Extended FAQ zh TW
其他常見問題包含了您可能較不常遇到的問題及它們的解答。 如果您的問題非常常見,請參閱常見問題。
ASF由Archi在2015年10月建立。 如果您想知道,我跟您一樣,是一個Steam使用者。 除了玩遊戲,我也喜歡將我的專長與決心付諸實踐,正如您所看到的。 這裡沒有大公司的參與,沒有什麼開發團隊,也沒有$100萬美元的預算來提供支援⸺只有我自己,在維護這個專案。
然而,ASF是個開源專案,我無法向您表示您在這裡看到的一切都是出自我手。 我們還有一些其他的ASF專案,幾乎完全是由其他的開發人員所開發。 即使是ASF核心專案,也有許多貢獻者幫助我實現這一切。 最重要的是,還有一些支援ASF開發的第三方服務,特別是GitHub、JetBrains與Crowdin。 當然您也不能忘記所有幫助ASF實作的出色程式庫與工具,例如我們用作IDE的Rider(我們也喜歡ReSharper的附加功能),特別是SteamKit2,沒有它,ASF就不會存在。 如果沒有Github、Patreon和各種贊助者支援我在這裡所做的一切,ASF也不會有今天的成就。
感謝大家協助ASF開發! 你們是最棒的!
建立ASF的主要目標是成為Linux全自動的Steam掛機工具,且不需要任何外部相依程式(例如Steam用戶端)。 實際上,這仍然是它的主要目標及專注的重點,因為我對ASF的理念從那時起就從未改變,我仍然能以與2015年完全相同的方式來使用它。 當然,從那時起的確發生了許多變化,我很高興看到ASF取得了如此大的進展,這主要歸功於它的使用者們,因為如果只是為了我自己的使用,我甚至永遠不會編寫出現在一半的功能。
需要特別說明,ASF從未與其他相似的程式競爭,特別是Idle Master,因為ASF從未被設計成桌面/使用者應用程式,時至今日。 若您分析上述的ASF主要目標,您就會發現Idle Master與此截然相反。 雖然在今天您絕對可以找到與ASF相似的程式,但對我來說,當時沒有足夠好到能用的(現在仍然沒有),所以我依照自己想要的方式建立了自己的軟體。 隨著時間的推移,使用者遷移至ASF上主要是因為它的健壯性、穩定性及安全性,還有我多年來所開發的所有功能。 如今,ASF是最棒的。
您不需任何代價,我是為自己建立了ASF,並分享給社群的其他人,希望它能對其他人來說有用。 在1991年發生過相同的事情,Linus Torvalds將他的第一個Linux核心分享給了全世界。 這裡沒有隱藏惡意程式、資料探勘、加密挖礦或其他任何能為我帶來金錢利益的行為。 ASF專案完全是由像您這樣的自願使用者給予的非強制性的捐款所支援。 您可以像我一樣自由地使用ASF,如果您喜歡它,您隨時可以請我喝杯咖啡,來表達您對我所做的事情的感激之情。
我還將ASF當作現代C#專案的完美範例,該專案始終追求完美與最佳範例,不論是技術、專案管理還是程式碼本身。 這是我對「做對的事情」的定義,所以如果你有機會從我的專案中學到一些有用的東西,那只會讓我更開心。
從統計上來說,不管有多悲哀,在ASF啟動後不久,一定至少會有一個人死於車禍。 不同之處在於,一般人不會因為這種情形指責ASF,但出於某些原因,有些人卻會因為他們的Steam帳號出現了相同問題,而指責是ASF造成的。 當然,我們可以理解其中的原因,畢竟ASF是在Steam平台下運作,所以人們自然會因為他們Steam財產上發生的任何事情而指責ASF,而不管沒有證據表明,他們執行的軟體與此情形有任何關聯。
正如常見問題及上述問題所示,ASF並未含有惡意程式、間諜軟體、資料挖掘或其他任何有害的行為,特別是不會上傳您的Steam敏感資訊,或竊取您的數位資產。 若您遇到類似的情形,我們只能對您的損失表示遺憾,並建議您聯絡Steam客服,希望在恢復過程中能幫助到您⸺因為我們對您遇到的事情並無任何責任,且我們也對得起自己的良心。 若您不這麼認為,那也是您的選擇。進一步闡述已經毫無意義,如果上述資源提供的客觀及可驗證的方法都無法說服您相信我們的聲明,那我們在這裡寫下再多東西都也無法使您信服。
但是,上述說明並不代表您違反常識的行為就不會導致ASF出現安全性問題。 舉例來說,您無視我們的安全規章,將ASF的IPC介面公開給整個網際網路,然後驚訝地發現有人進入並劫走了您的所有物品。 人們經常這樣做,他們認為如果沒有網域,或沒有任何連接至他們的IP位址的連線,那麼就一定沒有人能找到他們的ASF實例。 就在您閱讀此文章時,就有成千上萬個甚至更多的全自動機器人在爬取整個網路,包含隨機IP位址、搜尋並發現能利用的漏洞,而ASF作為一個非常受歡迎的程式,同樣也是它們的目標。 已經有足夠多的人因為他們自己的愚蠢而被「駭入」了,所以您應試著從他們的錯誤中吸取教訓,變得更加聰明,而不是加入他們。
您PC的安全也是一樣。 是的,您PC上的惡意程式會從每個方面破壞ASF的安全性,因為它可以從ASF設定檔或程序的記憶體中讀取敏感資訊,甚至影響程式,執行它本不會執行的操作。 不,您從可疑來源取得的最新破解程式並不像某些人告訴您的那樣是個「誤報」,它是控制其他人PC的最有效方法之一,被入侵的這傢伙會感染自己,甚至還會依照指示進行操作,真有趣。
