推 lovecatbaby:納自己可以知道這組密碼嗎= =? 01/16 01:14
推 dnlegend729:第一次看到這個... 01/16 01:15
推 hank61204:照這樣推論應該懂程式的人就能.. 01/16 01:16
→ gpc:隱藏密碼不能改 別人拿掉就會變成妳 01/16 01:17
推 dnlegend729:比較想知道原PO訊息的來源 不然會被當作...恩 01/16 01:20
→ gpc:觀察他的存檔就知道了 01/16 01:22
→ gpc:想要知道更細節我可以說明 妳懂coding的話我說明妳才聽的懂喔 01/16 01:23
推 dnlegend729:那算了ˊ_>ˋ 我相信你 01/16 01:24
→ gpc:不然之前板上有個人首抽幾萬個 他是怎麼管理帳號的:P 01/16 01:24
→ a8250222:的確是如此 網路上文章一堆 都說小心wifi連線 神魔的連線 01/16 01:24
→ a8250222:是沒有加密的@@ 01/16 01:24
推 charlie0228:是gpc大 01/16 01:25
推 wwwsamyoui12:跟我想得差不多 真不愧是gpc大 01/16 01:25
→ gpc:到現在4.51板 還是走HTTP阿 明文傳輸 超厲害 都不知道MH再想什 01/16 01:26
推 ian90911:之前就有人轉貼過文章說了 01/16 01:27
推 rehtie:推 公開WIFI本身也沒有加密傳輸 根本就超容易擷取到 01/16 01:27
→ a8250222:或許能出個踢出所有裝置 或許能改善一些被重複登入的帳號 01/16 01:28
推 x850519:MH只有關卡有簡單加密而已其他,我昨天就發一篇了,唉 01/16 01:29
→ rehtie:那沒有用 只要改不了那組隱藏密碼 誰手裡有密碼誰就能登入 01/16 01:29
推 awu0204:gpc大說的,看來真的要小心 01/16 01:30
→ awu0204:點了 01/16 01:30
→ trywish:與其說隱藏密碼,到不如說是遊戲自己設的密碼,畢竟要向FB 01/16 01:31
推 x850519:我只能說那組隱藏密碼不用本科系都可以擷出來,夠簡單吧 01/16 01:31
→ trywish:討認證權限有點麻煩,簡單的話就是FB登入+自己創一組密碼 01/16 01:31
推 a8250222:真的..就不要給別人知道帳號跟自求多福了XD 01/16 01:31
→ x850519:不過綁twitter的不用擔心,FB才需注意 01/16 01:32
→ trywish:然後作為神魔的認證密碼,那當然你FB怎改都無效 01/16 01:32
→ gpc:twitter也一樣喔 神魔認證的方法是一樣的:P 01/16 01:32
→ x850519:不那組隱藏CODE是要由FB漏洞形成,推特大可放心 01/16 01:33
→ a8250222:好像是因為http 所以才衍生出一堆東西?? 01/16 01:33
→ x850519:推特不前破的不是非常多人 01/16 01:33
推 raymond2743:綁甚麼都一樣的 你在公開的wifi玩 厲害一點的都可以盜 01/16 01:34
→ trywish:基本上都一樣,除非遊戲商和社群帳號有關,不然普通拿不到 01/16 01:34
→ trywish:社群帳號的遊戲商,密碼當然得自己創。那如果有關聯的話, 01/16 01:34
→ gpc:我都可以登進別人綁TWITTER的帳號的說 我根本不知道他綁什 01/16 01:34
→ trywish:那變成要小心社群把你的帳密外洩給了遊戲商,當然會加密就 01/16 01:35
→ trywish:是了。 01/16 01:35
推 x850519:把神魔檔案完整看過就會知推特不用太擔心 01/16 01:35
→ x850519:但還是解的出來 01/16 01:36
推 suin7913:感覺是被人用封包盜帳號了 最近好像常看到 某論壇也有在 01/16 01:36
→ suin7913:討論 01/16 01:36
→ gpc:妳知道現在那些專業到帳號的都不是用APP了嗎 01/16 01:37
推 senastey:你們說的我半句都沒看懂 01/16 01:37
推 x850519:那些東西我都有只是礙於版規不能細講而已,某float 01/16 01:38
推 bettybuy:那用需帳密登入的WIFI 危險性也很大嗎?? 01/16 01:39
→ bettybuy:例如學校的WIFI 01/16 01:39
推 Waitaha:fb access token? 01/16 01:40
推 a8250222:那就不會吧 樓下補充 01/16 01:40
→ gpc:登入跟本不需要FB_ACCESS_TOKEN 01/16 01:40
推 x850519:連我和那幾個小魯蛇都搞的出來了,MH真的要檢討一下 01/16 01:42
推 sft005:可是我不太懂盜這個幾乎是單機的遊戲幹嘛... 01/16 01:45
→ sft005:沒有利潤利益支持 規模不會影響到什麼玩家 01/16 01:46
→ sft005:更因為沒有加密 破了也沒成就感 愉快犯的機率也低 01/16 01:46
→ trywish:盜版是其次,光登入都可能登錯帳號,就知道問題了 01/16 01:47
→ dnlegend729:你怎麼想不到會有人想幹走別人的帳號全部賣商店也爽 01/16 01:47
推 Rindou:屁孩刪卡都可以上新聞了 被盜有什麼好意外 01/16 01:49
→ sft005:我就說了 屁還刪卡是能刪多少次還不膩? 影響規模的問題 01/16 01:50
