作者UzInSec (影帝)
看板FATE_GO
标题Re: [心得] 台版帐号安全性(误会一场)
时间Fri Nov 2 17:52:04 2018
刚刚测试...
的确有办法用旧装置偷偷登入改过密码的帐号
装置A(输入帐密登入前 PS:图中帐号随便打当例子)
https://i.imgur.com/u6Qhqfm.png
装置B(登入後但没进游戏)
https://i.imgur.com/ibNY2Nh.jpg
装置C(进入游戏後)
https://i.imgur.com/XR0vm0Q.jpg
更改密码後
装置A预设的旧帐密会无法登入
使用装置D登入帐号
装置C会被踢下线,(画面正常但只要有连到伺服器的动作就会跳异常)
但是装置B却不会有事,在点一下画面就进入游戏!!!
(不过必须保持在这个画面)
也就是说上一个帐号持有者把画面停留在装置B
就能偷偷进入改过密码+用新装置游玩的帐号
不过要保持画面也蛮不容易的...有更新或重进游戏都会变成装置A情况
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.150.208.77
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/FATE_GO/M.1541152328.A.B51.html
1F:推 SKTP: 废话,检查帐密在那个画面之前阿== 11/02 17:56
问题是用新装置登入後
不能把这个画面的踢下线
※ 编辑: UzInSec (118.150.208.77), 11/02/2018 17:57:25
2F:推 rafale9108: 刚刚试完也再想B的可能,但刻意维持B来等盗帐号... 11/02 17:58
3F:→ rafale9108: 还要猜中这个帐号刚好这时候是你想陷害的状态... 11/02 17:58
4F:推 orze04: B就已经验证完了啊 11/02 17:59
B和C都验证完 但是C会被踢下线 B不会
※ 编辑: UzInSec (118.150.208.77), 11/02/2018 18:01:03
5F:推 PRACEMAKER: 你的跟上一篇矛盾耶 他可以同帐号登两个不会被踢掉说 11/02 18:03
6F:→ PRACEMAKER: 你是都安卓或都IOS登是吗 11/02 18:03
要有做连线的动作才会显示被踢掉(进关 召唤 商店买卖 好友新增或删除)
※ 编辑: UzInSec (118.150.208.77), 11/02/2018 18:06:01
7F:推 a0975765320: 要一直维持在b画面应该是不可能吧 11/02 18:06
8F:→ a0975765320: 改版、手机关机就没了 11/02 18:06
9F:推 KiSeigi: 卡在登入完成和进入游戏中间? 11/02 18:11
10F:推 KiSeigi: 真的这样搞,凶手也够执着的.....如果他忍不住登进去发现 11/02 18:13
11F:→ KiSeigi: 没有目标,应该就没第二次机会了?放着会被原使用者挤掉 11/02 18:13
12F:→ KiSeigi: ,出去也无法再通过密码检核 11/02 18:13
13F:→ KiSeigi: 还是说用这方法进去的不会被挤?(一个安卓一个ios之类 11/02 18:14
14F:→ KiSeigi: 的) 11/02 18:14
15F:→ KiSeigi: 原来真的会被挤 11/02 18:15
16F:→ WhiteScars: 如果是用模拟器说不定可以? 11/02 19:12
17F:→ methodho: B帐登入就登入啊,登入之後下一次跟server沟通时就会被 11/02 19:16
18F:→ methodho: 踢了,下一次的沟通点看fgo设计,通常是抽卡、删卡、开 11/02 19:16
19F:→ methodho: 关卡、取好友资讯等重要的动作 11/02 19:16
20F:→ sm02188612: 要看怎麽设计的 也有可能登入後做动作也不会被踢 要 11/02 19:43
21F:→ sm02188612: 测看看 11/02 19:43
22F:→ sm02188612: 还是文中括号写要保持在这画面就是登入後不能继续动作 11/02 19:48
23F:→ sm02188612: ? 不过,照C情况推估,B继续动作而被踢的机率很大 11/02 19:48
装置D进入游戏的那瞬间会把游戏中的其他装置踢掉
但B还没进入游戏所以不会被踢掉.反而装置B进入游戏会把游玩中的装置D给踢掉
除非再重登一次装置D把装置B给踢掉.
