ガンホーへのメールを自分から晒すスレ
[187:173-174,176,185,186 (03/04/17 14:18 ID:+qk3Cbt0)]
ごめんなさい。185の名前欄が"73-174"になってた・・・
"1"の入れ忘れです。
[188:178 (03/04/17 15:00 ID:lzB+eEQQ)]
>>185
> 当然そのWebページは社外から見られない様にアクセス制限されているが、アクセス制限
> の設定が間違っている場合、社外から見られてしまう(=操作される)」
> という解釈で正解でしょうか?
間違ってると一言で言っても、チェックボックス一つとかそういうレベルの話じゃないし、
そもそも恐らく開発と管理引っくるめて外注の業者がやってるだろうから、杞憂だと思う。
と言うかこの手のセキュリティホールを心配してたらきりがない…
webサーバの穴なんてしょっちゅう見つかってるし。
ぶっちゃけ、完璧に安全なサービスなんて存在しないよ。
> >台湾の流出時は鯖パッチ鯖(の中身)にWindowsのadminパスワードが載ってたからプロ
> >グラム自体が流出・・・(と想像できる)
> adminパスワードってWindowsサーバーの大元のパスワードですよね? 管理者権限という
> 奴だと思うのですが。
> つまり「Windowsのadminパスワードが外部から見えてはいけない場所に載っていた為に、
> プログラムが流出」?
あくまで想像に過ぎない。
個人的には、流出はソーシャルハッキングだと思う。つまり、内部から流した奴がいる。
台湾の技術者ってこのへんのモラルが低いというイメージがある。偏見かも知れんけど。
> という事は「個人情報を管理しているサーバーはゲームシステムとは別」の告知自体が
> 既に嘘?!
> nLoginというデータベースが外部から抜き取られてしまったら、個人情報もアトラクシ
> ョンID・パスワードも全部知られてしまう訳ですよね?
いや、DBにその項目があるというだけで、そこにチケットセンタで入力したデータが入っ
ているのかどうかは分からない。
βテスト時に入力した情報がそのまま残っている可能性もあるし、消去されている可能性
もある。確率は低いが、チケットセンタの情報がご丁寧にコピーされているかも知れない。
(項目からして全然違うから、ないとは思うが)
ただし、アトラクションIDとパスワード、メールアドレスに関しては確実にそこにある。
ログインサーバが侵入を受ければこれらの情報が盗まれる可能性はある。
[189:178 (03/04/17 15:05 ID:lzB+eEQQ)]
つづき。
怖いのは分かるが、どこかに入力した情報は、常に第三者に抜き取られる可能性がある、
ということを理解した方がいい。繰り返すが絶対に安全なサービスなどはない。
で、ゲームシステムが脆弱だとしても、そこに氏名だのクレジット番号だのが
格納されている「理由は」ない。
ゲームと切り離されたチケットセンタに脆弱性があった場合は危険だが、
それはGMアナウンスを乗っ取るのとは全く次元の違う話。
ゲームの運営が杜撰であることと、顧客情報の保護は無関係だが会社の体質としては
関係あるかも、という程度の危機感を持ってれば十分かと。
まぁ、仮にも顧客情報のDBに侵入したりしたらリアル人生BANされるけどね。
そうそうあることじゃないかと。(だからと言って杜撰でもいいわけじゃないが)
[190:(^ー^*)ノ〜さん (03/04/17 16:50 ID:JngxgHgy)]
>> adminパスワードってWindowsサーバーの大元のパスワードですよね? 管理者権限という
>> 奴だと思うのですが。
>> つまり「Windowsのadminパスワードが外部から見えてはいけない場所に載っていた為に、
>> プログラムが流出」?
>あくまで想像に過ぎない。
>個人的には、流出はソーシャルハッキングだと思う。つまり、内部から流した奴がいる。
ん〜と後期に出たセット(Server.rar)のCharacter\passwd.txtの日付が他のファイルと同じって事は
鯖パッチ鯖から落とせたと言うことになる
このファイルが同じ日付のCharacter.exeで使われてないから
OS自体のパスワードと考えて間違いないと思う(ポート塞がれて実際に出来ないけどね)
鯖パッチ自体も差分ではなく(マップデータ以外の)フルセットで当てる時がある
*(日本ではないが)実際にzone鯖にマップデータ以外のフルセットが当たってる
インターネットに繋がってる以上完璧は無いよ
パスワードも2日間に1回は変更した方がいい
[191:(^ー^*)ノ〜さん (03/04/17 17:18 ID:JngxgHgy)]
>>173の
>ユーザー様の個人情報を管理させて頂いているサーバーは、ゲームシステムとは別のシステムとなっており、クラッカーによる攻撃を許しておらず、ご安心頂ける状況となっております。
もしラグナロクのゲームDBパスワードが流出しても
ガンホーアカウントを管理してるDBはパスワードが別だから安全と言ってるらしい
ラグナロクのゲームDBのパスワードは流出済み(5文字ですた)
中国・台湾は3文字
日本は5文字
韓国は空白文字入りの12文字
完全になめられてます
〜exe内にDBパスワード入れるのやめれ
と重力社にメール出した方がいいかも
[192:(^ー^*)ノ〜さん (03/04/17 23:07 ID:lzB+eEQQ)]
>>191
> もしラグナロクのゲームDBパスワードが流出しても
> ガンホーアカウントを管理してるDBはパスワードが別だから安全と言ってるらしい
パスワードだけじゃないっしょ。物理的に外からアクセスできないようになっているはず。
少なくとも常識的な三層クラサバだったらそう設計する。
つーか「パスワード抜かれたらおしまい」ってのはセキュリティとは言えないぞ。
まぁ抜かれたら相当にまずいのは確かだが。
> 〜exe内にDBパスワード入れるのやめれ
> と重力社にメール出した方がいいかも
「デフォルトの」パスワードが埋め込まれてるだけでしょ?
