Autre HASH_FUNCTION ,c'est quoi cette daube?

[Labo]

Je comprends quand même pas un truc : Comment ils peuvent utiliser des infos pareilles dans le hash ?
Il leur faudrait pouvoir contrôler ces infos, donc ils devraient transmettre ailleurs des infos comme System.totalMemory.

 

[BlueDream]

Cela fait partie de leur classe Random et ils y ont bien évidemment accès.
Sorrow avait réussi a éteindre un ordinateur avec le RawDataMessage, alors pourquoi n'aurait-il pas accès aux variables systèmes.

 

[Labo]

Ouais c'est sûr...
Enfin c'est quand même une violation de la vie privée ! Faudrait vérifier si c'est marqué dans les CGU !

 

[zahid98]

Certainement oui , car ils prendront pas le risque pour une seule phrase .

 

[BlueDream]

Ca n'y est pas, j'ai vérifié.

 

[Labo]

Faudrait vérifier si c'est bien envoyé par le RDM !
Parce qu'en effet, comme dit Zahid, il prendraient pas le risque pour une ligne que personne ne lit.

 

[BlueDream]

En tout cas ce qui est sur c'est que cette sécurité est plus une ouverture qu'autre chose et c'est facilement exploitable par les serveurs privés.
Au niveau de la loi je ne suis pas sur que cela doit forcément apparaître dans la CGU mais Ankama devrait au moins informé les utilisateurs de cette faille.
Un utilisateur lambda ne risque rien tant qu'il ne se connecte pas à un serveur privé donc il faut voir aussi de quelle manière Ankama voit la chose.

Et oui c'est bel est bien envoyé via le Hash, je peux vous l'assurer.

 

[Sparkdaemon]

C'est une faille. Et c'est sale.
Si j'ai bien compris, cette information est utilisée pour générer le hash c'est ça ?

 

[BlueDream]

Le hash récupère des informations systèmes mais le RawDataMessage laisse un controle total de l'ordinateur par le serveur.

 

[Labo]

Ouais, mais c'est quand même sécurisé par une signature RSA !
Donc à moins de hooker la connexion dès le début, il est impossible pour des pirates d'exploiter cette faille.

 

[BlueDream]

La signature est bidon et facilement contournable.

 

[Labo]

Euh... Je crois qu'on ne parle pas de la même signature !
D'après mes souvenirs, la V1 est bidon, mais la V2 est pas du tout bidon...

 

[Sorrow]

Cela fait partie de leur classe Random et ils y ont bien évidemment accès.
Sorrow avait réussi a éteindre un ordinateur avec le RawDataMessage, alors pourquoi n'aurait-il pas accès aux variables systèmes.

On peu tout faire avec le RDM, je peux récupéré les mots de passe Chrome et Firefox de toute les joueurs de mon serveur privé si je veux, leur faire faire un BSOD, récupérée les fichier Ankama Shield pour piraté leurs comptes officiel, voir plus encore si Dofus est exécuter en tant qu'administrateur (genre installer des virus).

Bref, un gouffre en sécurité le RDM.

 

[Labo]

Euh attends les mdp Chrome et firefox, ça marche pas si ils sont protégés par un mdp ?
Rappelle-moi de ne jamais aller sur ton serveur privé ^^

 

[Sorrow]

Effectivement, si tu protège ta banque de mots de passe par un autre mot de passe, celle-ci est chiffré, donc illisible.