Christians Externes Gedächtnis

Seit ich mit Flash arbeite (1998, seinerzeit Flash 3), beschäftigt mich die Frage, wie man es schaffen könnte, ein Flashspiel schummelsicher zu gestalten.

Oft werden mit Flash Spiele umgesetzt, bei denen es am Spielende darauf hinausläuft, den erzielten Punktestand in eine Highscoreliste einzutragen. Beim Übertragen des Punktestands (meist in Verbindung mit dem SpielerInnennamen) kommen in der Regel die aus HTML-Formularen bekannten HTTP-Request-Methoden POST oder GET zum Einsatz, um einem serverseitigen Skript die zu speichernden Daten zu übergeben.
Wenn man sich dazu vor Augen hält, dass ein Flashspiel üblicherweise clientseitig, also auf dem Rechner der/des Spielers/Spielerin liegt, dass das SWF-Format offen dokumentiert ist und dass es mehrere Programme gibt, die eine SWF-Datei dekompilieren können, kann man sich vorstellen, dass es nahezu unmöglich erscheint, Schummelsicherheit zu gewährleisten, zumal selbst die pfiffigste Verschlüsselungsmechanik quasi im Klartext für jedermann sichtbar ist, nachvollzogen und für ein gefälschtes Ergebnis eingesetzt werden kann.
Oft reicht es aus, beispielsweise mit dem Firefox-Plugin LiveHTTPHeaders die beim Speichern des Ergebnisses übertragenen Variablen und Werte zu überwachen und auszuprobieren, dem angesprochenen Auswertungsskript gefälschte Daten zu übermitteln.

Weil es so einfach ist, bei den meisten Flashspielen zu schummeln, habe ich in der Vergangenheit KundInnen immer dazu geraten, Flashspiele niemals mit hohen Gewinnen (“Erster Platz gewinnt ein Auto/1000 EUR/etc.”) anzubieten. Meist lief es auf eine Verlosung relativ niedrigpreisiger Gewinne unter den Top100 aller eingetragenen SpielerInnen hinaus. Das läuft zwar dem üblichen Gedanken zuwider, dass der erste Platz den größten Gewinn einstreichen sollte, bietet aber Hackern weniger Anreiz, das Spiel manipulieren zu wollen (natürlich kann ein böswilliger Hacker bei diesem Szenario auch einfach 100 gefälschte Ergebnisse senden, um seine Gewinnaussichten zu maximieren).

Ein paar Ideen zur Erhöhung der Sicherheit in Flashspielen finden sich in den Kommentaren zu diesem Artikel im “PHP Security Blog”. Diese Ideen — beispielsweise die Protokollierung jeder Mausbewegung und jedes Mausklicks während eines Spiels und deren Auswertung zur Verifizierung eines validen Ergebnisses — erfordern jedoch zumeist einen sehr hohen Entwicklungsaufwand, der zumindest meiner Erfahrung nach von KundInnen nicht bezahlt wird.

Weitere Links
Generate a keypair using OpenSSL
RSA Algorithm
Writing Encryption function in flash?
Creating more secure SWF web applications
RSA

Da brat’ mir doch einer einen Storch! Dass man Fallen Empire: Legions überhaupt noch Browserspiel nennt, ist eigentlich schon ein Ding, handelt es sich dabei doch eher um einen ausgewachsenen 3D-Mehrspieler-Shooter als um ein langwieriges, beschauliches Browserspiel im herkömmlichen Sinne.
Zur Zeit noch kostenlos spielbar, bietet es getreu dem Motto (und Domainnamen) instant action nahezu sofortigen Spielspaß. Es ist keine umständliche Installation irgendwelcher Software erforderlich — gut, das Adobe Flash-PlugIn sollte schon im Browser laufen –, so dass man sich ruckzuck im Startbildschirm wiederfindet, auf dem die Wahl besteht, ein eigenes Mehrspieler-Spiel zu starten oder das eines anderen mitzuspielen.