デフォルトから変更すれば問題ないはず。
と言うか普通は「パスワード」がどっかに見れる状態で保存してあることなんてないんだがな。
(一般的には、パスワードは不可逆暗号化して保存し、入力されたパスワードを同じ方法で
暗号化して比較する。暗号化された文字列からパスワードは復元できない。
ゆえに、内部のどこを探ってもパスワードは出てこないのが普通)
まぁ重力は色々ヌルいからあり得ないとは言わんけど。
[193:(^ー^*)ノ〜さん (03/04/18 08:46 ID:mPkCK/SB)]
>>192
>(一般的には、パスワードは不可逆暗号化して保存し、入力されたパスワードを同じ方法で
>暗号化して比較する。暗号化された文字列からパスワードは復元できない。
これは鯖側がやることです
SQL鯖のクライアントであるアカウント鯖・キャラクター鯖・ゾーン鯖は生のパスワードが必要です
暗号化して入れれば問題ないんだろうけどな
流出した鯖が3文字のパスワードと言うのに疑問もっていたんだが
exe内みたらそのままあったよ
>物理的に外からアクセスできないようになっているはず。
直にはアクセス不可能だが
GMツール(http〜)として使ってる鯖を踏み台にすれば可能
DBがあるであろうIPアドレスはルーターでフィルタかかってる
[194:(^ー^*)ノ〜さん (03/04/18 11:15 ID:FqzAan+7)]
> >>192
> SQL鯖のクライアントであるアカウント鯖・キャラクター鯖・ゾーン鯖は生のパスワード
> が必要です
ああ、なるほど。確かにゲームサーバは生のパスワードを持ってなきゃならんな。
まぁ完全に内部的な処理だから、直接レジストリなり設定ファイルなりを覗かれない限り
漏れることはないだろうが。
> 直にはアクセス不可能だが
> GMツール(http〜)として使ってる鯖を踏み台にすれば可能
> DBがあるであろうIPアドレスはルーターでフィルタかかってる
ソース(略
プロービングでもしたですか。一応プロービングも法的措置の対象だから気を付けてな。
一言で踏み台と言うが、外からDBにアクセスして中身を取り出すためには、
直接SQLのポートを叩くか、外部から操作できるアプリケーションが必要。
チケットセンタのDBを直接操作する必要があるのは(あるとすれば)癌社内だけだから、
そこからのアクセスしかできないようになってると思う。
GMツールのあるwebサーバをリモート操作するってこと?あるいはトロイでも仕込むか。
普通はその手のクリティカルな経路は、IPで縛るだけじゃなくてVPNとかなんかするが。
[195:(^ー^*)ノ〜さん (03/04/18 11:35 ID:mPkCK/SB)]
>>194
>GMツールのあるwebサーバをリモート操作するってこと?
その通り
web鯖をリモート操作でSQL鯖のインポート・エクスポートウィザード使えば内部から外部へ持ち出せる
>直接レジストリなり設定ファイルなりを覗かれない限り
>漏れることはないだろうが。
191の
>〜exe内にDBパスワード入れるのやめれ
>と重力社にメール出した方がいいかも
設定ファイルにパスワード入れようものなら漏れる
実際に鯖パッチ鯖から落ちてきてる
鯖パッチから漏れないようにするならレジストリだろうな
[196:(^ー^*)ノ〜さん (03/04/18 13:13 ID:FqzAan+7)]
> >>194
> >GMツールのあるwebサーバをリモート操作するってこと?
> その通り
> web鯖をリモート操作でSQL鯖のインポート・エクスポートウィザード使えば
> 内部から外部へ持ち出せる
Terminal Serverだかなんだかでコンソール乗っ取られたら、って話だろ?
ROとはもはや何の関係もないな。
あり得ないとは言わんがね。そんなこと気にしてると禿げるぜ。
> 設定ファイルにパスワード入れようものなら漏れる
> 実際に鯖パッチ鯖から落ちてきてる
パッチから漏れたってのは実行ファイルのバイナリに埋め込まれてたパスワードだろ。
ハードコーディングで変更できないとかいうキチガイな仕様じゃない限り、
変更後のパスワードが流出するはずがないだろ。
なんかこう、まるで見てきたみたいに言うけどどこまで事実でどこから憶測なん?
read.cgi ver5.26 + n2 (02/10/01)