快檢查!他因「這權限沒關」被炸群!千人群主揭 Discord 必須懂的3個權限設定
•2023年1月18日
為什麼要使用 Discord?
Discord 是一個能讓每個人能夠和朋友聊天,或是經營自己的社群的軟體,特別的地方在於 Discord 能分散成許多不同的伺服器以及頻道,並且設定每個頻道的權限以及身分組,這也是這個平台和現今的各大社交聊天平台挺大的不同。
像是大家每天上班使用的 Line,全部的訊息都只能擠在同一個頻道裡面,而 Discord 可以分類各種的頻道,像是一個是專門聊天的、一個是考試事項的、一個是 使用機器人的 等等
機器龍的精神食糧
什麼是 Discord 身分組?
那當 Discord 這個平台這麼便利時,安全也是不能落後的!Discord 能讓你透過設置 身分組 來管理整個伺服器或是頻道的 權限,確保你的 Discord 伺服器安全。
就像是給一個人戴上一頂帽子一樣,可以給予或是減少他的權限,一個人也可以有很多個身分組,當有許多身分組都增加或減少了同一個權限的時候,則會依照 身分組順序的高低 來決定最終的權限,位置越高的身分組權重越大。
「炸群」是什麼?
引用自 1014 炸群範例影片,俗稱的 「炸群」 其實是透過向 Discord 的 API (應用程式介面),不斷地發送各樣形式的請求,常見的像是創建頻道,重複傳送含有 @everyone
的訊息來煩人。
很多人會覺得炸群很猛很厲害,但其實只是呼叫 Discord 公開提供的端點,也不算是駭客行為。
機器龍的精神食糧
最小權限原則
在我們講到確切設定身分組之前,我們先來談談什麼是「最小權限原則」,當我們在設計各種產品或是功能的時候,通常都會以最糟的情況來思考,當我遇到這種狀況的時候,有沒有辦法事先預防或是做最快速的復原,
賦予每一個合法動作最小的權限,保護數據以及功能避免受到錯誤或者惡意行為的破壞。
上面節錄自 維基百科 我們來舉個簡單的例子:一間科技公司有著不同的部門,像是財務部門就只有查看帳目報表的權限,開發部門只有查看及編輯程式的權限等等,只給予必要的最小權限,開發部門不會有辦法動到帳目表、財務部門動不到程式。
機器龍的精神食糧
那當然這套原則也可以搬上 Discord 身分組的設定上,透過給予每一種身分的人最小的權限來達到絕對的安全,而不是管理員就該全開給他。
確切防範炸群的 3 個權限設定
那上面講了那麼多為了要傳遞一個好的觀念給各位,接下來就來講講實際設定身分組時必須要注意的 3 個權限
管理 Webhooks
這個大家第一眼看到可能會很困惑 Webhook 是什麼東西而忽略掉了他,但他可是炸群很常見的攻擊武器!
用一句話簡單概述 Webhook 就是透過程式和上方提及到的 API 進行炸群,而 Webhook 特別的點在於它不受 Discord 身分組的權限約束!
機器龍的精神食糧
這表示說,我只要擁有了這個權限並且創建了一個 Webhook,就能透過他發送像是 @everyone
標記等等!同時也請確保不要洩漏出自己創建的 Webhook 密鑰讓他人有機會得逞。
提及@everyone、@here 和所有身分組
這個我蠻好奇為什麼 Discord 預設會是開啟的給各位,擁有這個權限能夠標記所有人並讓他們收到通知,請確認在 @everyone
身分組的設定下他是被關閉的。
管理員
機器龍的精神食糧
這個就牽涉到和管理員信任的問題了,管理員權限能夠無視所有的身分組設定,通常會出問題就在這個地方,擁有這個權限還可以邀請機器人,而機器人也是炸群者們常用的工具,請在設定的時候先三思好。
啟用 2FA
多因素驗證 是保護你的帳號最直接的辦法,設定多因素驗證能確保駭客就算知道了你的密碼也不能直接登錄,而每次你在登錄的時候也需要輸入手機 App 上生出的 6 位數代碼,來確保登錄的是你本人。
個人推薦使用 Authy 這款 App,就算換手機還是能找回之前的帳號,備份功能也非常的健全
機器龍的精神食糧
免費 Discord Nitro
近期在 Discord 因為疫情而使用人數大增之後,跟 Instagram 上乳房大軍一樣的機器人們也進軍 Discord 了,只是他們不是宣傳自己的「視頻」,而是藉由人類貪小便宜的弱點進行攻擊,送人們 免費的 Discord Nitro!
假的 Nitro 連結
看到這個我當然也會很心動,但是等等!請確認網址是完全正確的 discord.gift
並且有跳出正確的嵌入頁面再點,不然最後得不償失 R!
真的 Nitro
最後,希望這篇文章有幫助到曾經被炸群過,或是只是路過的人,請把這篇文章分享出去幫助更多人保護他們的伺服器
機器龍的精神食糧