神魔的安全性算是近期來最爛的,
正確來說毫無安全性
就妳你綁了fb,twitter,...任何不知道你綁定的帳號密碼,一樣可以輕鬆的使用妳的帳號,
然後做一些有趣的事情,
因為神魔唯一的認證是一組隱藏的密碼,
這組隱藏的密碼不會因為你綁定FB或這改FB密碼就跟著變.
一旦任何人拿到這組隱藏密碼,就可以當妳帳號,不管妳怎麼改~
所以強烈建議不要公開環境WIFI裡面玩神魔,或者謹慎使用ROOT或JB的軟體
※ 引述《alice50734 (Alice)》之銘言：
: 我是綁facebook玩的
: 也沒有其他人知道我的facebook密碼呀～
: 但是剛才想打水靈魂賜福
: 卻發現有人把我的輪迴和水靈魂賜福都打完了！><
: 超難過的：（

納自己可以知道這組密碼嗎= =？

第一次看到這個...

照這樣推論應該懂程式的人就能..

隱藏密碼不能改 別人拿掉就會變成妳

比較想知道原PO訊息的來源 不然會被當作...恩

觀察他的存檔就知道了

想要知道更細節我可以說明 妳懂coding的話我說明妳才聽的懂喔

那算了ˊ_>ˋ 我相信你

不然之前板上有個人首抽幾萬個 他是怎麼管理帳號的:P

的確是如此 網路上文章一堆 都說小心wifi連線 神魔的連線是沒有加密的@@

是gpc大

跟我想得差不多 真不愧是gpc大

到現在4.51板 還是走HTTP阿 明文傳輸 超厲害 都不知道MH再想什

之前就有人轉貼過文章說了

推 公開WIFI本身也沒有加密傳輸 根本就超容易擷取到

或許能出個踢出所有裝置 或許能改善一些被重複登入的帳號

MH只有關卡有簡單加密而已其他，我昨天就發一篇了，唉

#1IilDOIo 文內的部落格請詳閱

那沒有用 只要改不了那組隱藏密碼 誰手裡有密碼誰就能登入

gpc大說的，看來真的要小心點了

與其說隱藏密碼，到不如說是遊戲自己設的密碼，畢竟要向FB

我只能說那組隱藏密碼不用本科系都可以擷出來，夠簡單吧

真的..就不要給別人知道帳號跟自求多福了XD

不過綁twitter的不用擔心，FB才需注意

然後作為神魔的認證密碼，那當然你FB怎改都無效

twitter也一樣喔 神魔認證的方法是一樣的:P

不那組隱藏CODE是要由FB漏洞形成，推特大可放心

好像是因為http 所以才衍生出一堆東西??

綁甚麼都一樣的 你在公開的wifi玩 厲害一點的都可以盜

基本上都一樣，除非遊戲商和社群帳號有關，不然普通拿不到社群帳號的遊戲商，密碼當然得自己創。那如果有關聯的話，

我都可以登進別人綁TWITTER的帳號的說 我根本不知道他綁什

那變成要小心社群把你的帳密外洩給了遊戲商，當然會加密就是了。

把神魔檔案完整看過就會知推特不用太擔心

但還是解的出來

感覺是被人用封包盜帳號了 最近好像常看到 某論壇也有在討論

妳知道現在那些專業到帳號的都不是用APP了嗎

你們說的我半句都沒看懂

那些東西我都有只是礙於版規不能細講而已，某float

那用需帳密登入的WIFI 危險性也很大嗎??例如學校的WIFI

fb access token?

那就不會吧 樓下補充

登入跟本不需要FB_ACCESS_TOKEN

連我和那幾個小魯蛇都搞的出來了，MH真的要檢討一下

可是我不太懂盜這個幾乎是單機的遊戲幹嘛...

沒有利潤利益支持 規模不會影響到什麼玩家更因為沒有加密 破了也沒成就感 愉快犯的機率也低

盜版是其次，光登入都可能登錯帳號，就知道問題了

你怎麼想不到會有人想幹走別人的帳號全部賣商店也爽

屁孩刪卡都可以上新聞了 被盜有什麼好意外

我就說了 屁還刪卡是能刪多少次還不膩? 影響規模的問題

這不是什麼會影響很大眾的東西 MH當然把優先順序放在後面

想聽解說

很大吧 光是抽完丟到平台 還有 是你的被砍你會?

當然這公司這處理很爛 但這種利益極大化做的就台灣模式XD

考量公司處理問題的時候 怎麼會從一個玩家的角度出發...

我只是說 這問題可以很嚴重 但是規模只會很小 他們不會理

說中文好嗎 阿鬼

問題深度很深 但是廣度很窄 這樣看得懂嗎?

公會系統出來 搞不好反而成了盜帳號的誘因(笑)

只要卡片 金錢 魔法石不能交易，惡意盜帳號應該還好 反之.

要是以後MH腦袋被雷打到開放交易就..................

盜帳號還好? 假設你拿到一個不認識的人的帳號裡面一堆石頭 我想大部分的人還是自己先抽掉吧反正不是自己的石頭 抽得好抽得差都沒差

同樣的 自己不敢賣卡片 拿別人的賣當然不痛不癢的

神魔就走http不肯走https = = 超級爛的

原PO說的那組密碼 是指他的hash key?

樓上快中了

會長推推

所以神魔自己有先對自己送出的封包作加密嗎? 如果沒有的話是不是代表只要被竊聽封包 就可以對你的帳號進行任何動作?

所以我只要用公開wifi就有可能被盜？

有那個危險性 就像是你錢直接放在桌上用很重的東西壓住只要力氣(技術)足夠的人 就有辦法幹走他

那被別人登是不是會顯示叫我重新登入之類…？

用幹走好像不太對 應該說是操控 你自己access的權限不會變只是別人有辦法用你的帳號作一些事情 詳細可以做到什麼事

我就不知道了

重新登入的判斷不知道是建立在什麼東西上面 不確定會不會顯示這個

我猜不走https 可能是因為這樣跟那些社群網站結合會有問題所以走http 其實應該是可以克服這塊 只是現在他們沒空而已

會有這種疑慮嗎 FB自己也是走https啊

XD這樣危險石油王還肯讓我們有遊戲玩Q_Q

會長推推

我發現是索拉卡耶

soraka你抓到重點了 神魔完全沒有對封包做任何加密

恩我猜應該是UNIQUE那一串吧

我這樣有違規嗎有的話幫我馬一下感謝

這漏洞也太大了吧= = 原本以為有認證機制應該還算安全

照理講除了那組隱藏密碼外，還要至少有身分驗證

就好像什麼會員都有帳號+密碼 而不是只有密碼

...與其說是密碼 更像是uid

是會長大人!!! 推推 <(_ _)>

1.封包好像沒加密 2.封包裡面一些資料有經過hash3.隱藏UID被竊聽了=拿到所有操縱權限

hash沒用,仔細想想,妳可以用鈦備份還原妳的帳號,表示

gpc大不僅是石油王，寫的軟體也是一流好用！！

可以歸可以 但是寶物不能賣出 利益很小

他們不會花時間在不賺錢的生意

神人會長！推推！！

神魔工程師看到應該覺得台灣人猛到爆…

盜帳號不需要理由 中二生 小屁孩 無聊打發時間 賣賣妳的卡

抽抽妳的卡 並沒有甚麼損失 反正香港公司 伺服器在新加坡

妳報按警方只會跟妳說 這不是我們國內的東西 無能為力