不过这段时间很可能会被卖卡
24F:推 methodho: Fgo既然支援多台机器共用帐号,防资料後盖前是最基本的 11/02 20:16
25F:→ methodho: ,不然大家都来洗抽卡了,所以合理推测B帐下次跟server 11/02 20:16
26F:→ methodho: 沟通时会因资料过时被踢回登入,登入时会因为密码错误 11/02 20:16
27F:→ methodho: 而无法登入 11/02 20:16
※ 编辑: UzInSec (118.150.208.77), 11/02/2018 20:33:08
28F:→ rafale9108: 所以B和C装置都可以停在登入後的首页,但一有连接伺服 11/02 21:02
29F:→ rafale9108: 器的动作就会被踢掉了 11/02 21:02
30F:→ rafale9108: 这样应该不可能有人可以再改密码後用原登入装置再登入 11/02 21:03
31F:→ rafale9108: 了 11/02 21:03
32F:→ rafale9108: 抱歉!没看到推文,居然是B可以把D踢掉 11/02 21:04
33F:→ rafale9108: 但维持状态B实在难度太高了吧,不能关app不能闪退 11/02 21:06
34F:→ sm02188612: 所以有测过B的情况能进行相关操作吗 刷关 卖卡等 11/02 22:07
可以喔
35F:→ KiSeigi: B先卡着 D进去操作(抽卡)之类的 B把D踢掉 B应该会直接在D 11/02 22:25
36F:→ KiSeigi: 的世界线(不然会有洗抽卡问题) 应该也能继续抽下去? 11/02 22:26
D抽卡当下 资料传给伺服器
B进入游戏 连接伺服器 (会有D抽卡後的资料&纪录B装置)
D在进行其他连线操作 (伺服器发现装置不同显示异常并回主画面)
※ 编辑: UzInSec (118.150.208.77), 11/02/2018 22:36:42
37F:→ sm02188612: 用世界线来比喻反而复杂而且奇怪。现在是每做牵涉到 11/02 22:46
38F:→ sm02188612: 伺服器端资料的操作时,都要跟伺服器验一次身份资讯, 11/02 22:46
39F:→ sm02188612: 原本看C的情况以为验的资讯中有牵涉到用密码所形成的 11/02 22:47
40F:→ sm02188612: 资讯,没想到 11/02 22:47
41F:→ sm02188612: 觉得如果b情况能正常操作的话,极可能存在安全疑虑, 11/02 22:55
42F:→ sm02188612: 虽然一般认为要卡在那画面是不太可能,但可以把卡在 11/02 22:55
43F:→ sm02188612: 那画面想成一种资料状态,而那资料有可能是能被保存下 11/02 22:55
44F:→ sm02188612: 来的且复原的,毕竟没人会认为那些科技号是像一般流程 11/02 22:55
45F:→ sm02188612: 这样开游戏来刷帐号的吧 11/02 22:55
46F:→ KiSeigi: 所以B是取得连线的权限但没真的连到伺服器的资料? 11/02 23:46
47F:→ KiSeigi: 资料部分应该不会被复原? 毕竟资料是存在营运方,手机内 11/02 23:46
48F:→ KiSeigi: 的和营运不同应该会被置换成营运的(避免玩家修改造成不公 11/02 23:47
49F:→ sm02188612: 如果这篇测试为真,那B跟D是没两样的,即只要取得B卡 11/02 23:51
50F:→ sm02188612: 在那画面的状态,就能无视密码新旧而正常使用帐号 11/02 23:51
51F:→ KiSeigi: 但如果D又重登会把B挤掉 B想在重登会因为密码错误进不了 11/02 23:54
52F:→ sm02188612: 但就像上面提的那状态其实也只是一种电子资讯,只要他 11/02 23:57
53F:→ sm02188612: 曾制造出这资讯状态,那就有可能可以再造还原,不过没 11/02 23:57
54F:→ sm02188612: 实际研究过fgo的封包 只能说有机会 11/02 23:57
55F:→ KiSeigi: 真的这样就满可怕的 不管改不改密码都能跳过帐密验证 11/02 23:59