Re: [問題] 神魔是個可以被盜的遊戲嗎

看板ToS作者 (gpc)時間12年前 (2014/01/16 01:11), 編輯推噓50(50063)
留言113則, 36人參與, 最新討論串1/1
神魔的安全性算是近期來最爛的, 正確來說毫無安全性 就妳你綁了fb,twitter,...任何不知道你綁定的帳號密碼,一樣可以輕鬆的使用妳的帳號, 然後做一些有趣的事情, 因為神魔唯一的認證是一組隱藏的密碼, 這組隱藏的密碼不會因為你綁定FB或這改FB密碼就跟著變. 一旦任何人拿到這組隱藏密碼,就可以當妳帳號,不管妳怎麼改~ 所以強烈建議不要公開環境WIFI裡面玩神魔,或者謹慎使用ROOT或JB的軟體 ※ 引述《alice50734 (Alice)》之銘言: : 我是綁facebook玩的 : 也沒有其他人知道我的facebook密碼呀~ : 但是剛才想打水靈魂賜福 : 卻發現有人把我的輪迴和水靈魂賜福都打完了!>< : 超難過的:( -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 36.227.168.145
01/16 01:14, , 1F
納自己可以知道這組密碼嗎= =?
01/16 01:14, 1F
01/16 01:15, , 2F
第一次看到這個...
01/16 01:15, 2F
01/16 01:16, , 3F
照這樣推論應該懂程式的人就能..
01/16 01:16, 3F
01/16 01:17, , 4F
隱藏密碼不能改 別人拿掉就會變成妳
01/16 01:17, 4F
01/16 01:20, , 5F
比較想知道原PO訊息的來源 不然會被當作...恩
01/16 01:20, 5F
01/16 01:22, , 6F
觀察他的存檔就知道了
01/16 01:22, 6F
01/16 01:23, , 7F
想要知道更細節我可以說明 妳懂coding的話我說明妳才聽的懂喔
01/16 01:23, 7F
01/16 01:24, , 8F
那算了ˊ_>ˋ 我相信你
01/16 01:24, 8F
01/16 01:24, , 9F
不然之前板上有個人首抽幾萬個 他是怎麼管理帳號的:P
01/16 01:24, 9F
01/16 01:24, , 10F
的確是如此 網路上文章一堆 都說小心wifi連線 神魔的連線
01/16 01:24, 10F
01/16 01:24, , 11F
是沒有加密的@@
01/16 01:24, 11F
01/16 01:25, , 12F
是gpc大
01/16 01:25, 12F
01/16 01:25, , 13F
跟我想得差不多 真不愧是gpc大
01/16 01:25, 13F
01/16 01:26, , 14F
到現在4.51板 還是走HTTP阿 明文傳輸 超厲害 都不知道MH再想什
01/16 01:26, 14F
01/16 01:27, , 15F
之前就有人轉貼過文章說了
01/16 01:27, 15F
01/16 01:27, , 16F
推 公開WIFI本身也沒有加密傳輸 根本就超容易擷取到
01/16 01:27, 16F
01/16 01:28, , 17F
或許能出個踢出所有裝置 或許能改善一些被重複登入的帳號
01/16 01:28, 17F
01/16 01:29, , 18F
MH只有關卡有簡單加密而已其他,我昨天就發一篇了,唉
01/16 01:29, 18F
01/16 01:29, , 19F
#1IilDOIo 文內的部落格請詳閱
01/16 01:29, 19F
01/16 01:29, , 20F
那沒有用 只要改不了那組隱藏密碼 誰手裡有密碼誰就能登入
01/16 01:29, 20F
01/16 01:30, , 21F
gpc大說的,看來真的要小心
01/16 01:30, 21F
01/16 01:30, , 22F
點了
01/16 01:30, 22F
01/16 01:31, , 23F
與其說隱藏密碼,到不如說是遊戲自己設的密碼,畢竟要向FB
01/16 01:31, 23F
01/16 01:31, , 24F
我只能說那組隱藏密碼不用本科系都可以擷出來,夠簡單吧
01/16 01:31, 24F
01/16 01:31, , 25F
討認證權限有點麻煩,簡單的話就是FB登入+自己創一組密碼
01/16 01:31, 25F
01/16 01:31, , 26F
真的..就不要給別人知道帳號跟自求多福了XD
01/16 01:31, 26F
01/16 01:32, , 27F
不過綁twitter的不用擔心,FB才需注意
01/16 01:32, 27F
01/16 01:32, , 28F
然後作為神魔的認證密碼,那當然你FB怎改都無效
01/16 01:32, 28F
01/16 01:32, , 29F
twitter也一樣喔 神魔認證的方法是一樣的:P
01/16 01:32, 29F
01/16 01:33, , 30F
不那組隱藏CODE是要由FB漏洞形成,推特大可放心
01/16 01:33, 30F
01/16 01:33, , 31F
好像是因為http 所以才衍生出一堆東西??
