Schweizer Auswanderer | Kanada, Florida, Senegal, Belize | Auf und davon – Das Jubiläum | SRF DOK
Vertreter des neu gestarteten Dateispeicher- und -freigabeservices Mega ging auf einige Bedenken ein, die von Sicherheitsforschern in den letzten Tagen über die Architektur der Site und die Implementierung ihrer kryptographischen Funktionen aufgeworfen wurden.
Das Internet und der angeklagte digitale Gesetzlose Kim Dotcom haben kürzlich Mega (kurz für Mega Encrypted Global Access) mit 50 GB veröffentlicht von freiem Speicherplatz. Mega ist nur eine Komponente dessen, was Dotcom und sein Team hoffen werden, eine Suite von Online-verschlüsselten Diensten von Mega Ltd. einschließlich E-Mail, Sprachanrufe, Instant Messaging und Video-Streaming.
In einem Blog-Post veröffentlicht am Dienstag, Mega-Beamten anerkannt Einige der Sicherheitsrisiken, die von den Forschern aufgezeigt wurden, sind gültig, aber die Benutzer wurden bereits über den FAQ-Bereich (Frequently Asked Questions) auf der Website informiert. Bei anderen Problemen versprachen sie einige Verbesserungen.
[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]Beispielsweise wurde darauf hingewiesen, dass die von Benutzern während der Signierung generierten Verschlüsselungsschlüssel up-Prozess, die später zum Verschlüsseln ihrer Dateien verwendet werden, werden mit dem Account-Passwort verschlüsselt und nur auf Megas Servern gespeichert. Da es keine Passwortwiederherstellung gibt, verlieren Benutzer die Fähigkeit, ihre Dateien zu entschlüsseln, wenn sie ihre Passwörter vergessen, sagten einige Leute.
"Das ist richtig - der einzige Schlüssel, den MEGA auf der Benutzerseite speichern muss, ist der Login-Passwort, im Gehirn des Benutzers ", sagten die Mega-Beamten. "Dieses Passwort entsperrt den Hauptschlüssel, der wiederum die Datei / Ordner / share / private keys freischaltet."
Jedoch wird in naher Zukunft ein Mechanismus implementiert, der die Wiederherstellung von Dateien ermöglicht, falls das Passwort vergessen wird, Sie sagten. Dazu gehört auch die Möglichkeit, das Passwort zu ändern und vorexportierte Dateischlüssel zu importieren, um die entsprechenden Dateien wiederherzustellen.
Sicherheitsforscher stellten auch fest, dass die Hauptverschlüsselungsschlüssel bei der Anmeldung mithilfe der Mathematik im Browser generiert werden.Random JavaScript-Funktion und warnte, dass diese Funktion keine gute Arbeit der Generierung von Zufallszahlen, was bedeutet, dass die resultierenden Schlüssel aus einer kryptografischen Sicht möglicherweise schwach sein können.
Als Reaktion darauf, sagte die Mega-Beamten, dass Entropie-Zufälligkeit- wird hinzugefügt, indem Daten verwendet werden, die von der Maus und der Tastatur des Benutzers gesammelt werden. "Wir werden jedoch eine Funktion hinzufügen, die es dem Benutzer erlaubt, so viel Entropie manuell hinzuzufügen, wie er für richtig hält, bevor er zur Schlüsselgenerierung übergeht", sagten sie.
Die Mega-Repräsentanten erklärten auch, wie das JavaScript-Verifizierungssystem funktioniert. Beachten Sie, dass der HTTPS-Hauptserver, der ein SSL-Zertifikat mit einem 2048-Bit-Schlüssel verwendet, zur Überprüfung der Integrität des von sekundären HTTPS-Servern mit Zertifikaten mit 1024-Bit-Schlüsseln gelieferten JavaScript-Codes verwendet wird. "Dies ermöglicht uns im Grunde, den äußerst integunitätssensitiven statischen Inhalt auf einer großen Anzahl von geographisch unterschiedlichen Servern zu hosten, ohne sich um die Sicherheit kümmern zu müssen", sagten sie.
Ein Forscher namens Steve Thomas, online bekannt als "Sc00bz", fand diesen Dienstag Links, die in den Bestätigungs-E-Mails von Mega während der Kontoregistrierung enthalten sind, enthalten den Passwort-Hash des Nutzers.
Thomas hat ein Tool namens MegaCracker veröffentlicht, mit dem man die Hashes aus solchen Links extrahieren und mit einem Wörterbuchangriff knacken kann.
Die Mega-Offiziellen kommentierten die Veröffentlichung des Tools und sagten, dass MegaCracker "eine ausgezeichnete Erinnerung ist, keine erratbaren / Wörterbuch-Passwörter zu verwenden, insbesondere nicht, wenn Ihr Passwort auch als Hauptverschlüsselungsschlüssel für alle Dateien auf MEGA dient. "
Sie haben sich jedoch nicht mit der Frage beschäftigt, warum Konto-Bestätigungs-Links, die per E-Mail gesendet werden, in erster Linie den Passwort-Hash des Benutzers enthalten. Die allgemeine Technik, die von anderen Websites verwendet wird, besteht darin, zufällige Codes speziell für Bestätigungslinks zu generieren.
Um zu verhindern, dass potentielle Angreifer zu einem späteren Zeitpunkt ihren Passwort-Hash erhalten, sollten Benutzer die Mega-Bestätigungs-E-Mail löschen, nachdem sie auf das mitgelieferte geklickt haben Verknüpfen und richten Sie ihre Konten ein.
ISP reagiert auf Bedenken des Gesetzgebers zum Anzeigen-Tracking
Embarq, ein ISP aus Kansas, hat keine Pläne, einen umstrittenen zielgerichteten Anzeigenservice von NebuAd einzuführen .
Chinas ZTE findet einige positive in Sicherheitsbedenken, will Marke zu steigern
Chinesische Handy-Hersteller ZTE legte einen positiven Spin auf die jüngsten US-Untersuchung seiner Netzwerk-Geschäft, mit der Begründung, dass die Kontroverse zumindest gab das Unternehmen einige Publizität und Bekanntheitsgrad.
Outlook reagiert nicht, funktioniert nicht mehr, reagiert nicht mehr oder hängt
Wenn Sie feststellen, dass Ihr Outlook nicht mehr funktioniert, reagiert nicht Wenn Sie feststellen, dass Ihr Outlook nicht mehr funktioniert, nicht mehr reagiert oder unter Windows 10/8 / hängt oder nicht mehr reagiert, 7, dann schlägt dieser Beitrag einige Schritte zur Problembehandlung vor, die Sie ausprobieren können. Es ist zwar immer eine gute Idee, Outlook von Zeit zu Zeit zu optimieren und zu beschleunigen, aber dieses Problem tritt möglicherweise irgendwann auf.