→ Splash5:同學要不要先去翻一下密碼學... 所有加密或是簽證都是建立 02/15 02:05
→ Splash5:在private key是未知的... 02/15 02:06
→ Splash5:你都直接從主機偷到private key了再來說它的連線機制不安 02/15 02:07
→ Splash5:全不是有點本末倒置嗎...? 02/15 02:07
→ JupIte:是因為我們已經擁有演算key所以直接看明碼? 謝樓上指教! 02/15 02:08
→ JupIte:PS3因key被換,加密的資料來到PROXY(PC端)直接被解開來修改 02/15 02:14
→ Splash5:注意它需要刷憑證進去ps3這個步驟... 02/15 02:15
所以我說你又在給我雞同鴨講了,我也知道 PSN的私鑰未知,但我討論的重點是
我們設定的密碼在沒有經過hash的狀態就傳出去,所以 PSN主機方面拿私鑰一解
也可以得到未加密的結果,換句話說我們的密碼很可能是用未加密的形式存在主
機上,假設真是這樣,那會是一個很大的安全漏洞。我是不知道你是有意無意曲
解我的原意啦,密碼學是沒修過但資安我是有拿到學分的。
SSL本身的安全性是沒問題的,出問題的是在 SSL連線裡面傳的資料。比較安全
的作法是將明碼密碼hash後再用 SSL傳送,SONY沒有實做hash的部份,算了隨他
高興。
儘管如此,這種討論我還是很歡迎,真理本來就是越辨越明,連我這種業餘的人
都可以間看封包撈資料撈的這麼高興,比如說可以觀察討厭的跑馬燈廣告的抓取
路徑,然後直接封掉那台主機或是換上自己喜歡的跑馬燈字串,像是《曾國城:
哎喲不要再閃了就是那一張了,又沒打多大,放了啦放了啦!》
******
另外就是CA24.cer沒備份也無妨,反正只要下載最新版韌體用工具解開,也可以
取回,只是1 kb不到的檔案要下載180 MB才拿得回來,我覺得很累。
--
○ ____ _ _ _ _ ____ _ _ ____ _____ ____
。 ★(_ _)( \( )( \/ )( ___)( \( )(_ _)( _ )( _ \
o _)(_ ) ( \ / )__) ) ( )( )(_)( ) / ● ‧
(____)(_)\_) \/ (____)(_)\_) (__) (_____)(_)\_) ★
o
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.117.54.160
※ 編輯: cassine 來自: 122.117.54.160 (02/15 08:40)
→ kogrs:hash在client端做是沒意義的 沒帶個challenge 也是會被重送 02/15 09:16
→ kogrs:攻擊 ,hash 或是任何演算 在server端做才不會讓hacker知道 02/15 09:17
→ kogrs:其實這邊分兩點保護 一個是要防密碼被中間者攔截 一是防止系 02/15 09:19
→ kogrs:統端 不肖員工直接去資料庫撈密碼 保護的在做法上是不一樣的 02/15 09:20
→ cassine:樓上所言極是 02/15 09:33
→ cassine:另外就是CA24.cer本來就是一張過期的憑證,所以已經不能用 02/15 09:34
→ cassine:來連PSN,自然換掉對日後連線來說不至於有什麼太大影響 02/15 09:35
→ JupIte:推! 02/15 13:28
推 sayloveme:好奇cassine現實生活中的身分是啥阿 資工的學生嗎 02/15 14:37
→ sayloveme:每次來踢館的都被cassine打臉 02/15 14:37
推 ainigi:之前有問過電磁學的問題,這個只有那幾個科系會讀到XDDD 02/15 19:37
→ Splash5:重點是在於這個方法的大前提是要寫得進flash... 02/15 20:24
→ Splash5:你要不要看一下在可以寫進flash前作了哪些事情... 02/15 20:24
→ Splash5:我要講的點其實很簡單 所有的加密跟簽證都有個大前提 02/15 20:29
→ Splash5:你把那個大前提拿掉了再來討論安全不安全 是本末倒置的事 02/15 20:30
→ cassine:好啦我知道你要說因為原本有加密,所以安全,然後我是說現 02/15 20:44
→ cassine:在沒了加密,所以連帶連線也不安全,這並不矛盾啊,前提不 02/15 20:45
→ cassine:同啊,我知道你想說什麼但那並不是我想討論的OK 02/15 20:46