security.md

心动网络游戏安全评议要点

手机游戏客户端/前端安全

• 关键数据需要具备防内存篡改机制

  手机游戏可参考 心动安全SDK(请向运营索取) 。

• 客户端本地数据需要加密

  包括素材、设置、关卡配置文件等均需具备加密机制。

• 需要具备防破解机制

  客户端被反编译的风险除了发现漏洞、刷资源和被第三方制作外挂之外，还有可能被嵌入病毒、恶意扣费SDK、广告SDK，由此可能带来玩家账号密码被盗，和财务损失等等。所以应该慎重对待，在保证兼容性和稳定性的同时，选用第三方工具，例如：

  • 娜迦
  • 360加固宝
  • 腾讯云应用加固
  • 梆梆安全
  • 爱加密

  注意，防破解只是增加反向工程的难度，并不能因此忽视防内存篡改和通讯加密

服务端/后端安全

• 通讯协议需要具备防重发设计

  标准的做法是使用 nonce 设计。参考 Wiki 中文

• 通讯内容需加密

  加密强度和复杂度要高

• 通讯协议需具备校验通讯内容的机制

  每个数据包附带校验码，防止篡改。

流程安全

• 有白名单（IP和账号），更新有流程管理控制