01/16 01:33, 31F
01/16 01:33, , 32F
推特不前破的不是非常多人
01/16 01:33, 32F
01/16 01:34, , 33F
綁甚麼都一樣的 你在公開的wifi玩 厲害一點的都可以盜
01/16 01:34, 33F
01/16 01:34, , 34F
基本上都一樣,除非遊戲商和社群帳號有關,不然普通拿不到
01/16 01:34, 34F
01/16 01:34, , 35F
社群帳號的遊戲商,密碼當然得自己創。那如果有關聯的話,
01/16 01:34, 35F
01/16 01:34, , 36F
我都可以登進別人綁TWITTER的帳號的說 我根本不知道他綁什
01/16 01:34, 36F
01/16 01:35, , 37F
那變成要小心社群把你的帳密外洩給了遊戲商,當然會加密就
01/16 01:35, 37F
01/16 01:35, , 38F
是了。
01/16 01:35, 38F
01/16 01:35, , 39F
把神魔檔案完整看過就會知推特不用太擔心
01/16 01:35, 39F
還有 34 則推文
01/16 02:12, , 74F
神魔就走http不肯走https = = 超級爛的
01/16 02:12, 74F
01/16 02:16, , 75F
原PO說的那組密碼 是指他的hash key?
01/16 02:16, 75F
01/16 02:17, , 76F
樓上快中了
01/16 02:17, 76F
01/16 02:18, , 77F
會長推推
01/16 02:18, 77F
01/16 02:20, , 78F
所以神魔自己有先對自己送出的封包作加密嗎? 如果沒有的話
01/16 02:20, 78F
01/16 02:20, , 79F
是不是代表只要被竊聽封包 就可以對你的帳號進行任何動作?
01/16 02:20, 79F
01/16 02:24, , 80F
所以我只要用公開wifi就有可能被盜?
01/16 02:24, 80F
01/16 02:25, , 81F
有那個危險性 就像是你錢直接放在桌上用很重的東西壓住
01/16 02:25, 81F
01/16 02:25, , 82F
只要力氣(技術)足夠的人 就有辦法幹走他
01/16 02:25, 82F
01/16 02:26, , 83F
那被別人登是不是會顯示叫我重新登入之類…?
01/16 02:26, 83F
01/16 02:26, , 84F
用幹走好像不太對 應該說是操控 你自己access的權限不會變
01/16 02:26, 84F
01/16 02:26, , 85F
只是別人有辦法用你的帳號作一些事情 詳細可以做到什麼事
01/16 02:26, 85F
01/16 02:27, , 86F
我就不知道了
01/16 02:27, 86F
01/16 02:28, , 87F
重新登入的判斷不知道是建立在什麼東西上面 不確定會不會顯
01/16 02:28, 87F
01/16 02:28, , 88F
示這個
01/16 02:28, 88F
01/16 02:39, , 89F
我猜不走https 可能是因為這樣跟那些社群網站結合會有問題
01/16 02:39, 89F
01/16 02:39, , 90F
所以走http 其實應該是可以克服這塊 只是現在他們沒空而已
01/16 02:39, 90F
01/16 02:40, , 91F
會有這種疑慮嗎 FB自己也是走https啊
01/16 02:40, 91F
01/16 02:44, , 92F
XD這樣危險石油王還肯讓我們有遊戲玩Q_Q
01/16 02:44, 92F
01/16 02:44, , 93F
會長推推
01/16 02:44, 93F
01/16 02:58, , 94F
我發現是索拉卡耶
01/16 02:58, 94F
01/16 02:59, , 95F
soraka你抓到重點了 神魔完全沒有對封包做任何加密
01/16 02:59, 95F
01/16 03:30, , 96F
恩我猜應該是UNIQUE那一串吧
01/16 03:30, 96F
01/16 03:33, , 97F
我這樣有違規嗎有的話幫我馬一下感謝
01/16 03:33, 97F
01/16 03:56, , 98F
這漏洞也太大了吧= = 原本以為有認證機制應該還算安全
01/16 03:56, 98F
01/16 03:57, , 99F
照理講除了那組隱藏密碼外,還要至少有身分驗證
01/16 03:57, 99F
01/16 03:58, , 100F
就好像什麼會員都有帳號+密碼 而不是只有密碼
01/16 03:58, 100F
01/16 04:09, , 101F
...與其說是密碼 更像是uid
01/16 04:09, 101F
01/16 09:07, , 102F
是會長大人!!! 推推 <(_ _)>
01/16 09:07, 102F
01/16 09:25, , 103F
1.封包好像沒加密 2.封包裡面一些資料有經過hash
01/16 09:25, 103F
01/16 09:25, , 104F
3.隱藏UID被竊聽了=拿到所有操縱權限
01/16 09:25, 104F
01/16 09:48, , 105F
hash沒用,仔細想想,妳可以用鈦備份還原妳的帳號,表示
01/16 09:48, 105F
01/16 09:54, , 106F
gpc大不僅是石油王,寫的軟體也是一流好用!!
01/16 09:54, 106F
01/16 09:58, , 107F
可以歸可以 但是寶物不能賣出 利益很小
01/16 09:58, 107F
01/16 09:59, , 108F
他們不會花時間在不賺錢的生意
01/16 09:59, 108F
01/16 14:49, , 109F
神人會長!推推!!
01/16 14:49, 109F
01/16 16:41, , 110F
神魔工程師看到應該覺得台灣人猛到爆…
01/16 16:41, 110F
01/17 17:37, , 111F
盜帳號不需要理由 中二生 小屁孩 無聊打發時間 賣賣妳的卡
01/17 17:37, 111F
01/17 17:38, , 112F
抽抽妳的卡 並沒有甚麼損失 反正香港公司 伺服器在新加坡
01/17 17:38, 112F
01/17 17:39, , 113F
妳報按警方只會跟妳說 這不是我們國內的東西 無能為力
01/17 17:39, 113F
更多 gpc 的文章
文章代碼(AID): #1Iri5L16 (ToS)