Extended FAQ zh TW
其他常見問題包含了您可能較不常遇到的問題及它們的解答。 如果您的問題非常常見,請參閱常見問題。
ASF由Archi在2015年10月建立。 如果您想知道,我跟您一樣,是一個Steam使用者。 除了玩遊戲,我也喜歡將我的專長與決心付諸實踐,正如您所看到的。 這裡沒有大公司的參與,沒有什麼開發團隊,也沒有$100萬美元的預算來提供支援⸺只有我自己,在維護這個專案。
然而,ASF是個開源專案,我無法向您表示您在這裡看到的一切都是出自我手。 我們還有一些其他的ASF專案,幾乎完全是由其他的開發人員所開發。 即使是ASF核心專案,也有許多貢獻者幫助我實現這一切。 最重要的是,還有一些支援ASF開發的第三方服務,特別是GitHub、JetBrains與Crowdin。 當然您也不能忘記所有幫助ASF實作的出色程式庫與工具,例如我們用作IDE的Rider(我們也喜歡ReSharper的附加功能),特別是SteamKit2,沒有它,ASF就不會存在。 如果沒有Github和各種贊助者支持我在這裡所做的一切,ASF也不會有今天的成就。
感謝大家協助ASF開發! 您是最棒的:heart:。
建立ASF的主要目標是成為Linux全自動的Steam掛機工具,且不需要任何外部相依程式(例如Steam用戶端)。 實際上,這仍然是它的主要目標及專注的重點,因為我對ASF的理念從那時起就從未改變,我仍然能以與2015年完全相同的方式來使用它。 當然,從那時起的確發生了許多變化,我很高興看到ASF取得了如此大的進展,這主要歸功於它的使用者們,因為如果只是為了我自己的使用,我甚至永遠不會編寫出現在一半的功能。
需要特別說明,ASF從未與其他相似的程式競爭,特別是Idle Master,因為ASF從未被設計成桌面/使用者應用程式,時至今日。 若您分析上述的ASF主要目標,您就會發現Idle Master與此截然相反。 雖然在今天您絕對可以找到與ASF相似的程式,但對我來說,當時沒有足夠好到能用的(現在仍然沒有),所以我依照自己想要的方式建立了自己的軟體。 隨著時間的推移,使用者遷移至ASF上主要是因為它的健壯性、穩定性及安全性,還有我多年來所開發的所有功能。 如今,ASF是最棒的。
您不需任何代價,我是為自己建立了ASF,並分享給社群的其他人,希望它能對其他人來說有用。 在1991年發生過相同的事情,Linus Torvalds將他的第一個Linux核心分享給了全世界。 這裡沒有隱藏惡意程式、資料探勘、加密挖礦或其他任何能為我帶來金錢利益的行為。 ASF專案完全是由像您這樣的自願使用者給予的非強制性的捐款所支持。 您可以像我一樣自由地使用ASF,如果您喜歡它,您隨時可以請我喝杯咖啡,來表達您對我所做的事情的感激之情。
我還將ASF當作現代C#專案的完美範例,該專案始終追求完美與最佳範例,不論是技術、專案管理還是程式碼本身。 這是我對「做對的事情」的定義,所以如果你有機會從我的專案中學到一些有用的東西,那只會讓我更開心。
從統計上來說,不管有多悲哀,在ASF啟動後不久,一定至少會有一個人死於車禍。 不同之處在於,一般人不會因為這種情形指責ASF,但出於某些原因,有些人卻會因為他們的Steam帳號出現了相同問題,而指責是ASF造成的。 當然,我們可以理解其中的原因,畢竟ASF是在Steam平台下運作,所以人們自然會因為他們Steam財產上發生的任何事情而指責ASF,而不管沒有證據表明,他們執行的軟體與此情形有任何關聯。
正如常見問題及上述問題所示,ASF並未含有惡意程式、間諜軟體、資料挖掘或其他任何有害的行為,特別是不會上傳您的Steam敏感資訊,或竊取您的數位資產。 若您遇到類似的情形,我們只能對您的損失表示遺憾,並建議您聯絡Steam客服,希望在恢復過程中能幫助到您⸺因為我們對您遇到的事情並無任何責任,且我們也對得起自己的良心。 若您不這麼認為,那也是您的選擇。進一步闡述已經毫無意義,如果上述資源提供的客觀及可驗證的方法都無法說服您相信我們的聲明,那我們在這裡寫下再多東西都也無法使您信服。
但是,上述說明並不代表您違反常識的行為就不會導致ASF出現安全性問題。 舉例來說,您無視我們的安全規章,將ASF的IPC介面公開給整個網際網路,然後驚訝地發現有人進入並劫走了您的所有物品。 人們經常這樣做,他們認為如果沒有網域,或沒有任何連接至他們的IP位址的連線,那麼就一定沒有人能找到他們的ASF實例。 就在您閱讀此文章時,就有成千上萬個甚至更多的全自動機器人在爬取整個網路,包含隨機IP位址、搜尋並發現能利用的漏洞,而ASF作為一個非常受歡迎的程式,同樣也是它們的目標。 已經有足夠多的人因為他們自己的愚蠢而被「駭入」了,所以您應試著從他們的錯誤中吸取教訓,變得更加聰明,而不是和他們一樣。
您PC的安全也是一樣。 是的,您PC上的惡意程式會從每個地方破壞ASF的安全性,因為它可以從ASF設定檔或程序的記憶體中讀取敏感資訊,甚至影響程式,執行它本不會執行的操作。 No, the last crack you've obtained from doubtful source was not a "false positive" as somebody has told you, it's one of the most effective ways to gain control over somebody's PC, people will infect themselves and they'll even follow the instructions how to, fascinating.