→ sft005:這不是什麼會影響很大眾的東西 MH當然把優先順序放在後面 01/16 01:51
推 jackydie1007:想聽解說 01/16 01:52
→ a8250222:很大吧 光是抽完丟到平台 還有 是你的被砍你會? 01/16 01:52
→ sft005:當然這公司這處理很爛 但這種利益極大化做的就台灣模式XD 01/16 01:52
→ sft005:考量公司處理問題的時候 怎麼會從一個玩家的角度出發... 01/16 01:53
→ sft005:我只是說 這問題可以很嚴重 但是規模只會很小 他們不會理 01/16 01:54
推 Hambowbow:說中文好嗎 阿鬼 01/16 01:56
推 sft005:問題深度很深 但是廣度很窄 這樣看得懂嗎? 01/16 01:58
→ rehtie:公會系統出來 搞不好反而成了盜帳號的誘因(笑) 01/16 02:00
推 iamlazy:只要卡片 金錢 魔法石不能交易,惡意盜帳號應該還好 反之. 01/16 02:01
→ iamlazy:要是以後MH腦袋被雷打到開放交易就.................. 01/16 02:02
推 caca5566:盜帳號還好? 假設你拿到一個不認識的人的帳號 01/16 02:06
→ caca5566:裡面一堆石頭 我想大部分的人還是自己先抽掉吧 01/16 02:06
→ caca5566:反正不是自己的石頭 抽得好抽得差都沒差 01/16 02:06
→ caca5566:同樣的 自己不敢賣卡片 拿別人的賣當然不痛不癢的 01/16 02:07
推 soraka:神魔就走http不肯走https = = 超級爛的 01/16 02:12
推 soraka:原PO說的那組密碼 是指他的hash key? 01/16 02:16
推 x850519:樓上快中了 01/16 02:17
推 hongcheng:會長推推 01/16 02:18
推 soraka:所以神魔自己有先對自己送出的封包作加密嗎? 如果沒有的話 01/16 02:20
→ soraka:是不是代表只要被竊聽封包 就可以對你的帳號進行任何動作? 01/16 02:20
推 lovecatbaby:所以我只要用公開wifi就有可能被盜? 01/16 02:24
→ soraka:有那個危險性 就像是你錢直接放在桌上用很重的東西壓住 01/16 02:25
→ soraka:只要力氣(技術)足夠的人 就有辦法幹走他 01/16 02:25
推 lovecatbaby:那被別人登是不是會顯示叫我重新登入之類…? 01/16 02:26
→ soraka:用幹走好像不太對 應該說是操控 你自己access的權限不會變 01/16 02:26
→ soraka:只是別人有辦法用你的帳號作一些事情 詳細可以做到什麼事 01/16 02:26
→ soraka:我就不知道了 01/16 02:27
→ soraka:重新登入的判斷不知道是建立在什麼東西上面 不確定會不會顯 01/16 02:28
→ soraka:示這個 01/16 02:28
推 YU0121:我猜不走https 可能是因為這樣跟那些社群網站結合會有問題 01/16 02:39
→ YU0121:所以走http 其實應該是可以克服這塊 只是現在他們沒空而已 01/16 02:39
→ soraka:會有這種疑慮嗎 FB自己也是走https啊 01/16 02:40
推 sweetmiki:XD這樣危險石油王還肯讓我們有遊戲玩Q_Q 01/16 02:44
推 egg0808:會長推推 01/16 02:44
推 lovecatbaby:我發現是索拉卡耶 01/16 02:58
→ rehtie:soraka你抓到重點了 神魔完全沒有對封包做任何加密 01/16 02:59
推 DDRuby:恩我猜應該是UNIQUE那一串吧 01/16 03:30
→ DDRuby:我這樣有違規嗎有的話幫我馬一下感謝 01/16 03:33
推 RICKY12035:這漏洞也太大了吧= = 原本以為有認證機制應該還算安全 01/16 03:56
→ RICKY12035:照理講除了那組隱藏密碼外,還要至少有身分驗證 01/16 03:57
→ RICKY12035:就好像什麼會員都有帳號+密碼 而不是只有密碼 01/16 03:58
推 soraka:...與其說是密碼 更像是uid 01/16 04:09
推 omarandy:是會長大人!!! 推推 <(_ _)> 01/16 09:07
推 lhh1991117:1.封包好像沒加密 2.封包裡面一些資料有經過hash 01/16 09:25
→ lhh1991117:3.隱藏UID被竊聽了=拿到所有操縱權限 01/16 09:25
→ gpc:hash沒用,仔細想想,妳可以用鈦備份還原妳的帳號,表示 01/16 09:48
推 jimmyyang207:gpc大不僅是石油王,寫的軟體也是一流好用!! 01/16 09:54
推 comesome:可以歸可以 但是寶物不能賣出 利益很小 01/16 09:58
→ comesome:他們不會花時間在不賺錢的生意 01/16 09:59
推 SuperSnoopy:神人會長!推推!! 01/16 14:49
推 tagalong1024:神魔工程師看到應該覺得台灣人猛到爆… 01/16 16:41
→ gpc:盜帳號不需要理由 中二生 小屁孩 無聊打發時間 賣賣妳的卡 01/17 17:37
→ gpc:抽抽妳的卡 並沒有甚麼損失 反正香港公司 伺服器在新加坡 01/17 17:38
→ gpc:妳報按警方只會跟妳說 這不是我們國內的東西 無能為力 01/17 17:39