游戏行业安全动态这篇文章告诉你棋牌游戏过往和未来
概要:
由于棋牌游戏本身特殊性, 相对传统网络游戏更加的轻度, 用户的使用环境也会有所不同
A 非 WIFI 网络用户多: 常规的棋牌游戏在流量消耗以及对网络环境的要求比较低, 且碎片化场景更多, 也是促使棋牌游戏在网络环境上大多数用户依然是非 WIFI; 所以在产品设计上要尽量考虑到流量消耗方面, 有大消耗比如视频等玩法的时候要提醒用户使用 WIFI;
B 低端机多: 棋牌游戏的简单的画面, 所以对低端机也有天生的友好;
C 年龄层偏上, 男性用户为主;
D 地域性强, 主要分布在四川重庆江苏以及沿海城市
棋牌游戏最大的风险在于涉赌, 很容易被有心人用来作为赌博的工具, 所以开发者必须了解相关法律法规, 规避风险才能长远发展整理了常见相关政策要求, 供参考:
1.禁止资金双向流动; 禁止接受投注的提供给他人组织赌博参与赌博网站利润分成
2.不得在用户直接投入现金或虚拟币前提下采取抽签押宝随机收取等偶然方式分配游戏道具或者虚拟货币; 不得以偶然方式获得金币; 不得提供用户间赠予转让游戏积分等转账服务
3.网络游戏经营单位不得收取或以虚拟货币等方式变相收取与游戏输赢相关的佣金
再看看规避政策:
1. 玩家输赢的都是虚拟的无价值的数值, 不能界定为财物输赢, 则不涉及赌博
2. 不以营利为目的, 进行带有少量财物输赢的娱乐活动, 以及提供棋牌室等娱乐场所只收取正常的场所和服务费用的经营行为等, 不以赌博论处; 游戏中进行财富输赢必须设置上限
3. 提供游戏服务, 允许收取费用在收取费用的方式上不能采用类似赌场抽水的方式, 从赢家赢取的额度中按照比例抽水而应该采用与玩家输赢没有必然关系的收取方式 (来源: 棋牌游戏圈)
点评: 游戏行业 2017 年活在腾讯和网易阴影下的游戏公司开始另辟蹊径, 棋牌是去年的一个热门领域, 竞争非常激烈, 竞争的同时也伴随诸多安全问题由于门槛太低, 也存在一些不规范的厂商破坏竞争氛围, 打破游戏竞技娱乐的初衷, 可以预见今年随着网络安全法问世, 国家监管层会加大监管力度, 规范游戏厂商合法经营, 创造和谐稳定经营氛围
相关安全事件
黑客利用 Apache CouchDB 中的两个老漏洞挖币,
概要:
此次被利用的两个漏洞是在 2017 年 11 月 15 日被公开披露它们分别是:
高危: Apache CouchDB JSON 远程特权升级漏洞 (CVE-2017-12635)
高危: Apache CouchDB _config 命令执行 (CVE-2017-12636)
前者被描述为远程特权提升漏洞, 后者则是一个命令执行漏洞以上两个漏洞在 2017 年发布官方公告, 并表示已经被修复
具体来讲, CVE-2017-12635 是由于 Erlang 和 JavaScript 对 JSON 解析方式的不同, 导致语句执行产生差异性导致的, 可被利用于赋予任意用户系统管理员权限; CVE-2017-12636 则是由于数据库自身设计原因导致的, 拥有系统管理员权限的用户可以通过 HTTP(S) 方式配置数据库在某些配置中, 用户可以设置可执行文件的路径, 以在数据库运行范围内执行两者结合, 则可实现任意代码远程执行 (漏洞情报来源: 趋势科技)
云上视角
758.6G 每秒: 阿里云成功防御国内最大规模 Memcached DDoS 反射攻击
概要:
本周, 阿里云安全 DDoS 监控中心数据显示, 利用 Memcached 进行 DDoS 攻击的趋势快速升温今天, 阿里云已经成功监控和防御一起流量高达 758.6Gbps 的 Memcached DDoS 反射攻击
点评: 随着利用 Memcached 进行 DDoS 攻击技术的公开, 越来越多尝试使用 Memcached 进行反射的 DDoS 发生, 并且此类型 DDoS 攻击正快速上升近期, 黑客已经扫描并收集全球可以被利用的 MemcachedIP, 并出现大量试探性超大流量 Memcached DDoS 攻击, 下一步 Memcached 大流量 DDoS 攻击将成熟化并大量出现, 成为黑客新的利器
当前互联网上的反射点数量及危害
整个互联网可以用于 Memcached 反射的 IP 达到数十万, 为攻击者提供了海量的军火库
随着超大流量 DDoS 发起难度降低, IDC 和云服务商需要储备更多的网络带宽用于防御, 中小型 IDC 将很难应对这种超大规模 DDoS 攻击, 只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对
目前, 阿里云已提供 Memcached 安全配置建议, 并在安骑士提供修复引导, 帮助云上用户修复 Memcached 风险高防 IP 中已提供 UDP 反射封禁服务
来源: https://yq.aliyun.com/articles/503713