Re: [閒聊] 一則小小的we恩怨

看板WarCraftChat作者sitos (麥子)時間15年前 (2009/05/08 18:13)推噓21(21推 0噓 9→)

留言30則, 23人參與討論串5/7 (看更多)

: 推 readper:我一直都不是負責公關的阿哈 05/08 16:56 : 推 readper:今天我沒盜圖也沒做啥對不起社會大眾的事情 05/08 17:05 : → readper:用強硬的態度鞏固自己應有的東西會太過分嗎? 05/08 17:06 : → readper:我也沒在認證系統程式碼裡面儲存玩家的GGC帳密阿 05/08 17:06 : → readper:麥子大說他是為了讓YCGM知道這種認證方式會有這個問題 05/08 17:07 : → readper:感謝各位聖人當你們被打的時候請記得感謝他打你 05/08 17:09 : → readper:不過我個人做不到這點 05/08 17:09 這份程式碼也沒有什麼不可告人的秘密。我把程式碼放在下面： http://sitos.myweb.hinet.net/index.php 因為寫的時候是 UTF-8 編碼的，如果直接用瀏覽器看，記得調整一下設定。其實關於這份程式碼的細節我已經記不太清楚了，依照還留在 WarCraft 板上 YouCantGetME 的文章(#16M-n4Vj)來看，這個程式碼完工應該是在前年五月二十九號以前的事情了，也... 太久了。我不是百分之百確定 readper 看到的和我現在放的這份是不是一模一樣，但應該是不會差太多才是，反正大概就是這個功能。而 readper 提到「在認證系統程式碼裡面儲存玩家的GGC帳密」，就是在這份程式碼裡面 fprintf 的地方。這個程式可以讓使用者選擇要輸入 password 的明碼或是經過 md5 hash 的結果。如果使用者是輸入明碼，會有一個警告是希望使用者要修改自己的密碼。如果是輸入 md5 的話，這個程式就只看得到 md5 ，看不到原始的密碼。原本我想要再加上一段 javascript ，使得使用者就算輸入明碼，也會先在本地端作完 md5 hash 再傳出來，這樣這個程式就不會看到明碼了。不過當時 YouCantGetME 是說先不用那麼麻煩，會動就好了。所以就把這份程式碼交出去了，後來也就懶得再去弄這個東西了。在 YouCantGetME 的文章裡面已經有很明白地提到帳號密碼外洩的問題，如果我沒記錯，當時公開的網址應該是 YouCantGetME 在維護，不是透過我這邊在弄的，所以就算有人透過這個系統認證，他的帳號密碼也是存在 YouCantGetME 看得到的地方，不是我看得到的地方。我當時有記到的密碼，應該測試時 YouCantGetME 的密碼而已，當然也早就刪掉了。所以，如果我印象沒有錯的話。我應該沒有透過這個程式取得協助測試的人以外的密碼，如果當時有人用了架在我家電腦的這個系統(不是架在 YouCantGetME 那邊喔)，導致帳號有出現異常的狀況，可以告訴我，並且很合理地懷疑我。再者，以當時的情況，我非常欠缺取得他人帳號密碼的動機，因為當時的 GGC 還沒有付費服務，帳號隨便申請都會通過，並沒有某一個帳號比其它帳號更有價值的情況，我自己都有帳號，我為什麼要去取得別人的帳號? 用別人的帳號玩也不會比較厲害。而當時的 GGC 還處於防護很弱的狀態，等級與使用者名稱都可以自己改，實在也沒有必要去取得特定帳號的使用權。另外，技術上就算沒有在程式碼「儲存」收到的密碼，也可以另外用別的方式監看，會使用這個系統，就表示送出去的東西有被紀錄的可能，這一點 YouCantGetME 在文章裡面也已經清楚地說出來，並沒有隱匿。作為服務的提供者，本來就一定會經手使用者上傳的資訊，不論有沒有儲存紀錄，都不應該將這些資訊挪作服務以外的其它用途。在這裡既然說是驗證帳號，這個資訊就只會被用在驗證帳號。我認為這是一種信任關係，如果不信任我或 YouCantGetME ，就應該避免使用這個系統來保護自己的帳號。話說， YouCantGetME 你還記不記得當時程式到底是架在你的電腦還我的電腦? 我記得應該是在你那邊，因為好像還多了一些跟 EsM 帳號相關的東西，不是我弄的。 -- 活著的目的是為主活然後為主死死亡的目的是為主死然後為主活 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.31.132

→

YouCantGetME

05/08 18:19, , 1^F

05/08 18:19, 1^F

→

sitos

05/08 18:20, , 2^F

05/08 18:20, 2^F

→

j33669

05/08 18:23, , 3^F

05/08 18:23, 3^F