: 推 readper:我一直都不是負責公關的阿 哈 05/08 16:56 : 推 readper:今天我沒盜圖 也沒做啥對不起社會大眾的事情 05/08 17:05 : → readper:用強硬的態度鞏固自己應有的東西 會太過分嗎? 05/08 17:06 : → readper:我也沒在認證系統程式碼裡面儲存玩家的GGC帳密阿 05/08 17:06 : → readper:麥子大說他是為了讓YCGM知道這種認證方式會有這個問題 05/08 17:07 : → readper:感謝各位聖人 當你們被打的時候請記得感謝他打你 05/08 17:09 : → readper:不過我個人 做不到這點 05/08 17:09 這份程式碼也沒有什麼不可告人的秘密。我把程式碼放在下面： http://sitos.myweb.hinet.net/index.php 因為寫的時候是 UTF-8 編碼的，如果直接用瀏覽器看，記得調整一下設定。 其實關於這份程式碼的細節我已經記不太清楚了， 依照還留在 WarCraft 板上 YouCantGetME 的文章(#16M-n4Vj)來看， 這個程式碼完工應該是在前年五月二十九號以前的事情了，也... 太久了。 我不是百分之百確定 readper 看到的和我現在放的這份是不是一模一樣， 但應該是不會差太多才是，反正大概就是這個功能。 而 readper 提到「在認證系統程式碼裡面儲存玩家的GGC帳密」， 就是在這份程式碼裡面 fprintf 的地方。 這個程式可以讓使用者選擇要輸入 password 的明碼或是經過 md5 hash 的結果。 如果使用者是輸入明碼，會有一個警告是希望使用者要修改自己的密碼。 如果是輸入 md5 的話，這個程式就只看得到 md5 ，看不到原始的密碼。 原本我想要再加上一段 javascript ，使得使用者就算輸入明碼， 也會先在本地端作完 md5 hash 再傳出來，這樣這個程式就不會看到明碼了。 不過當時 YouCantGetME 是說先不用那麼麻煩，會動就好了。 所以就把這份程式碼交出去了，後來也就懶得再去弄這個東西了。 在 YouCantGetME 的文章裡面已經有很明白地提到帳號密碼外洩的問題， 如果我沒記錯，當時公開的網址應該是 YouCantGetME 在維護， 不是透過我這邊在弄的，所以就算有人透過這個系統認證， 他的帳號密碼也是存在 YouCantGetME 看得到的地方，不是我看得到的地方。 我當時有記到的密碼，應該測試時 YouCantGetME 的密碼而已，當然也早就刪掉了。 所以，如果我印象沒有錯的話。我應該沒有透過這個程式取得協助測試的人以外的密碼， 如果當時有人用了架在我家電腦的這個系統(不是架在 YouCantGetME 那邊喔)， 導致帳號有出現異常的狀況，可以告訴我，並且很合理地懷疑我。 再者，以當時的情況，我非常欠缺取得他人帳號密碼的動機， 因為當時的 GGC 還沒有付費服務，帳號隨便申請都會通過， 並沒有某一個帳號比其它帳號更有價值的情況，我自己都有帳號， 我為什麼要去取得別人的帳號? 用別人的帳號玩也不會比較厲害。 而當時的 GGC 還處於防護很弱的狀態，等級與使用者名稱都可以自己改， 實在也沒有必要去取得特定帳號的使用權。 另外，技術上就算沒有在程式碼「儲存」收到的密碼，也可以另外用別的方式監看， 會使用這個系統，就表示送出去的東西有被紀錄的可能， 這一點 YouCantGetME 在文章裡面也已經清楚地說出來，並沒有隱匿。 作為服務的提供者，本來就一定會經手使用者上傳的資訊， 不論有沒有儲存紀錄，都不應該將這些資訊挪作服務以外的其它用途。 在這裡既然說是驗證帳號，這個資訊就只會被用在驗證帳號。 我認為這是一種信任關係，如果不信任我或 YouCantGetME ， 就應該避免使用這個系統來保護自己的帳號。 話說， YouCantGetME 你還記不記得當時程式到底是架在你的電腦還我的電腦? 我記得應該是在你那邊，因為好像還多了一些跟 EsM 帳號相關的東西，不是我弄的。 -- 活著的目的是為主活 然後為主死 死亡的目的是為主死 然後為主活 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.31.132 > -------------------------------------------------------------------------- < 作者: YouCantGetME (高級攻城師) 看板: WarCraftChat 標題: Re: [閒聊] 一則小小的we恩怨 時間: Fri May 8 18:44:28 2009 : http://sitos.myweb.hinet.net/index.php 搞半天readper是說這個喔-..- 我把它當作設計師的惡趣味吧 好歹我也是個總攻城屍 扣掉一堆神秘的socket code 突然冒出一個fopen也是看的出來的 而且code放在我這邊 除非指定遠端檔案 不然也只有我看的到 麥兄喜歡用強調突顯問題的方式去"督促"對方修正 當然是出自於好意 不然他就不會在網頁末強調使用網頁去編碼再傳送 直接傳明碼會經過網路 有被駭的可能(by 邪惡YC) 用Javascript在本機編好過再傳就很安全 當然有人不諒解這種作法啦 如果好好說沒用 手段就會激烈點 這我能體諒的啦 因為我也常來這套XD 我是信奉"生於安樂 死於憂患"的類型 要破壞才會有進步啊 ( ￣ c￣)y▂ξ 恩...個人覺得 烤鴨好油 不能多吃 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.84.143.12 相關文章附件 > -------------------------------------------------------------------------- < 作者: YouCantGetME (資工特級香腸攤) 看板: WarCraft 標題: Re: [公告] 各處ptt鄉民聚集登錄處轉移至各管理網站 時間: Tue May 29 17:02:59 2007 這東西我做的 就我來解釋吧= = 他原本是要用在2個VIP頻道上面的 因為GGC本身管理功能的貧弱 我特地寫了這個東西來輔助管理 希望能減少管理員人為的影響 跟迅速有效的處分 他與GGC是完全平行獨立運作的系統 這兩者本身互不影響 唯一的關聯就是管理員跟玩家 還有申請時候的帳密檢查 如果去掉這些 他跟GGC一點關係都沒有 由於一開始是ESM為主要管理 所以要申請ESM帳號密碼 這點很抱歉 這是第一道門檻 第二道 GGC帳號檢查 我之前跟sitos談到這個系統的時候 說到確認ESM與GGC帳號對應的真實性將是個大問題 我們熱血的麥兄一個晚上就把GGC封包分析 完成用php產生模擬GGC登入檢查 這個檢查對系統的正確與實行有非常重大的影響 不過傳送時是明碼 而且是主機端來作MD5編碼動作 所以有心人的確可以把帳號密碼都錄下來 麥兄是還特地保留直接傳送 md5編碼過的密碼 功能 所以主機端只會收到編碼後的密碼 除非用暴力去解 不然是沒辦法輕易得知明碼 我跟麥子對你們的帳號都沒什麼興趣啦= =... 如果有興趣可以跟他要code 第三道 ptt帳號檢查 這個是移給ptt頻道用之後才加的 本來建議是用鄉民以推文po出自己的GGC ID來作認證 不過仲生好像覺得這樣還是很麻煩...自動程度大幅下降 現在僅供參考 so...有沒有勇者要寫個ptt驗證XD 系統簡介 登入以後可以看到玩家名單跟頻道密碼 還有評價 申請通過可以看到頻道密碼 這個頻道密碼預設是每天都會亂數產生的 管理員也可以看心情跟有空的時間改密碼 評價系統就是希望把黑名單制度自動化 數據跟實行方式就請ptt版友們研究吧 我現在只是先做好但沒有設計相關的機制 被停權的人就沒辦法進去看密碼 well 這是一個防君子不防小人的系統 所以我沒預計要用在VIP以外的頻道上面 我相信版友的平均素質與水準 可以讓這系統好好發揮 這邊可能還要跟大家說個抱歉 眾多的壓力 時間越來越不夠用 所以我只能把半成品丟出來 等我把約戰寫好後 會把code整理一下丟給仲生 請熱血鄉民們補完 這跟pvpgn結合就是真的很不錯的系統了 只是受限於我的"服務單位" 我不能直接作這事情XD 歡迎大家討論系統的錯誤與可以實作的功能 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.127.165.185