那麼,使用ASF是不是就完全安全且無任何風險了呢? 非也。如果我們這麼說,那就是偽善,因為每個軟體都有其安全導向的問題。 與許多公司正在做的事情相反,我們在我們的安全建議中盡可能透明,且我們一旦發現從安全性的角度來看,若ASF可能以任何方式出現不應發生的情形,即使是個假設,我們也會立即公布。 例如,CVE-2021-32794就是這樣,雖然ASF本身並沒有任何安全缺陷,但這是個可能導致使用者造成意外的錯誤。
時至今日,ASF中已沒有已知的、未修補的安全缺陷,隨著越來越多的人使用本程式,白帽駭客與黑帽駭客分析了其原始碼,整體的信任度只會隨著時間的推移而增加 ,因為能找出的安全漏洞數量是有限的,且ASF作為一個首要關注安全性的程式,當然並不容易被找到一個。 不論我們的初衷是什麼,我們仍建議保持冷靜,並永遠都要警惕潛在的安全威脅,包含來自使用ASF的威脅。
作為我們在GitHub上發布的一部分,我們使用與Debian非常相似的驗證過程。 在每個正式版本中,除了zip組建資源檔案外,您還可以找到SHA512SUMS及SHA512SUMS.sign檔案。 將它們與您所選的zip檔案一起下載,用於驗證。
首先,您應該使用SHA512SUMS檔案來驗證所選zip檔案的SHA-512核對和是否與我們自己計算的相符。 在Linux上,您可以使用sha512sum工具來達成。
$ sha512sum -c --ignore-missing SHA512SUMS
ASF-linux-x64.zip: OK
在Windows上,我們可以在Powershell中執行,但您需要手動確認SHA512SUMS:
PS > Get-Content SHA512SUMS | Select-String -Pattern ASF-linux-x64.zip
f605e573cc5e044dd6fadbc44f6643829d11360a2c6e4915b0c0b8f5227bc2a257568a014d3a2c0612fa73907641d0cea455138d2e5a97186a0b417abad45ed9 ASF-linux-x64.zip
PS > Get-FileHash -Algorithm SHA512 -Path ASF-linux-x64.zip
Algorithm Hash Path
--------- ---- ----
SHA512 F605E573CC5E044DD6FADBC44F6643829D11360A2C6E4915B0C0B8F5227BC2A2575... ASF-linux-x64.zip
透過這種方式,我們確保SHA512SUMS的內容與生成的檔案相符,且它們未被篡改。 但是,這還無法證明您使用的SHA512SUMS檔案真的來自我們。 有兩種方式能夠驗證它們。
第一種是與ASF自動更新過程相同的方式,透過造訪https://asf.JustArchi.net/Api/Checksum/{Version}/{Variant}URL來呼叫我們的後端伺服器(將{Version}取代成ASF的版本號,例如6.1.4.3;{Variant}取代成您所選的ASF變體版本,例如generic或linux-x64)。 您可以在JSON回應中找到核對和,並將其與SHA512SUMS及/或ASF壓縮檔進行比較。 我們的服務只為ASF當前的穩定版及預覽版提供核對和,因為只會考慮更新至現有的ASF。
{
"Result": "f605e573cc5e044dd6fadbc44f6643829d11360a2c6e4915b0c0b8f5227bc2a257568a014d3a2c0612fa73907641d0cea455138d2e5a97186a0b417abad45ed9",
"Message": "OK",
"Success": true
}第二種方式是使用附隨的SHA512SUMS.sign檔案,它包含了證明SHA512SUMS真實性的數位PGP簽章。 由於組建生成物與簽章都是作為組建程序的一部份生成的,因此如果GitHub被駭,將無法保證它的完整性(這就是為什麼我們使用了自己的獨立伺服器用來驗證)。如果您是從未知來源下載的ASF,且只是想確保它是由我們的GitHub發布流程產生的,而非確保GitHub未遭受入侵,這就足夠了。
我們可以在Linux及Windows上使用gpg工具(在Windows上,需將gpg命令改成gpg.exe)。
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Mon 02 Aug 2021 00:34:18 CEST
gpg: using EDDSA key 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF
gpg: Can't check signature: No public key
如您所見,該檔案的確擁有一個有效簽章,但來源不明。 您需要匯入我們用於簽署SHA-512核對和的ArchiBot公鑰來進行完整的驗證。
$ curl https://raw.githubusercontent.com/JustArchi-ArchiBot/JustArchi-ArchiBot/main/ArchiBot_public.asc -o ArchiBot_public.asc
$ gpg --import ArchiBot_public.asc
gpg: /home/archi/.gnupg/trustdb.gpg: trustdb created