Ganz gleich, wie diese Wahl ausfällt, man schlüpft in die Rolle eines… ähm… futuristischen, skilaufenden und mit einem Jetpack ausgestatteten Soldaten, der je nach Spielmodus (Deathmatch, Team Deathmatch, Capture The Flag) neben dem Abknallen gegnerischer Soldaten eben auch mal die feindliche Flagge erobern soll. Dass er dabei außer zu rennen auch gelegentlich abhebt oder Hügel rauf- und runterschliddert, ist eben die Besonderheit von Fallen Empire: Legions.

Das Skilaufen sowie das Kurzstrecken-Fliegen ist komplizierter, als es zunächst den Anschein hat. Zumindest geht es mir so. Eigentlich sollten SpielerInnen nämlich in der Lage sein, ihre Figur durch gewieftes Manövrieren und Steuern auf große Geschwindigkeit zu bringen, mit der dann erst wahre Höhenflüge und Weitsprünge möglich werden, aber mir will das alles nicht so recht gelingen.

Vielleicht sollte ich mir den Survival Guide auf der Site von Legion Players noch ein paarmal in Zeitlupe anschauen und anhören? Es handelt sich dabei um ein kommentiertes und sauber geschnittenes In-Game-Video, dass alle nötigen Facetten des Spiels verdeutlichen soll.
Auch dass man noch unter mehreren Arten (Klassen) von Soldaten, die alle unterschiedlich bewaffnet und gerüstet sind, wählen kann, ist mir nach zwei, drei Stunden Spielzeit zunächst noch etwas zuviel des Guten.

Erfahrene FPS-SpielerInnen reiben sich allerdings eher die Hände angesichts dieses vorweihnachtlichen Geschenks aus dem Hause GarageGames.

Jetzt mal langsam, Freunde. Sind die Gameforge AG und Bigpoint GmbH irgendwie verwandt oder verschwägert? Oder wie lässt sich sonst erklären, dass das Browsergame “Glory Kings” (Bigpoint) genauso aufgebaut ist (und offenbar die gleichen Schwächen hat) wie “Legend” (Gameforge)?

Ich teste gerade das Browserspiel namens “Legend“, einen weiteren Titel aus der Spieleschmiede GameForge.

SpielerInnen verkörpern männliche (die Option, weibliche Charaktere zu spielen, gibt es nicht) Charaktere in einer mittelalterlichen Welt, die sich primär damit beschäftigen, sich im Kampf zu erproben. Bei so genannten Abenteuern oder Duell-Kämpfen bilden genretypische Charakterwerte wie Stärke, Geschicklichkeit, Konstitution und Intelligenz die Grundlage für die Berechnung des Kampfverlaufs und -ausgangs. Auch die Ausrüstung spielt dabei eine Rolle. So lassen sich Charaktere mit Waffe, Schild und anderen Rüstungsgegenständen ausrüsten. Dazu muss ein Händler aufgesucht werden, der lediglich 6 Gegenstände pro Tag anbietet. Will man andere Sachen sehen, muss man einen so genannten Blutstein opfern, neben Gold die zweite Währung in der Spielwelt von Legend. Die Gegenstände verfügen gelegentlich über magische Boni und weisen in solchen Fällen die von kommerziellen Rollenspielen bekannten Suffixe auf, z.B. Robe des Adepten der Geschicklichkeit.

Während mir persönlich die Ausgangssituation ganz ordentlich vorkommt und nach Suchtgefahr riecht, hält sich der Spielspaß dann leider doch stark in Grenzen. Es könnte daran liegen, dass aktuell die Beta 0.99 vorliegt und diverse Bugs den Spielfluss hemmen. So muss teilweise wahllos in der Navigation herumgeklickt werden, um endlich die erarbeiteten Goldstücke angezeigt oder die täglich auf 5 Stück beschränkten Abenteuer freigeschaltet zu bekommen.
Die größte Enttäuschung für mich ist die Erkenntnis, dass die Hauptelemente Kämpfe und Abenteuer in der Form umgesetzt wurden, dass SpielerInnen für die Dauer von mehreren Minuten eine Art Wartescreen betrachten, ohne Interaktionsmöglichkeit.
Dass man über kurz oder lang gegen echtes Geld Blutsteine nachkaufen muss, um Reittiere oder wertvollere Gegenstände beim Händler erwerben und sich an die Spitze der Bestenliste setzen zu können — was im Grunde auch den einzigen Spielanreiz liefert –, schmeckt mir auch nicht besonders.

