: 推 readper:我一直都不是负责公关的阿 哈 05/08 16:56 : 推 readper:今天我没盗图 也没做啥对不起社会大众的事情 05/08 17:05 : → readper:用强硬的态度巩固自己应有的东西 会太过分吗? 05/08 17:06 : → readper:我也没在认证系统程式码里面储存玩家的GGC帐密阿 05/08 17:06 : → readper:麦子大说他是为了让YCGM知道这种认证方式会有这个问题 05/08 17:07 : → readper:感谢各位圣人 当你们被打的时候请记得感谢他打你 05/08 17:09 : → readper:不过我个人 做不到这点 05/08 17:09 这份程式码也没有什麽不可告人的秘密。我把程式码放在下面： http://sitos.myweb.hinet.net/index.php 因为写的时候是 UTF-8 编码的，如果直接用浏览器看，记得调整一下设定。 其实关於这份程式码的细节我已经记不太清楚了， 依照还留在 WarCraft 板上 YouCantGetME 的文章(#16M-n4Vj)来看， 这个程式码完工应该是在前年五月二十九号以前的事情了，也... 太久了。 我不是百分之百确定 readper 看到的和我现在放的这份是不是一模一样， 但应该是不会差太多才是，反正大概就是这个功能。 而 readper 提到「在认证系统程式码里面储存玩家的GGC帐密」， 就是在这份程式码里面 fprintf 的地方。 这个程式可以让使用者选择要输入 password 的明码或是经过 md5 hash 的结果。 如果使用者是输入明码，会有一个警告是希望使用者要修改自己的密码。 如果是输入 md5 的话，这个程式就只看得到 md5 ，看不到原始的密码。 原本我想要再加上一段 javascript ，使得使用者就算输入明码， 也会先在本地端作完 md5 hash 再传出来，这样这个程式就不会看到明码了。 不过当时 YouCantGetME 是说先不用那麽麻烦，会动就好了。 所以就把这份程式码交出去了，後来也就懒得再去弄这个东西了。 在 YouCantGetME 的文章里面已经有很明白地提到帐号密码外泄的问题， 如果我没记错，当时公开的网址应该是 YouCantGetME 在维护， 不是透过我这边在弄的，所以就算有人透过这个系统认证， 他的帐号密码也是存在 YouCantGetME 看得到的地方，不是我看得到的地方。 我当时有记到的密码，应该测试时 YouCantGetME 的密码而已，当然也早就删掉了。 所以，如果我印象没有错的话。我应该没有透过这个程式取得协助测试的人以外的密码， 如果当时有人用了架在我家电脑的这个系统(不是架在 YouCantGetME 那边喔)， 导致帐号有出现异常的状况，可以告诉我，并且很合理地怀疑我。 再者，以当时的情况，我非常欠缺取得他人帐号密码的动机， 因为当时的 GGC 还没有付费服务，帐号随便申请都会通过， 并没有某一个帐号比其它帐号更有价值的情况，我自己都有帐号， 我为什麽要去取得别人的帐号? 用别人的帐号玩也不会比较厉害。 而当时的 GGC 还处於防护很弱的状态，等级与使用者名称都可以自己改， 实在也没有必要去取得特定帐号的使用权。 另外，技术上就算没有在程式码「储存」收到的密码，也可以另外用别的方式监看， 会使用这个系统，就表示送出去的东西有被纪录的可能， 这一点 YouCantGetME 在文章里面也已经清楚地说出来，并没有隐匿。 作为服务的提供者，本来就一定会经手使用者上传的资讯， 不论有没有储存纪录，都不应该将这些资讯挪作服务以外的其它用途。 在这里既然说是验证帐号，这个资讯就只会被用在验证帐号。 我认为这是一种信任关系，如果不信任我或 YouCantGetME ， 就应该避免使用这个系统来保护自己的帐号。 话说， YouCantGetME 你还记不记得当时程式到底是架在你的电脑还我的电脑? 我记得应该是在你那边，因为好像还多了一些跟 EsM 帐号相关的东西，不是我弄的。 -- 活着的目的是为主活 然後为主死 死亡的目的是为主死 然後为主活 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.31.132