Maintenances pour la semaine du 22 septembre:
· [TERMINÉ] Mégaserveurs NA pour maintenance : 22 septembre, 10h00 - 16h00 heure de Paris.
· [TERMINÉ] Mégaserveurs EU pour maintenance : 22 septembre, 10h00 - 16h00 heure de Paris.
· [TERMINÉ] Mégaserveurs NA pour maintenance : 22 septembre, 10h00 - 16h00 heure de Paris.
· [TERMINÉ] Mégaserveurs EU pour maintenance : 22 septembre, 10h00 - 16h00 heure de Paris.
Sérieusement, pas de cryptage lors de l'authentification ?
Bonsoir,
J'ai un peu fouiller les trame réseaux de votre serveur de connexion, juste pour m'assuré que mon compte etait sécuriser, et là surprise ?
Aucun cryptage lors de l'envois du password au serveur, n'importe quelle MMO de nos jours possède ceci.
Voici une exemple d'une requête envoyer au serveur :
email_address=test&password=test&realm_id=4001&device_id=EA15BA0616DB261A
DD9AA8F82EA5954A50799048D4B2F6F1A9B14B8DBB705AB491C9D47CC196194CEBE15AC17C6AB944
C7751AC6DC7874222B2380CADAF334EA&trusted_machine=1&language=fr
Pourrais-je avoir des détails sur cette méthode ?
J'ai un peu fouiller les trame réseaux de votre serveur de connexion, juste pour m'assuré que mon compte etait sécuriser, et là surprise ?
Aucun cryptage lors de l'envois du password au serveur, n'importe quelle MMO de nos jours possède ceci.
Voici une exemple d'une requête envoyer au serveur :
email_address=test&password=test&realm_id=4001&device_id=EA15BA0616DB261A
DD9AA8F82EA5954A50799048D4B2F6F1A9B14B8DBB705AB491C9D47CC196194CEBE15AC17C6AB944
C7751AC6DC7874222B2380CADAF334EA&trusted_machine=1&language=fr
Pourrais-je avoir des détails sur cette méthode ?
1
-
vuldorak✭C'est vrai que j'ai même pas pensé a vérifier avec un wireshark ... j'attend la suite avec impatience !
Merci de l'info0 -
Lina✭Rassurant quand on essaie d'imagine le nombre d'informations bancaires qui ont transité chez eux cette semaine... Faut espérer que pour cette partie là ils l'ont joué plus "safe"0
-
Eylith✭✭✭Outch, ça parait critique ça ! On pourrait avoir plus d'informations ?
Il serait peut-être intéressant de crée un topic équivalent dans la section "english".
edit: J'ai du mal à saisir :device_id=EA15BA0616DB261A
DD9AA8F82EA5954A50799048D4B2F6F1A9B14B8DBB705AB491C9D47CC196194CEBE15AC17C6AB944
C7751AC6DC7874222B2380CADAF334EA&trusted_machine=1
A supposer que le device ID soit un représentatif unique du PC, pourquoi est-ce qu'on enverrait "trusted_machine=1" juste après ? La vérification devrait pas se faire côté serveur ?
edit 2: J'ai crée un topic sur le support anglais, pour essayer d'accelerer les choses.
http://forums.elderscrollsonline.com/discussion/73028/no-encryption-over-auth-frame-network-monitoringEdited by Eylith on 8 April 2014 12:04PM"Discuter avec un troll, c’est comme essayer de jouer aux échecs avec un pigeon. Tu as beau être très fort aux échecs, il arrive, renverse les pièces, chie sur l’échiquier et s’en va avec l’air supérieur comme s’il avait gagné." - Anonyme0 -
Eylith✭✭✭D'après des tests d'anglophones, l'authentification se passe bien sur SSL sur le port 443. Aucun problème à priori donc."Discuter avec un troll, c’est comme essayer de jouer aux échecs avec un pigeon. Tu as beau être très fort aux échecs, il arrive, renverse les pièces, chie sur l’échiquier et s’en va avec l’air supérieur comme s’il avait gagné." - Anonyme0
-
ZOS_MichaelServotte✭✭✭✭✭
✭Alors que nous avons vu cette discussion apparaitre, après l’avoir fermée plus tôt dans la journée, nous l’avons directement envoyée à notre équipe de Sécurité. Je ne fais pas un spécialiste de la sécurité, et mon bagage technique est loin d’être suffisant ; pour cette raison je ne traduirai pas et vous fournirai uniquement un copier/coller de leur réponse concernant la question posée.
“The game authentication is over encrypted connections. At no time do the users' login details pass across the wire unencrypted. The login services for the game do not accept anything but secure connections.”
Toutefois, pour éviter toute désinformation ou spéculation autour de ce sujet, la discussion ne sera pas ré-ouverte.Edited by ZOS_MichaelServotte on 8 April 2014 8:18PM0
Cette discussion a été fermée.