Insgesamt betrachtet handelt es sich bei Legend um ein hübsch gestaltetes und an kommerzielle Rollenspiele angelehntes Browser-Rollenspiel, das allerdings stark reduziert wurde, offenbar damit es auch in der Mittagspause gespielt werden kann. Die Reduktion fällt mir jedoch zu stark aus, als dass ausreichend Spielspaß aufkommen könnte.

Vor einigen Jahren habe ich zur kurzweiligen Unterhaltung ein, wie soll man es nennen, Browser-Action-Rollenspiel gespielt, das schnell mal zwischendurch für einen Lacher und etwas Spannung gut war. Es trug den bescheuerten Titel “Oxtrox – Raub der Sabrina” und war in Flash5 umgesetzt gewesen. Man steuerte dabei seinen Character in Aufsicht durch ein zufällig generiertes Labyrinth, das von Monstern bevölkert war. Diese galt es natürlich um die Ecke zu bringen. So einfach das Spiel auch war, es hatte einige Pluspunkte, so dass ich mich wehmütig frage, warum es nicht mehr online verfügbar ist. Gibt man den Titel bei Google ein, landet man früher oder später bei Gamigo.de, wo aber zumindest für meine beschlagenen Äuglein nichts von dem Spiel zu finden ist. Im Netz gibt es lediglich noch ein paar (ver)alte(te) Spielhilfeseiten, die aber ohne Spielmöglichkeit auch keinen wirklichen Sinn ergeben.

Lustig fand ich an Oxtrox, dass man in der Highscoreliste die Todesursache der dort verzeichneten Helden und Heldinnen lesen konnte. So stand neben den anderen Daten, wie beispielsweise Klasse, Punktestand und erreichtes Level, auch etwa zu lesen “fiel einem klappernden Skelett zum Opfer” oder “ist erbärmlich verhungert”.

Natürlich gab es in diesem Spiel die obligatorischen Türen und Schatzkisten. Aus viel mehr bestanden die Labyrinthe nicht. Hier und dort konnte man Gegenstände und Gold finden, die bei selten auftauchenden Händlern auch eingetauscht werden konnten.

Die Gegenstände hatten die teils unangenehme Eigenart, unbekannte Wirkung zu haben. Außerdem konnte es passieren, dass man auf einen verfluchten Gegenstand traf und mit üblen Nebeneffekten leben musste.

Der Character konnte verlorene Gesundheitspunkte einerseits leicht durch Verstreichenlassen von Zeit (Leertaste drücken) wieder herstellen, musste aber auf der anderen Seite hin und wieder etwas essen, was wiederum bedeutete, sich im Labyrinth weiter vorzuwagen, um an Nahrung oder Gold für Nahrung zu gelangen.

Mir ist es nie gelungen, bis zum Spielziel vorzudringen; Sabrina blieb verschollen. Aber dank des tollen Spielprinzips habe ich es seinerzeit viele Male probiert.
Schade, dass es das Spiel nicht mehr gibt.

Nachtrag am 5. Mai 2009
Wie durch Zauberei (eigentlich eher durch Archive.org) habe ich noch ein paar verstaubte Brocken auftreiben können, die dazu dienen können, meinen trockenen Artikel ein wenig aufzupeppen. Zum einen wäre da ein Screenshot aus dem Spielablauf und ein Auszug aus der Liste “Die 100 eisernsten Recken”, welcher Lakotas Worte (siehe Kommentar) unterstreicht.