2.15.0 是 2.15 的稳定版本,此更新记录仅包含 2.15.0-RC 至 2.15.0 的更新。完整更新记录请查看前几个预览版本
mirai-core
不兼容变更
- (Internal) EncryptService 注册方式改为 Factory (fa389f4)
新特性
- 添加
val MiraiProtocol.isQRLoginSupported: Boolean (#2726, #2642)
优化和修复
关于包数据加密 / 签名 (Internal)(#2716)
mirai 不会内置任何第三方 签名/加密 服务,而是提供 SPI 让用户自行实现。
mirai 已经提供了外部 EncryptService SPI 供用户对接。如果您没有能力自行对接,您可以考虑到论坛寻找社区对接。
在使用社区服务前,您需要了解并理解以下内容
- 保证可信来源!
当,且仅当, 服务来源可信时,使用此服务。mirai 传递给服务的内容包括但不限于:
- 所有的 Bot 登录请求(包含 Bot 的所有敏感信息(如密码,登录凭证等))
- Bot 发出去的全部消息内容
- 保护好你的网络!
据最近观察,部分相关的服务实现并没有对消息进行加密,如果您所访问的服务位于公开网络,您的数据有被窃取的风险。
- 保护好你的日志!
据最近观察,部分相关服务使用 HTTP GET 请求传递数据体,当远程服务出错时,服务对接可能会直接将此次请求的连接直接输出到日志中,此日志可能包含了此次尝试 签名/加密 的内容,而此内容可能包含关键信息。
当您需要上传日志时,请记得移除相关的请求日志。
如果您无法分辨哪些请求需要被抹除时,您可以参考以下规则:
- 请求连接包含大量 Hex 文本,抹除 (Hex: 由
0-9 和 ABCDEF 组成的序列 )
- 请求包含大量 Base64 文本,抹除 (如您不知道什么是 Base64 文本,您可以简单当做是超长的英文与符号组合)
- 请求连接过长,抹除(如连接日志换行了三次都还没有显示完全)
