→ cassine:我只是單純想驗證PSN也可以用這種方式連線而已,而且從舊 02/14 09:55
→ cassine:版也能連線這種狀況來看,SONY根本沒有更新什麼新東西 02/14 09:56
→ cassine:另外我也很關心PSN到底有沒有在蒐集玩家的個人資訊 02/14 10:38
推 flyelf:專業推!一直很沒心想搞....覺得麻煩XD 但就psn是否會蒐集 02/14 12:42
→ flyelf:玩家資訊,也是滿令人憂心的一點 02/14 12:42
今天稍微調查了一下溝通的封包,發現我們的 PSN帳號跟密碼都是直接傳明碼,
換句話說我們設定的密碼,非常可能是以明碼的形式存在 PSN的伺服器上。要是
真是這樣,那不但違反資安的基本原則,而且會非常糟糕, PSN會比 ptt還不安
全,假如SONY裡面有內鬼的話,所有玩家的都會遭殃。或許有人會說 SSL加密不
是很安全?但是實證明我還是有辦法攔截到解密後的資訊,是有多安全?
一般資安處理帳號跟密碼時,帳號會以明碼的方式儲存,但密碼會先經過密碼函
式運算後,儲存運算後的結果,如此就算管理員也無從得知使用者設了什麼密碼
,只看的到處理過的字串。認證時就將使用者輸入的密碼用同樣的函式處理,然
後比對同樣處理過的字串是否相符藉以決定是否允許通過認證。之前小莎偷窺情
敵信件時,也不知道情敵帳號的的密碼是什麼,所以只好用法務帳號取回備份將
處理過後的字串蓋回去。
另外還有一件事就是 PSN的認證伺服器是跑Apache 2.2.1.7的樣子(可以從封包
表頭看到,還好應該不是 x86/x64版本,不然洞絕對更多),要是有心人士想入
侵就可以針對這個版本去找漏洞然後送封包去攻擊。
總之, SCE這間公司的資安狀況實在不大妙,以為有加密就萬無一失,其實萬無
一失的是加密演算法本身,但使用的人粗心大意會讓安全性大打折扣,所以說今
日會落到這樣的田地其實也不用太感到意外就是。看來我得小心我的信用卡卡號
了。
--
○ ____ _ _ _ _ ____ _ _ ____ _____ ____
。 ★(_ _)( \( )( \/ )( ___)( \( )(_ _)( _ )( _ \
o _)(_ ) ( \ / )__) ) ( )( )(_)( ) / ● ‧
(____)(_)\_) \/ (____)(_)\_) (__) (_____)(_)\_) ★
o
--
All Comments