The Story of Tetris | Gaming Historian
Rappresentanti del nuovo servizio di archiviazione e condivisione di file Mega ha affrontato alcune delle preoccupazioni sollevate dai ricercatori della sicurezza nei giorni scorsi sull'architettura del sito e sull'implementazione delle sue funzionalità crittografiche.
Internet e il fuorilegge accusato dal digitale Kim Dotcom hanno recentemente lanciato Mega (abbreviazione di Mega Encrypted Global Access), che presenta 50 GB di spazio gratuito. Mega è solo una componente di ciò che Dotcom e il suo team sperano possa essere una suite di servizi crittografati online di Mega Ltd. tra cui posta elettronica, chiamate vocali, messaggistica istantanea e streaming video.
In un post pubblicato martedì, i funzionari di Mega hanno riconosciuto che alcuni dei rischi per la sicurezza evidenziati dai ricercatori sono validi, ma ha affermato che gli utenti sono già stati informati su alcuni di essi attraverso la sezione delle domande frequenti (FAQ) del sito web. Nel caso di altri problemi, hanno promesso alcuni miglioramenti.
[Ulteriori letture: Come rimuovere malware dal PC Windows]Ad esempio, è stato sottolineato che le chiavi di crittografia generate dagli utenti durante la firma processo in corso e che vengono successivamente utilizzati per crittografare i loro file, vengono crittografati utilizzando la password dell'account e vengono memorizzati solo sui server di Mega. Dato che non esiste una funzione di recupero della password, gli utenti perderanno la possibilità di decifrare i loro file se dimenticano le loro password, alcune persone hanno detto.
"Questo è corretto-l'unica chiave che MEGA richiede di essere memorizzata sul lato utente è login password, nel cervello dell'utente ", hanno detto i funzionari Mega. "Questa password sblocca la chiave principale, che a sua volta sblocca il file / cartella / condivisione / chiavi private."
Tuttavia, un meccanismo che consentirà il recupero dei file nel caso in cui la password venga dimenticata verrà implementato nel prossimo futuro, loro hanno detto. Questo includerà un'opzione per cambiare la password e importare i file pre-esportati per recuperare i file corrispondenti.
I ricercatori di sicurezza hanno anche notato che le chiavi di crittografia master sono generate all'interno del browser al momento dell'iscrizione usando la matematica.random JavaScript funzione e ha avvertito che questa funzione non fa un buon lavoro di generazione di numeri casuali, il che significa che le chiavi risultanti potrebbero essere deboli da un punto di vista crittografico.
In risposta, i funzionari Mega hanno detto che l'entropia-casualità- viene aggiunto utilizzando i dati raccolti dal mouse e dalla tastiera dell'utente. "Tuttavia, aggiungeremo una funzionalità che consente all'utente di aggiungere manualmente più entropia come meglio crede prima di procedere alla generazione della chiave", hanno affermato.
I rappresentanti di Mega hanno anche chiarito come funziona il sistema di verifica JavaScript del sito, rilevando che il server HTTPS principale che utilizza un certificato SSL con una chiave a 2048 bit viene utilizzato per verificare l'integrità del codice JavaScript offerto dai server HTTPS secondari che utilizzano certificati con chiavi a 1024 bit. "In pratica, questo ci consente di ospitare contenuti statici estremamente sensibili sull'integrità su un gran numero di server geograficamente diversi senza preoccuparci della sicurezza", hanno affermato.
Un ricercatore di nome Steve Thomas, noto online come "Sc00bz", ha scoperto martedì che i collegamenti inclusi nelle e-mail di conferma inviate da Mega durante il processo di registrazione dell'account contengono effettivamente l'hash della password dell'utente.
Thomas ha rilasciato uno strumento chiamato MegaCracker che può essere utilizzato per estrarre gli hash da tali collegamenti e tentare di craccarli utilizzando un attacco dizionario
Commentando il rilascio dello strumento, i funzionari di Mega hanno detto che MegaCracker è "un eccellente promemoria per non usare le password indovinate / del dizionario, in particolare se la password serve anche come chiave di crittografia master per tutti i file archiviati su MEGA. "
Tuttavia, non sono riusciti a rispondere alla domanda sul perché i link di conferma dell'account inviati via e-mail contengano l'hash della password dell'utente in primo luogo. La tecnica generale utilizzata da altri siti Web è quella di generare codici casuali appositamente per i link di conferma.
Al fine di impedire a potenziali aggressori di ottenere l'hash della password in un secondo momento, gli utenti dovrebbero probabilmente eliminare l'e-mail di conferma Mega dopo aver fatto clic sul link e imposta i loro account.
Sicurezza, sicurezza, più sicurezza
Le notizie sulla sicurezza hanno dominato questa settimana, e questo sarà indubbiamente il caso anche la prossima settimana, con Black Hat e Defcon ...
La ZTE cinese trova alcuni aspetti positivi nei problemi di sicurezza, vuole potenziare il marchio
Il produttore di telefoni cellulari cinese ZTE ha dato una svolta positiva al recente Il controllo degli Stati Uniti sulle sue attività di networking, affermando che la controversia almeno ha dato alla compagnia un po 'di pubblicità e riconoscimento dei nomi.
Risoluzione dei problemi di Internet Explorer Correzione per IE in esecuzione lentamente, problemi di sicurezza
Risoluzione dei problemi di Internet Explorer Correggere. Internet Explorer si blocca o si blocca frequentemente? Microsoft Automated Troubleshooting Service ha rilasciato una soluzione Fix It per diagnosticare automaticamente e risolvere il problema.