神魔的安全性算是近期来最烂的,
正确来说毫无安全性
就妳你绑了fb,twitter,...任何不知道你绑定的帐号密码,一样可以轻松的使用妳的帐号,
然后做一些有趣的事情,
因为神魔唯一的认证是一组隐藏的密码,
这组隐藏的密码不会因为你绑定FB或这改FB密码就跟着变.
一旦任何人拿到这组隐藏密码,就可以当妳帐号,不管妳怎么改~
所以强烈建议不要公开环境WIFI里面玩神魔,或者谨慎使用ROOT或JB的软件
※ 引述《alice50734 (Alice)》之铭言：
: 我是绑facebook玩的
: 也没有其他人知道我的facebook密码呀～
: 但是刚才想打水灵魂赐福
: 却发现有人把我的轮回和水灵魂赐福都打完了！><
: 超难过的：（

纳自己可以知道这组密码吗= =？

第一次看到这个...

照这样推论应该懂程式的人就能..

隐藏密码不能改 别人拿掉就会变成妳

比较想知道原PO讯息的来源 不然会被当作...恩

观察他的存盘就知道了

想要知道更细节我可以说明 妳懂coding的话我说明妳才听的懂喔

那算了ˊ_>ˋ 我相信你

不然之前板上有个人首抽几万个 他是怎么管理帐号的:P

的确是如此 网络上文章一堆 都说小心wifi连线 神魔的连线是没有加密的@@

是gpc大

跟我想得差不多 真不愧是gpc大

到现在4.51板 还是走HTTP阿 明文传输 超厉害 都不知道MH再想什

之前就有人转贴过文章说了

推 公开WIFI本身也没有加密传输 根本就超容易撷取到

或许能出个踢出所有装置 或许能改善一些被重复登入的帐号

MH只有关卡有简单加密而已其他，我昨天就发一篇了，唉

#1IilDOIo 文内的部落格请详阅

那没有用 只要改不了那组隐藏密码 谁手里有密码谁就能登入

gpc大说的，看来真的要小心点了

与其说隐藏密码，到不如说是游戏自己设的密码，毕竟要向FB

我只能说那组隐藏密码不用本科系都可以撷出来，够简单吧

真的..就不要给别人知道帐号跟自求多福了XD

不过绑twitter的不用担心，FB才需注意

然后作为神魔的认证密码，那当然你FB怎改都无效

twitter也一样喔 神魔认证的方法是一样的:P

不那组隐藏CODE是要由FB漏洞形成，推特大可放心

好像是因为http 所以才衍生出一堆东西??

绑什么都一样的 你在公开的wifi玩 厉害一点的都可以盗

基本上都一样，除非游戏商和社群帐号有关，不然普通拿不到社群帐号的游戏商，密码当然得自己创。那如果有关联的话，

我都可以登进别人绑TWITTER的帐号的说 我根本不知道他绑什

那变成要小心社群把你的帐密外泄给了游戏商，当然会加密就是了。

把神魔档案完整看过就会知推特不用太担心

但还是解的出来

感觉是被人用封包盗帐号了 最近好像常看到 某论坛也有在讨论

妳知道现在那些专业到帐号的都不是用APP了吗

你们说的我半句都没看懂

那些东西我都有只是碍于版规不能细讲而已，某float

那用需帐密登入的WIFI 危险性也很大吗??例如学校的WIFI

fb access token?

那就不会吧 楼下补充

登入跟本不需要FB_ACCESS_TOKEN

连我和那几个小鲁蛇都搞的出来了，MH真的要检讨一下

可是我不太懂盗这个几乎是单机的游戏干嘛...

没有利润利益支持 规模不会影响到什么玩家更因为没有加密 破了也没成就感 愉快犯的机率也低

盗版是其次，光登入都可能登错帐号，就知道问题了

你怎么想不到会有人想干走别人的帐号全部卖商店也爽

屁孩删卡都可以上新闻了 被盗有什么好意外

我就说了 屁还删卡是能删多少次还不腻? 影响规模的问题

这不是什么会影响很大众的东西 MH当然把优先级放在后面

想听解说

很大吧 光是抽完丢到平台 还有 是你的被砍你会?

当然这公司这处理很烂 但这种利益极大化做的就台湾模式XD

考量公司处理问题的时候 怎么会从一个玩家的角度出发...

我只是说 这问题可以很严重 但是规模只会很小 他们不会理

说中文好吗 阿鬼

问题深度很深 但是广度很窄 这样看得懂吗?

公会系统出来 搞不好反而成了盗帐号的诱因(笑)

只要卡片 金钱 魔法石不能交易，恶意盗帐号应该还好 反之.

要是以后MH脑袋被雷打到开放交易就..................

盗帐号还好? 假设你拿到一个不认识的人的帐号里面一堆石头 我想大部分的人还是自己先抽掉吧反正不是自己的石头 抽得好抽得差都没差

同样的 自己不敢卖卡片 拿别人的卖当然不痛不痒的

神魔就走http不肯走https = = 超级烂的

原PO说的那组密码 是指他的hash key?

楼上快中了

会长推推

所以神魔自己有先对自己送出的封包作加密吗? 如果没有的话是不是代表只要被窃听封包 就可以对你的帐号进行任何动作?

所以我只要用公开wifi就有可能被盗？

有那个危险性 就像是你钱直接放在桌上用很重的东西压住只要力气(技术)足够的人 就有办法干走他

那被别人登是不是会显示叫我重新登入之类…？

用干走好像不太对 应该说是操控 你自己access的权限不会变只是别人有办法用你的帐号作一些事情 详细可以做到什么事

我就不知道了

重新登入的判断不知道是建立在什么东西上面 不确定会不会显示这个

我猜不走https 可能是因为这样跟那些社群网站结合会有问题所以走http 其实应该是可以克服这块 只是现在他们没空而已

会有这种疑虑吗 FB自己也是走https啊

XD这样危险石油王还肯让我们有游戏玩Q_Q

会长推推

我发现是索拉卡耶

soraka你抓到重点了 神魔完全没有对封包做任何加密

恩我猜应该是UNIQUE那一串吧

我这样有违规吗有的话帮我马一下感谢

这漏洞也太大了吧= = 原本以为有认证机制应该还算安全

照理讲除了那组隐藏密码外，还要至少有身分验证

就好像什么会员都有帐号+密码 而不是只有密码

...与其说是密码 更像是uid

是会长大人!!! 推推 <(_ _)>

1.封包好像没加密 2.封包里面一些资料有经过hash3.隐藏UID被窃听了=拿到所有操纵权限

hash没用,仔细想想,妳可以用钛备份还原妳的帐号,表示

gpc大不仅是石油王，写的软件也是一流好用！！

可以归可以 但是宝物不能卖出 利益很小

他们不会花时间在不赚钱的生意

神人会长！推推！！

神魔工程师看到应该觉得台湾人猛到爆…

盗帐号不需要理由 中二生 小屁孩 无聊打发时间 卖卖妳的卡

抽抽妳的卡 并没有什么损失 反正香港公司 服务器在新加坡

妳报按警方只会跟妳说 这不是我们国内的东西 无能为力