu’ils soient corrigés.
Les correctifs implémentés dans Sponge
L’exploitation des « Sign command », où un client pouvait faire exécuter une commande comme “op”
Le client pouvait forcer le serveur à faire réapparaître le joueur invisible
Le client pouvait définir le nom d’un itemstack et causer une erreur en dépassant la limite de caractères
Notez que ces correctifs ne peuvent pas être désactivés, seule la configuration des logs l’est à partir de maintenant.
Avertissement
Le correctif du bug d’invisibilité a été récemment désactivé dans les version récentes de Sponge à cause de la méthode de détection qui est défectueuse, accusant à tort les joueurs de l’utiliser.
Control des Messages Log
Les messages log pour les correctifs peuvent être désactivés individuellement dans la configuration de Sponge. Veuillez lire la page global.conf pour plus d’information. Ici est une courte vue d’ensemble des options disponibles:
# Log when server receives exploited packet with itemstack name exceeding string limit.
exploit-itemstack-name-overflow=false
# Log when player attempts to respawn invisible to surrounding players.
exploit-respawn-invisibility=false
# Log when server receives exploited packet to update a sign containing commands from player with no permission.
exploit-sign-command-updates=false
Astuce
Les messages log peuvent aussi être contrôlés via une commande, au lieu de directement modifier le fichier de configuration. Par exemple, pour activer le logging de l’exploitation du bug « sign command », tapez la commande sponge config -g logging.exploit-sign-command-updates true
dans la console (vous pouvez aussi la faire en jeu si vous êtes op).