那麼,使用ASF是不是就完全安全且無任何風險了呢? 非也。如果我們這麼說,那就是偽善,因為每個軟體都有其安全導向的問題。 與許多公司正在做的事情相反,我們在我們的安全建議中盡可能透明,且我們一旦發現從安全性的角度來看,若ASF可能以任何方式出現不應發生的情形,即使是個假設,我們也會立即公布。 This is what happened with CVE-2021-32794 for example, even though ASF didn't have any security flaw per-se, but rather a bug that could lead to user accidentally creating one.
As of today, there are no known, unpatched security flaws in ASF, and as the program is used by more and more people out of which both white hats as well as black hats analyze its source code, the overall trust factor only increases with time, as the number of security flaws to find out is finite, and ASF as a program that focuses first and foremost on its security, definitely isn't making it easy for finding one. Regardless of our best intentions, we still recommend to stay cool-headed and always be wary of potential security threats, ones coming from ASF usage as well.
As part of our releases on GitHub, we utilize a very similar verification process as the one used by Debian. In every official release starting with ASF V5.1.3.3, in addition to zip files you can find SHA512SUMS and SHA512SUMS.sign files. Download them for verification purposes together with the zip files of your choice.
Firstly, you should use SHA512SUMS file in order to verify that SHA-512 checksum of the selected zip files matches the one we calculated ourselves. On Linux, you can use sha512sum utility for that purpose.
$ sha512sum -c --ignore-missing SHA512SUMS
ASF-linux-x64.zip: OK
On Windows, we can do that from powershell, although you have to manually verify with SHA512SUMS:
PS > Get-Content SHA512SUMS | Select-String -Pattern ASF-linux-x64.zip
f605e573cc5e044dd6fadbc44f6643829d11360a2c6e4915b0c0b8f5227bc2a257568a014d3a2c0612fa73907641d0cea455138d2e5a97186a0b417abad45ed9 ASF-linux-x64.zip
PS > Get-FileHash -Algorithm SHA512 -Path ASF-linux-x64.zip
Algorithm Hash Path
--------- ---- ----
SHA512 F605E573CC5E044DD6FADBC44F6643829D11360A2C6E4915B0C0B8F5227BC2A2575... ASF-linux-x64.zip
This way we ensured that whatever was written to SHA512SUMS matches the resulting files and they weren't tampered with. However, it doesn't prove yet that SHA512SUMS file you checked against really comes from us. For that, we'll use SHA512SUMS.sign file, which holds digital PGP signature proving the authenticity of SHA512SUMS. We can use gpg utility for that purpose, both on Linux and Windows (change gpg command into gpg.exe on Windows).
