Skip to content

2.15.0
Compare
Choose a tag to compare
@Karlatemp Karlatemp released this 10 Jul 21:23
· 57 commits to dev since this release
v2.15.0
9498bc8
This commit was signed with the committer’s verified signature.
Karlatemp 微莹·纤绫
GPG key ID: BA173CA2B9956C59
Learn about vigilant mode.

2.15.0 是 2.15 的稳定版本,此更新记录仅包含 2.15.0-RC 至 2.15.0 的更新。完整更新记录请查看前几个预览版本

mirai-core

不兼容变更

  • (Internal) EncryptService 注册方式改为 Factory (fa389f4)

新特性

  • 添加 val MiraiProtocol.isQRLoginSupported: Boolean#2726#2642

优化和修复

  • 二维码登录相关修复 (#2708 by @cssxsh
  • (Internal) 当 EncryptService 可用时提示服务来源警告
  • (Internal) EncryptService update
  • 默认关闭登录验证时的内部日志
  • 修复禁言匿名成员 (#2711 by @cssxsh, #2626, #2370)

关于包数据加密 / 签名 (Internal)(#2716)

mirai 不会内置任何第三方 签名/加密 服务,而是提供 SPI 让用户自行实现。
mirai 已经提供了外部 EncryptService SPI 供用户对接。如果您没有能力自行对接,您可以考虑到论坛寻找社区对接。

在使用社区服务前,您需要了解并理解以下内容

  1. 保证可信来源!
    当,且仅当, 服务来源可信时,使用此服务。mirai 传递给服务的内容包括但不限于:
    • 所有的 Bot 登录请求(包含 Bot 的所有敏感信息(如密码,登录凭证等))
    • Bot 发出去的全部消息内容
  2. 保护好你的网络!
    据最近观察,部分相关的服务实现并没有对消息进行加密,如果您所访问的服务位于公开网络,您的数据有被窃取的风险。
  3. 保护好你的日志!
    据最近观察,部分相关服务使用 HTTP GET 请求传递数据体,当远程服务出错时,服务对接可能会直接将此次请求的连接直接输出到日志中,此日志可能包含了此次尝试 签名/加密 的内容,而此内容可能包含关键信息。
    当您需要上传日志时,请记得移除相关的请求日志。
    如果您无法分辨哪些请求需要被抹除时,您可以参考以下规则:
    • 请求连接包含大量 Hex 文本,抹除 (Hex: 由 0-9ABCDEF 组成的序列 )
    • 请求包含大量 Base64 文本,抹除 (如您不知道什么是 Base64 文本,您可以简单当做是超长的英文与符号组合)
    • 请求连接过长,抹除(如连接日志换行了三次都还没有显示完全)

Contributors

cssxsh
Assets 2
2 Join discussion