Rilevamento e conseguenze lato server

*Questo contenuto è tradotto usando AI (Beta) e potrebbe contenere errori. Per visualizzare questa pagina in inglese, clicca qui.

Questa sezione presume che tu abbia già convalidato gli input e il contesto (vedi sezioni precedenti). Questo articolo tratta cosa fare dopo che una richiesta è tecnicamente valida ma il comportamento appare abusivo, oltre a come rispondere senza danneggiare i giocatori legittimi.

Filosofia

  • Il server decide. Il rilevamento e le conseguenze vivono sul server. Cerca di non bannare mai basandoti su rilevamenti lato client, poiché gli sfruttatori possono facilmente eluderli.
  • Prevenire il danno prima di tutto. Neutralizza silenziosamente l'impatto di un exploit. Ad esempio, se un giocatore sta usando un hack di velocità, riportalo semplicemente alla sua ultima posizione valida invece di espellerlo immediatamente. Punisci solo quando necessario per proteggere l'esperienza o altri giocatori.
  • Essere proporzionali e reversibili. Assumi che possano verificarsi falsi positivi. Preferisci azioni che puoi annullare, come sospensioni temporanee o rimozione di risorse, rispetto a divieti permanenti.
  • Design > rilevamento. La tua principale sicurezza deriva da una robusta convalida e limitazione delle richieste (trattato in Proteggere il confine client-server e in altre sezioni). I metodi di rilevamento sotto sono destinati a integrare quelle difese, non a sostituirle.

Euristiche

Le euristiche sono controlli comportamentali che segnalano azioni che sono tecnicamente possibili ma altamente improbabili per un giocatore legittimo. Sono "regole pratiche" per catturare attività sospette che sfuggono alla convalida di base. Un'euristica efficace confronta l'azione di un giocatore con un massimo teorico o una media ragionevole.

Ad esempio, se un giocatore dichiara improvvisamente di aver guadagnato 1 miliardo di monete nel tuo gioco simulatore, la tua convalida remota potrebbe confermare che la richiesta è strutturata correttamente. Ma un controllo euristico sul server saprebbe che guadagnare così tanto dovrebbe richiedere settimane, non secondi, e segnerebbe la transazione come sospetta.

Ecco tre classici esempi di euristiche lato server. Ognuna di esse convalida il comportamento del giocatore rispetto alle regole e ai limiti fisici dell'esperienza, creando una forte difesa contro exploit comuni.

Euristica lato serverDescrizioneEsempio
Tempo di completamento più veloceCalcola il tempo teorico più veloce possibile per completare un compito, come un percorso ad ostacoli. Questo implica trovare il percorso ottimale e assumere la massima velocità del giocatore.In un obby, se il record mondiale è di 30 secondi, un tempo di completamento di 5 secondi è un forte segnale di teletrasporto o exploit di velocità.
Tasso di guadagnoMonitora il tasso massimo legittimo al quale un giocatore può guadagnare una risorsa (moneta, esperienza, oggetti).Se un giocatore può legittimamente guadagnare 100 monete al minuto, un guadagno improvviso di 10.000 monete in un secondo dovrebbe essere segnalato.
Cadenza dell'azioneIl server analizza gli intervalli di tempo tra le azioni ripetute di un giocatore. Gli input umani presentano variazioni naturali, mentre gli script di automazione semplici (come i clic automatici) spesso eseguono azioni con una coerenza robotica.In un mini-gioco di pesca, un giocatore clicca per lanciare la sua lenza. Il server registra il timestamp di ogni lancio. Se il giocatore lancia la sua lenza 100 volte di seguito con lo stesso intervallo esatto (ad esempio, precisamente 2.500 secondi) tra ogni azione, è un forte indicatore di un macro o bot. Il tempo di un umano fluttuerebbe naturalmente.

Ognuno di questi esempi potrebbe non essere sufficiente da solo per condannare un frodatore. Ognuno dovrebbe essere trattato come un segnale, non come una prova definitiva. Una buona prassi è implementare un punteggio di sospetto. Quando un giocatore fallisce un controllo euristico, incrementi il suo punteggio. Azioni gravi come espulsioni o divieti dovrebbero avvenire solo dopo che più rilevamenti variati hanno spinto il punteggio di un giocatore oltre una soglia alta.

