转自a9，还未看。。
都说放心上就是了，密匙都拿了还怕个啥。。






本帖最后由 skygunner 于 2011-2-18 09:58 编辑


http://psx-scene.com/forums/f6/t ... someone-else-81200/
PS3研究人员SKFU在它的blog上讲了合法PSN用户也可能被BAN的问题，以及如何解BAN

X-Platform-Version: PS3 03.55
type=0&serviceid=SCEI-0&loginid=VrEa2uUV3s2hTgLj&password=BDFvcv2vQ2mGvxsJ&consoleid=YOUR_CONSOLE_ID

这是用以验证PSN登录所发送的信息，
包括PS3系统版本（这个已经用SSL代理法破掉）
用户名和密码
以及主机ID（可修改，但是貌似是白名单验证，所以你随便修改是没法通过的）

而现在我们都能任意修改所发送的信息了，包括PSN的购买验证信息，信用卡等

BAN的话现在看来都是BAN主机ID，而不是MAC或者IP啥的
所以只要换成SONY服务器中有效的ID就能解BAN，同样适用charles web debug proxy, 或者等fxxxPSN更新整合此功能

不要随便共享自己PS3上的文件给别人，尤其是dump的内存文件，包含你的ID

合法用户也有被BAN的风险
如果谁写个程序，来穷举ID，并且一一发送登录请求，同时使得发送的信息里伪装你在玩备份
那么一天内所有PSN用户得会被BAN掉
SONY得认真看看他们的渣PSN实现了


不要使用来历不明的PS3自制程序/DNS代理程序，想试试偷ID的木马么？

想到传输都是明文，记得341时期使用DNS来上3.42 PSN么
还好是知名人物，不然大家的ID和信用卡全部被套去了
所以不要使用网上别人提供的DNS，不要用

关于敏感信息，严格来说不是完全明文，而是使用https(SSL)
而内里是完全没加密，还没看见过哪个公司是传送信用卡连安全码都不加密的
SSL的话，你只要能弄个自定义的证书，比如charles web debug proxy/fxxxPSN,那么内容就是完全明文了等于
自定义CA证书的对伊SSL的风险很明显，SONY这样的大公司居然置之不理采用明文，对于庞大的PSN网络和用户群来说，
简直是犯罪啊
不过想想固件里返回随机数都能返回个固定值，也不觉得有什么奇怪了
鉴于PSN的服务器是公开的，现在传送的数据也都明了了，要是黑客开始大规模盗用信用卡，SONY恐怕要被大量官司缠身

敏感数据
Even if a connection is SSL encrypted, companies are aware of the big risk behind custom CA files and it's possibilities.
SONY seems not to care about those known vulnerabilities. It is a big company and a HUGE network. With huge we mean a
magnitude of hundreds and even thousands: the PSN utilizes thousands of servers, handled by a very small group of
administrators and quality assurance people. The IP ranges and domains of these servers are retrievable by anyone, cause
this is how the Internet works ! It is all public data and information !

An example is the credit card information and the login authentification itself. Take a look at the traffic:

信用卡信息只依靠https， 是明文，对于有CA证书的一方
creditCard.paymentMethodId=CC_COMPANY&
creditCard.holderName=EXAMPLENAME&
creditCard.cardNumber=1234567890123456&
creditCard.expireYear=2012&creditCard.expireMonth=2&
creditCard.securityCode=123&
creditCard.address.address1=EXAMPLESTREET%2024%20&creditCard.address.city=EXAMPLECITY%20&
creditCard.address.province=EXAMPLEREGION%20&
creditCard.address.postalCode=12345%20

The credit card information should ALWAYS be encrypted. In ANY case. At least the security code. SONY is only relying on
it's https connection. With all those CFWs spreading around, this is not secure anymore.

Same goes for the user details:
用户信息也是明文，对于有CA证书的一方

serviceid=IV0001-NPXS01001_00&
loginid=example@mail.com&
password=examplepassword&
first=true&
consoleid=EXAMPLEID123

Such sensitive data can now be captured by anyone who builds his own custom firmware with custom certificates. There
are enough n00b-friendly tools by now. Means, little scriptkiddies can spread their little CFWs and phish user data.
As many of these people are using a third party DNS, they are a potential victim of phishing.
At the beginning of the PS3 launch, this user data was even transferred over http !






~~~~~~~~~~~~~~
这psn真的蛮搞笑嘛。。。
只要商场敌手做个程序，例如什么软或那个啥堂。。嘿嘿。。psn就很快瘫痪了。。

[ 本帖最后由 倍舒爽 于 2011-2-18 17:12 编辑 ]

SSL加密连GFW都无能为力。

只要商场敌手做个程序，例如什么软或那个啥堂。。嘿嘿。。psn就很快瘫痪了。。

不排除SF为了陷害SONY以外的事物而自己下毒手……

合法用户也要悲剧????

话说在a9哪个区哦.没有看见啊

这有什么，XO的正版被办也不是一个2个的

posted by wap, platform: iPod (iTouch)

引用:

原帖由 @极品三红  于 2011-2-18 18:06 发表
这有什么，XO的正版被办也不是一个2个的

这逻辑挺有趣的，因为别人也杀过人，所以你也可以杀人是么？

不明白为什么能一直有人在支持这些黑客？对SONY幸灾乐祸.

SONY到底有什么得罪各位？

别扯啥软饭索饭，小孩才争这些，买几台主机啥烦恼都没有。

引用:

原帖由 hudihutian 于 2011-2-18 17:10 发表
SSL加密连GFW都无能为力。

中间人攻击听过没有
GFW没办法截听到SSL的内容？
真的很傻很天真，你以为cnnic拿那个根证书颁发资格是用来干吗的

SSL不是万能的，不要将这种东西神化

posted by wap, platform: iPhone

我很同意8楼

posted by wap, platform: SonyEricsson

一个提供服务的平台，飞要被破来破去。

等破完全了再玩PS3，反正现在上面也没啥好玩的

引用:

原帖由 碎南瓜 于 2011-2-19 10:16 发表
等破完全了再玩PS3，反正现在上面也没啥好玩的

没玩就知道没啥好玩的了

引用:

原帖由 HRF 于 2011-2-19 10:26 发表

没玩就知道没啥好玩的了

别人就是没玩就觉得不好玩，憋死你

引用:

原帖由 co3 于 2011-2-19 10:38 发表

别人就是没玩就觉得不好玩，憋死你

来帮我了:D