gpg: key A3D181DF2D554CCF: public key "ArchiBot <ArchiBot@JustArchi.net>" imported
gpg: Total number processed: 1
gpg: imported: 1
最後,您可以再次驗證SHA512SUMS檔案:
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Mon 02 Aug 2021 00:34:18 CEST
gpg: using EDDSA key 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF
gpg: Good signature from "ArchiBot <ArchiBot@JustArchi.net>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 224D A6DB 47A3 935B DCC3 BE17 A3D1 81DF 2D55 4CCF
這驗證了SHA512SUMS.sign擁有我們224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF金鑰的有效簽章,對應您已驗證過的SHA512SUMS檔案。
您可能想知道最後一個警告是從哪來的。 您已經成功匯入我們的金鑰,但還未決定要信任它。 雖然這不是強制性的,但我們也可以說明一下它。 通常您需要透過另一個管道(例如電話或簡訊)來驗證該金鑰是有效的,然後使用您自己的金鑰作為簽章來信任它。 在本範例中,您可以認為本Wiki條目視為另一個(非常弱)的管道,因為原始金鑰來自ArchiBot的個人檔案。 不論如何,我們都假設您有足夠的信心信任它。
首先,若您尚未擁有自己的私鑰,請先生成一個。 我們使用--quick-gen-key作為一個簡單的範例。
$ gpg --batch --passphrase '' --quick-gen-key "$(whoami)"
gpg: /home/archi/.gnupg/trustdb.gpg: trustdb created
gpg: key E4E763905FAD148B marked as ultimately trusted
gpg: directory '/home/archi/.gnupg/openpgp-revocs.d' created
gpg: revocation certificate stored as '/home/archi/.gnupg/openpgp-revocs.d/8E5D685F423A584569686675E4E763905FAD148B.rev'
現在您可以使用您自己的金鑰為我們的金鑰簽章來信任它:
$ gpg --sign-key 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF
pub ed25519/A3D181DF2D554CCF
created: 2021-05-22 expires: never usage: SC
trust: unknown validity: unknown
sub cv25519/E527A892E05B2F38
created: 2021-05-22 expires: never usage: E
[ unknown] (1). ArchiBot <ArchiBot@JustArchi.net>
pub ed25519/A3D181DF2D554CCF
created: 2021-05-22 expires: never usage: SC
trust: unknown validity: unknown
Primary key fingerprint: 224D A6DB 47A3 935B DCC3 BE17 A3D1 81DF 2D55 4CCF
ArchiBot <ArchiBot@JustArchi.net>
Are you sure that you want to sign this key with your
key "archi" (E4E763905FAD148B)
Really sign? (y/N) y
完成信任我們的金鑰後,gpg在驗證時應不再會顯示警告了:
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Mon 02 Aug 2021 00:34:18 CEST
gpg: using EDDSA key 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF
gpg: Good signature from "ArchiBot <ArchiBot@JustArchi.net>" [full]
注意,一旦您使用了自己的金鑰簽署後,[unknown]信任狀態會變成[full]。
恭喜,您已驗證了您下載的檔案版本並未經過任何人竄改! 👍
喵嗚~恭喜您發現了愚人節彩蛋的喵! 若您沒有設定CurrentCulture自訂選項,那麼ASF在4月1日時將會使用LOLcat語言,而非您的系統語言。 若您想要停用這個行為,您可以直接將CurrentCulture設定成您想要使用的語言。 值得一提的是,您可以透過將CurrentCulture的值設定成qps-Ploc,來無條件啟用這個彩蛋。