Ad esempio, supponi che un giocatore abile finisca il tuo obby con un tempo record devastante, attivando la tua euristica "Tempo di completamento più veloce". Dovrebbero essere bannati? È possibile che stiano sfruttando, ma potrebbero anche aver scoperto un percorso legittimo ma non intenzionato. Bannare basandosi su questo singolo segnale sarebbe rischioso e potrebbe punire uno dei tuoi giocatori più dedicati.

Tuttavia, se quel stesso giro del giocatore ha anche segnato l'euristica "Cadenza dell'azione" per input incredibilmente coerenti, e un'ora dopo attivano l'euristica "Tasso di guadagno" nel tuo lobby, il caso diventa molto più forte. La combinazione di questi diversi segnali dipinge un quadro molto più affidabile di frode. La forza di questo sistema risiede nel correlare più punti dati per costruire un caso confident before taking action.

Trappole

Un modo per rilevare frodatori che cercano di esplorare gli RemoteEvents della tua esperienza è usare un inganno chiamato trappola. Una trappola è un RemoteEvent o RemoteFunction che appare legittimo a un sfruttatore ma non è mai utilizzato da nessuno dei tuoi script client legittimi. Poiché nessun giocatore normale dovrebbe mai essere in grado di attivare questo remoto, tutto il traffico che riceve deve provenire da un sfruttatore. Quando il server rileva questo remoto attivato, è un segnale di alta fiducia che il client sta interferendo. La migliore azione immediata è registrare l'incidente ed espellere il giocatore dalla sessione.

Un'altra variazione è progettare RemoteEvents con scopi direzionali specifici: alcuni esclusivamente per comunicazione client → server e altri esclusivamente per comunicazione server → client. Anche se i nomi degli eventi non rivelano la loro direzione prevista, il server tiene traccia della direzione in cui ciascun remoto dovrebbe essere utilizzato. Se un sfruttatore tenta di attivare un remoto server → client dal client, questo serve come un metodo di rilevamento affidabile poiché il gameplay legittimo non attiverebbe mai comunicazioni nella direzione sbagliata.

Applicare conseguenze

Quando i sistemi di rilevamento segnalano comportamenti sospetti, considera attentamente la tua strategia di risposta. Diverse esperienze richiedono approcci diversi basati sulla loro comunità, le scommesse competitive e la tolleranza per le interruzioni.

La scala delle conseguenze - La maggior parte delle esperienze trae vantaggio da risposte in escalation piuttosto che saltare direttamente a divieti permanenti:

  • Registrazione silenziosa - Costruisci prove senza impatti sui giocatori
  • Mitigazione silenziosa - Blocca l'effetto dell'exploit (scarta richieste, limita valori, sincronizza stato corretto)
  • Restrizioni temporanee - Limita capacità specifiche (scambi, classifiche, matchmaking)
  • Applicazione visibile - Espulsioni, sospensioni temporanee o divieti permanenti

Considerazioni per la tua strategia

  • Ritarda le conseguenze visibili per evitare di insegnare agli sfruttatori esattamente cosa ha attivato il rilevamento
  • Abbina gravità alla risposta - gli exploit economici minori possono richiedere un trattamento diverso rispetto ai trucchi di fisica che rompono il gioco
  • Considera la tua comunità - le esperienze competitive potrebbero aver bisogno di un'applicazione più severa rispetto alle esperienze casual
  • Pianifica gli errori - preferisci azioni reversibili quando la fiducia nel rilevamento è bassa

Per i trasgressori persistenti, considera di usare il Ban API piuttosto che fare affidamento solo su espulsioni. L'API di Bannamento impedisce ai giocatori bannati di rientrare e fornisce un tracciamento migliore nel tuo universo. Versiona le tue regole di rilevamento e tieni traccia delle percentuali di conseguenze in modo da poter identificare sistemi problematici. Monitora il feedback dei giocatori per valutare se la tua applicazione sembra equa per la comunità. Il giusto equilibrio dipende interamente dalle esigenze della tua esperienza e dalle aspettative dei tuoi giocatori.

© 2026 Roblox Corporation. Roblox, il logo Roblox e Powering Imagination sono tra i nostri marchi registrati e non registrati negli Stati Uniti. e altri paesi.