Correção de exploração de bugs
Aviso
These docs were written for SpongeAPI 7 and are likely out of date. If you feel like you can help update them, please submit a PR!
As builds mais recentes do SpongeForge (974+) e do SpongeVanilla contêm defesas contra alguns bugs que o cliente pode explorar. Sempre que as implementações detectam um usuário a executar um exploit, kicka-os do servidor com uma mensagem a explicar o motivo pelo qual foram expulsos. Se ativado, uma mensagem de registo também é mostrada na consola. No futuro, poderão ser adicionadas mais correções contra a exploração de bugs.
Nota
Se tens conhecimento de algum exploit que atualmente não prevenimos, por favor informa-nos! Podes contactar-nos através do email exploits@spongepowered.org ou por mensagem pessoal no fórum a um membro da Staff. Por favor, NÃO publiques exploits diretamente no IRC, nos nossos repositórios do GitHub, nem no fórum, se ainda não forem conhecidos. Isto previne abusos enquanto o problema não é resolvido.
Correções implementadas no Sponge
A exploração de um “Sign command” em que o cliente podia correr um comando como por exemplo ‘op’
O cliente podia forçar o servidor a respawnar o utilizador invisível
O cliente podia definir um nome para um stack de itens e fazê-lo exceder o limite de caracteres
Nota que estas correções não podem ser desativadas, apenas o registo no log é configurável neste momento.
Aviso
A patch do exploit da invisibilidade foi desativado nas builds do Sponge mais recentes devido ao facto de o mecanismo de deteção acusar falsamente alguns utilizadores de explorarem o exploit.
Controlo de mensagens de log
As mensagens de registo podem ser controladas individualmente no ficheiro de configuração do Sponge. Por favor, leia a página global.conf para mais informações. Aqui está um pequeno resumo das opções disponíveis:
# Log when server receives exploited packet with itemstack name exceeding string limit.
exploit-itemstack-name-overflow=false
# Log when player attempts to respawn invisible to surrounding players.
exploit-respawn-invisibility=false
# Log when server receives exploited packet to update a sign containing commands from player with no permission.
exploit-sign-command-updates=false
Dica
As mensagens também podem ser controladas através de um comando, em vez de serem editadas diretamente no ficheiro de configuração. Por exemplo, para ativar o registo do exploit do comando na placa, escreve sponge config -g logging.exploit-sign-command-updates true
na consola (também podes correr este comando no jogo se fores op).