spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Eventuell solltest Du erstmal über die Art des Spiels und die Kommunikation mit dem Server erzählen, denn verschiedene Ansätze fordern verschiedene Validierungs-Umsetzungen.

Die sicherste Möglichkeit ist es, wenn das Spiel sämtliche Eingaben des Spielers aufzeichnet und zusammen mit der (angeblichen) Punktzahl/Rekordzeit an den Server übermittelt.
Auf dem Server wird das Spiel nun erneut mit den mitgesendeten Benutzereingaben durchgespielt (im Schnelldurchlauf, ohne Grafik, Sound etc.) und die am Ende erreichte Punktzahl/Rekordzeit mit der vom Client übermittelten Zahl verglichen.
Wenn es eine Abweichung gibt, wurde etwas manipuliert.
Dies setzt voraus, dass das Spiel absolut "deterministisch" läuft und auf allen unterstützten Plattformen gleiche Ergebnisse bei gleichen Eingaben liefert. Das ist jedoch insbesondere bei Floating-Point-Berechnungen oft schwer zu erreichen, da sogar schon verschiedene Compiler-Versionen/-Einstellungen dazu führen können, dass Berechnungen anders durchgeführt werden und am Ende leicht unterschiedliche Ergebnisse liefern. In einem Spiel reicht das aber manchmal, um einen Unterschied zwischen "Leben" und "Tod" zur Folge zu haben.
Siehe dazu auch: http://gafferongames.com/networking-for-…nt-determinism/

Es wird niemals einen 100%igen Schutz gegen Cheating geben.
Das Problem ist, dass alles, was beim Client läuft, potenziell manipuliert werden kann und du deshalb nicht darauf vertrauen kannst, dass dein Spiel unverändert ausgeführt wird. Insbesondere bei Javascript ist es relativ einfach, z.B. das Spiel langsamer laufen zu lassen, damit man sich einen unfairen Vorteil verschaffen kann, oder einen Bot einzusetzen. Dagegen kannst du eigentlich nichts tun! Du kannst dein Programm "verschlüsseln", aber letztendlich muss es ja ausgeführt werden und kann damit auch von Angreifern analysiert werden. Auch Tools wie Punkbuster werden ja mit Leichtigkeit umgangen.

Ein 4-Gewinnt kann man auch komplett auf dem Server laufen lassen, sodass der Client nur die Eingaben an den Server übermittelt z.B. mit Ajax. Damit wäre Cheat für Punktzahlen von vornherein also ausgeschlossen. Ohne solche Logik kann vom Prinzip her immer ein Client/Bot nachprogrammiert werden, der zwar korrekte Ergebnisse an den Server schickt, aber besser spielt als ein Spieler es je könnte.

Einen Bot kannst du aber auch einsetzen, wenn das Spiel komplett auf dem Server läuft.
Um Bots zu erkennen, braucht man Tools wie Punkbuster, die ständig im Hintergrund auf dem Client-Rechner laufen und alle Prozesse überwachen. Aber Punkbuster zu umgehen ist wohl nicht sonderlich schwer, wenn man sich anschaut, wie viele Hacks es für Spiele gibt, die auf Punkbuster setzen.

Bots zu detektieren ist sicher eine sehr aktuelle Problematik und Bots schreiben auch (hab' ich beides schon machen dürfen ). Aber du hast beim Spielen der Logik auf dem Server immerhin nicht das Problem, dass das Spiel illegale Züge macht oder falsche Punktzahlen übermittelt. Automatisiertes Spielen wird man aber gerade bei Browser-(Flash/Javascript)-Games wohl so schnell nicht in den Griff bekommen.

Von den Bot-Protektoren/Detektoren gibt's aber echt 'nen Haufen kranker Sachen. Ganz schlimm fand ich persönlich GameGuard, verpackt in Themida (Kernel-Mode-Driver-Laufzeitverschlüsselung kombiniert mit teilweiser Ersetzung von CPU-Befehlen durch Virtual-Machine-Code). Üble Sache.

Man könnte natürlich auch ganz anders ansetzen und mehr "gesunden Menschenverstand" einsetzen (ist natürlich schwer in Code zu fassen).
Z.B. den Fortschritt eines Spielers protokollieren. Ein absoluter Neuling wird wohl kaum nach ein paar Versuchen den neuen Weltrekord im Spiel aufstellen. Jemand, der aber über lange Zeit immer wieder spielt und ständig besser wird, hat viel bessere Chancen.