→ Splash5:同學要不要先去翻一下密碼學... 所有加密或是簽證都是建立 02/15 02:05
→ Splash5:在private key是未知的... 02/15 02:06
→ Splash5:你都直接從主機偷到private key了再來說它的連線機制不安 02/15 02:07
→ Splash5:全不是有點本末倒置嗎...? 02/15 02:07
→ JupIte:是因為我們已經擁有演算key所以直接看明碼? 謝樓上指教! 02/15 02:08
→ JupIte:PS3因key被換,加密的資料來到PROXY(PC端)直接被解開來修改 02/15 02:14
→ Splash5:注意它需要刷憑證進去ps3這個步驟... 02/15 02:15
所以我說你又在給我雞同鴨講了,我也知道 PSN的私鑰未知,但我討論的重點是
我們設定的密碼在沒有經過hash的狀態就傳出去,所以 PSN主機方面拿私鑰一解
也可以得到未加密的結果,換句話說我們的密碼很可能是用未加密的形式存在主
機上,假設真是這樣,那會是一個很大的安全漏洞。我是不知道你是有意無意曲
解我的原意啦,密碼學是沒修過但資安我是有拿到學分的。
SSL本身的安全性是沒問題的,出問題的是在 SSL連線裡面傳的資料。比較安全
的作法是將明碼密碼hash後再用 SSL傳送,SONY沒有實做hash的部份,算了隨他
高興。
儘管如此,這種討論我還是很歡迎,真理本來就是越辨越明,連我這種業餘的人
都可以間看封包撈資料撈的這麼高興,比如說可以觀察討厭的跑馬燈廣告的抓取
路徑,然後直接封掉那台主機或是換上自己喜歡的跑馬燈字串,像是《曾國城:
哎喲不要再閃了就是那一張了,又沒打多大,放了啦放了啦!》
******
另外就是CA24.cer沒備份也無妨,反正只要下載最新版韌體用工具解開,也可以
取回,只是1 kb不到的檔案要下載180 MB才拿得回來,我覺得很累。
--
○ ____ _ _ _ _ ____ _ _ ____ _____ ____
。 ★(_ _)( \( )( \/ )( ___)( \( )(_ _)( _ )( _ \
o _)(_ ) ( \ / )__) ) ( )( )(_)( ) / ● ‧
(____)(_)\_) \/ (____)(_)\_) (__) (_____)(_)\_) ★
o
--
All Comments