跳至主要内容

快檢查!他因「這權限沒關」被炸群!千人群主揭 Discord 必須懂的3個權限設定

· 閱讀時間約 8 分鐘
凱恩Kane

為什麼要使用Discord?

Discord 是一個能讓每個人能夠和朋友聊天,或是經營自己的社群的軟體,特別的地方在於 Discord 能分散成許多不同的伺服器以及頻道,並且設定每個頻道的權限以及身分組,這也是這個平台和現今的各大社交聊天平台挺大的不同。

像是大家每天上班使用的 Line,全部的訊息都只能擠在同一個頻道裡面,而 Discord 可以分類各種的頻道,像是一個是專門聊天的、一個是考試事項的、一個是 使用機器人的 等等

窩只是一個普通的廣告 點進去了解一下讓我們的機器龍活得更久

什麼是Discord身分組?

那當 Discord 這個平台這麼便利時,安全也是不能落後的!Discord 能讓你透過設置 身分組 來管理整個伺服器或是頻道的 權限,確保你的 Discord 伺服器安全。

就像是給一個人戴上一頂帽子一樣,可以給予或是減少他的權限,一個人也可以有很多個身分組,當有許多身分組都增加或減少了同一個權限的時候,則會依照 身分組順序的高低 來決定最終的權限,位置越高的身分組權重越大。

身分組範例

「炸群」是什麼?

引用自 1014炸群範例影片,俗稱的 「炸群」 其實是透過向 Discord 的 API (應用程式介面),不斷地發送各樣形式的請求,常見的像是創建頻道,重複傳送含有 @everyone 的訊息來煩人。

很多人會覺得炸群很猛很厲害,但其實只是呼叫 Discord 公開提供的端點,也不算是駭客行為。

創建訊息API端點

窩只是一個普通的廣告 點進去了解一下讓我們的機器龍活得更久

最小權限原則

在我們講到確切設定身分組之前,我們先來談談什麼是「最小權限原則」,當我們在設計各種產品或是功能的時候,通常都會以最糟的情況來思考,當我遇到這種狀況的時候,有沒有辦法事先預防或是做最快速的復原,

賦予每一個合法動作最小的權限,保護數據以及功能避免受到錯誤或者惡意行為的破壞。

上面節錄自 維基百科 我們來舉個簡單的例子:一間科技公司有著不同的部門,像是財務部門就只有查看帳目報表的權限,開發部門只有查看及編輯程式的權限等等,只給予必要的最小權限,開發部門不會有辦法動到帳目表、財務部門動不到程式。

窩只是一個普通的廣告 點進去了解一下讓我們的機器龍活得更久

那當然這套原則也可以搬上 Discord 身分組的設定上,透過給予每一種身分的人最小的權限來達到絕對的安全,而不是管理員就該全開給他。

確切防範炸群的3個權限設定

那上面講了那麼多為了要傳遞一個好的觀念給各位,接下來就來講講實際設定身分組時必須要注意的 3 個權限

管理Webhooks

這個大家第一眼看到可能會很困惑 Webhook 是什麼東西而忽略掉了他,但他可是炸群很常見的攻擊武器!

用一句話簡單概述 Webhook 就是透過程式和上方提及到的 API 進行炸群,而 Webhook 特別的點在於它不受 Discord 身分組的權限約束!

窩只是一個普通的廣告 點進去了解一下讓我們的機器龍活得更久

這表示說,我只要擁有了這個權限並且創建了一個 Webhook,就能透過他發送像是 @everyone 標記等等!同時也請確保不要洩漏出自己創建的 Webhook 密鑰讓他人有機會得逞。

Discord Webhook 範例

提及@everyone、@here和所有身分組

這個我蠻好奇為什麼 Discord 預設會是開啟的給各位,擁有這個權限能夠標記所有人並讓他們收到通知,請確認在 @everyone 身分組的設定下他是被關閉的。

Discord 提及 Everyone 權限

管理員

窩只是一個普通的廣告 點進去了解一下讓我們的機器龍活得更久

這個就牽涉到和管理員信任的問題了,管理員權限能夠無視所有的身分組設定,通常會出問題就在這個地方,擁有這個權限還可以邀請機器人,而機器人也是炸群者們常用的工具,請在設定的時候先三思好。

啟用2FA

多因素驗證 是保護你的帳號最直接的辦法,設定多因素驗證能確保駭客就算知道了你的密碼也不能直接登錄,而每次你在登錄的時候也需要輸入手機 App 上生出的 6 位數代碼,來確保登錄的是你本人。

個人推薦使用 Authy 這款 App,就算換手機還是能找回之前的帳號,備份功能也非常的健全

Discord 啟用 2FA

窩只是一個普通的廣告 點進去了解一下讓我們的機器龍活得更久

免費 Discord Nitro

近期在 Discord 因為疫情而使用人數大增之後,跟 Instagram 上乳房大軍一樣的機器人們也進軍 Discord 了,只是他們不是宣傳自己的「視頻」,而是藉由人類貪小便宜的弱點進行攻擊,送人們 免費的 Discord Nitro

假的 Nitro 連結

假的 Discord Nitro

看到這個我當然也會很心動,但是等等!請確認網址是完全正確的 discord.gift 並且有跳出正確的嵌入頁面再點,不然最後得不償失R!

真的 Nitro

Discord Nitro

最後,希望這篇文章有幫助到曾經被炸群過,或是只是路過的人,請把這篇文章分享出去幫助更多人保護他們的伺服器

窩只是一個普通的廣告 點進去了解一下讓我們的機器龍活得更久