使用3.55-Kmeaw連線PSN - 改機

今天稍微調查了一下溝通的封包，發現我們的 PSN帳號跟密碼都是直接傳明碼，
換句話說我們設定的密碼，非常可能是以明碼的形式存在 PSN的伺服器上。要是
真是這樣，那不但違反資安的基本原則，而且會非常糟糕， PSN會比 ptt還不安
全，假如SONY裡面有內鬼的話，所有玩家的都會遭殃。或許有人會說 SSL加密不
是很安全？但是實證明我還是有辦法攔截到解密後的資訊，是有多安全？

一般資安處理帳號跟密碼時，帳號會以明碼的方式儲存，但密碼會先經過密碼函
式運算後，儲存運算後的結果，如此就算管理員也無從得知使用者設了什麼密碼
，只看的到處理過的字串。認證時就將使用者輸入的密碼用同樣的函式處理，然
後比對同樣處理過的字串是否相符藉以決定是否允許通過認證。之前小莎偷窺情
敵信件時，也不知道情敵帳號的的密碼是什麼，所以只好用法務帳號取回備份將
處理過後的字串蓋回去。

另外還有一件事就是 PSN的認證伺服器是跑Apache 2.2.1.7的樣子（可以從封包
表頭看到，還好應該不是 x86/x64版本，不然洞絕對更多），要是有心人士想入
侵就可以針對這個版本去找漏洞然後送封包去攻擊。

總之， SCE這間公司的資安狀況實在不大妙，以為有加密就萬無一失，其實萬無
一失的是加密演算法本身，但使用的人粗心大意會讓安全性大打折扣，所以說今
日會落到這樣的田地其實也不用太感到意外就是。看來我得小心我的信用卡卡號
了。

--

○ ____ _ _ _ _ ____ _ _ ____ _____ ____
。 ★(_ _)( \( )( \/ )( ___)( \( )(_ _)( _ )( _ \
ｏ _)(_ ) ( \ / )__) ) ( )( )(_)( ) / ● ‧
(____)(_)\_) \/ (____)(_)\_) (__) (_____)(_)\_) ★
ｏ

--