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Mon 02 Aug 2021 00:34:18 CEST
gpg: using EDDSA key 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF
gpg: Can't check signature: No public key
As you can see, the file indeed holds a valid signature, but of unknown origin. You'll need to import ArchiBot's public key that we sign the SHA-512 sums with for full validation.
$ curl https://raw.githubusercontent.com/JustArchi-ArchiBot/JustArchi-ArchiBot/main/ArchiBot_public.asc -o ArchiBot_public.asc
$ gpg --import ArchiBot_public.asc
gpg: /home/archi/.gnupg/trustdb.gpg: trustdb created
gpg: key A3D181DF2D554CCF: public key "ArchiBot <[email protected]>" imported
gpg: Total number processed: 1
gpg: imported: 1
Finally, you can verify the SHA512SUMS file again:
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Mon 02 Aug 2021 00:34:18 CEST
gpg: using EDDSA key 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF
gpg: Good signature from "ArchiBot <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 224D A6DB 47A3 935B DCC3 BE17 A3D1 81DF 2D55 4CCF
This has verified that the SHA512SUMS.sign holds a valid signature of our 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF key for SHA512SUMS file that you've verified against.
You could be wondering where the last warning comes from. You've successfully imported our key, but didn't decide to trust it just yet. While this is not mandatory, we can cover it as well. Normally this includes verifying through different channel (e.g. phone call, SMS) that the key is valid, then signing the key with your own to trust it. For this example, you can consider this wiki entry as such (very weak) different channel, since the original key comes from ArchiBot's profile. In any case we'll assume that you have enough of confidence as it is.
Firstly, generate private key for yourself, if you don't have one just yet. We'll use --quick-gen-key as a quick example.
$ gpg --batch --passphrase '' --quick-gen-key "$(whoami)"
gpg: /home/archi/.gnupg/trustdb.gpg: trustdb created
gpg: key E4E763905FAD148B marked as ultimately trusted
gpg: directory '/home/archi/.gnupg/openpgp-revocs.d' created
gpg: revocation certificate stored as '/home/archi/.gnupg/openpgp-revocs.d/8E5D685F423A584569686675E4E763905FAD148B.rev'
Now you can sign our key with yours in order to trust it:
$ gpg --sign-key 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF
pub ed25519/A3D181DF2D554CCF
created: 2021-05-22 expires: never usage: SC
trust: unknown validity: unknown
sub cv25519/E527A892E05B2F38
created: 2021-05-22 expires: never usage: E
[ unknown] (1). ArchiBot <[email protected]>
pub ed25519/A3D181DF2D554CCF
created: 2021-05-22 expires: never usage: SC
trust: unknown validity: unknown
Primary key fingerprint: 224D A6DB 47A3 935B DCC3 BE17 A3D1 81DF 2D55 4CCF
ArchiBot <[email protected]>
Are you sure that you want to sign this key with your
key "archi" (E4E763905FAD148B)
Really sign? (y/N) y
And done, after trusting our key, gpg should no longer display the warning when verifying:
$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature made Mon 02 Aug 2021 00:34:18 CEST
gpg: using EDDSA key 224DA6DB47A3935BDCC3BE17A3D181DF2D554CCF
gpg: Good signature from "ArchiBot <[email protected]>" [full]
Notice the [unknown] trust indicator changing into [full] once you signed our key with yours.
Congratulations, you've verified that nobody has tampered with the release you've downloaded! 👍
喵嗚~恭喜您發現了愚人節彩蛋的喵! 若您沒有設定CurrentCulture自訂選項,那麼ASF在4月1日時將會使用LOLcat語言,而非您的系統語言。 若您想要停用這個行為,您可以直接將CurrentCulture設定成您想要使用的語言。 值得一提的是,您可以透過將CurrentCulture的值設定成qps-Ploc,來無條件啟用這個彩蛋。
