小心！不要进入任何public game

poisonsoup

http://us.battle.net/d3/en/forum/topic/5149539239

玩家：一個facebook的朋友(他喜歡去一些破解視頻遊戲論壇)告訴我，現在有遊戲有一個漏洞，當你進入公共房間遊戲的時候，你的Session ID可被其他人復制，別人可以看到你的Session ID並欺騙服務器來登錄遊戲，且不需要密碼、郵件地址和其他任何東西。如果你和別人一起玩，別和不認識的人一起在公共房間玩。

snak3e

玩家：一個facebook的朋友(他喜歡去一些破解視頻遊戲論壇)告訴我，現在有遊戲有一個漏洞，當你進入公共 ...
poisonsoup 发表于 23-5-2012 01:19 AM

    幸好我从来不进public game

megablue

我中招了　

megablue

关于Session Hijacking 这里有比较确实的解释
http://freethoughtblogs.com/zing ... ssion-id-hijacking/

stnlysam

顶起，大家谨记。

金旦面

关于Session Hijacking 这里有比较确实的解释
megablue 发表于 2012-5-23 02:56

其實我有點不明白，hanshake不是client-server?
party c怎麼知道我的session id?
難道在public game的時候玩家之間有peer connection存在?

xi40ji3

幸好我从来不进public game
snak3e 发表于 23-5-2012 01:59 AM

幸好我只经常进snake的game

megablue

其實我有點不明白，hanshake不是client-server?
party c怎麼知道我的session id?
難道在public game的時 ...
金旦面 发表于 23-5-2012 09:49 AM

我觉得可能在数据加密设计上出现大意／懒惰的情况，把session id 用作其他的用途, 在pub game 无意间leaked给其他clients。


我就是在那天早上玩过一场pub之后当天晚上就中招了。


爆血现在一直赖玩家没网络安全意识。而且官方ToS列明，如果被骇的二次，就会永久被禁止使用RMAH.
http://www.battle.net/support/article/compromised-diablo-iii-account

金旦面

我觉得可能在数据加密设计上出现大意／懒惰的情况，把session id 用作其他的用途, 在pub game 无 ...
megablue 发表于 2012-5-23 10:41

Prevent Hacking這方面，從WoW開始都是在賴玩家。
用了Authenticator還會出問題那麼就是暴雪要負責。

poisonsoup

很多人中招了

dannytoh_1985

online game就是有机会中hack... :S
人家不是针对你来hack，而是直接hack battle.net的server... 刚好hack到什么account，就谁不好运...
很看运气下...

megablue

江夏

那个其他人的 session id 不懂是不是简单到开自己的 cache 或做个 memory dump 就能看到其他人的。。。

PhantomD

惨了@@我常常join public game

tamad3

我都是join game玩的

junclj

hack 就hack啦，敢敢来。我进到不进。

玩了这么久到现在还没被hack, 刚刚在我iPhone装了authenticator了。而且还开通sms alert。

新力爱力新

這麼不負責任的公司，我決定玩玩體驗版之後就不要買正版了～

ethanyap

我没join public game..可是想问，如果自己join进来我的游戏，都是我的fren list or my fren punya fren?

poisonsoup

只有fren list的人能quick join
除非你朋友invite别人

snak3e

幸好我只经常进snake的game
xi40ji3 发表于 23-5-2012 09:54 AM

   哇 那么你中hack的话 不是怪我