SSL 证书检查问题

[litwak913]

检查项

• 我已在 Issues 页面 和 常见&难检反馈及问题列表 中搜索，确认了这一 Bug 未被提交过。

描述

PCL2 启动器有一个关于 SSL 证书检查的安全问题，不会验证 SSL 证书的有效性。

具体可以见 Application.xaml.vb 的 第 119 行：

PCL2/Plain Craft Launcher 2/Application.xaml.vb

Line 119 in 037e6b1

ServicePointManager.ServerCertificateValidationCallback = New Security.RemoteCertificateValidationCallback(Function() As Boolean

这就意味着，一旦有人尝试进行中间人攻击去获取 Minecraft 登录凭据，那么 PCL2 将不会显示任何与 SSL 证书有关的警告。
理论上还可以做到获取外置登录服务的 accessToken ，下载时替换文件，修改内容等，影响较大。

重现步骤

使用 mitmproxy 或其他工具开启一个代理抓包，并且不安装自签名证书。
个人编写了一个辅助 poc 用于测试，配合 mitmdump 使用。
https://gist.github.com/litwak913/9b11e0306e19e4b6c6aa0dddaf655fe0

获取 accessToken 和 UUID 信息

插入 Profile JSON 内容

日志与附件

Log1.txt

[LTCatt]

由于修复可能导致难以预计的网络问题，等到下下个版本在快照版尝试修复

[litwak913]

由于修复可能导致难以预计的网络问题，等到下下个版本在快照版尝试修复

主要是哪些网络问题？是为了兼容旧的系统环境还是？

[LTCatt]

之前是因为 Mojang 还是哪个第三方的 https 有问题，才加的这玩意儿，已经忘了……

[litwak913]

64E9-8D3D-F90A-8B9F

[LTCatt]

你的解锁码：0NKMUpo74v8w+rvsu93HihqQHXDpO0mM
在 更多 → 关于与鸣谢 → 输入解锁码 中使用，谢谢支持～