VICTOR BRYTER LOVEN #3
Representanter for nylig lansert filoppbevaring og delingstjeneste Mega adresserte noen av de bekymringene som sikkerhetsforskere de siste dagene har oppdaget om områdets arkitektur og implementeringen av dens kryptografiske funksjoner.
Internett og den anklagede digitale forbryteren Kim Dotcom lanserte nylig Mega (kort for Mega Encrypted Global Access), som har 50 GB av fri lagring. Mega er bare en komponent av hva Dotcom og hans laghåp vil være en serie med online krypterte tjenester fra Mega Ltd., inkludert e-post, taleanrop, direktemeldinger og video-streaming.
I et blogginnlegg publisert tirsdag, anerkjente Mega-tjenestemenn at noen av sikkerhetsrisikoen påpekt av forskere er gyldige, men sa at brukerne allerede hadde blitt informert om noen av dem gjennom FAQ-delen (Ofte stilte spørsmål) på nettstedet. I andre tilfeller lovet de noen forbedringer.
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]Det har for eksempel vært påpekt at krypteringsnøklene generert av brukere under signatur- up-prosessen, og som senere brukes til å kryptere filene deres, krypteres ved hjelp av kontospassordet og lagres bare på Megas servere. Siden det ikke er noen passordgjenoppretting, vil brukerne miste muligheten til å dekryptere filene deres hvis de glemmer passordene sine, sa noen.
"Dette er riktig - den eneste nøkkelen MEGA må lagre på bruker siden er innloggingspassord, i brukerens hjerne, "sa Mega-tjenestemennene. "Dette passordet låser opp hovednøkkelen, som igjen låser opp filen / mappen / deling / private nøkler."
En mekanisme som tillater gjenoppretting av filer hvis passordet er glemt, vil bli implementert i nær fremtid, sa de. Dette vil inneholde et alternativ for å endre passordet og importere forhåndseksporterte filtaster for å gjenopprette de tilsvarende filene.
Sikkerhetsforskere bemerket også det faktum at hovedkrypteringsnøklene genereres inne i nettleseren ved påmelding ved hjelp av matte.avhengig JavaScript-funksjon og advart om at denne funksjonen ikke gjør en god jobb med å generere tilfeldige tall, noe som betyr at de resulterende nøklene kan være svake fra et kryptografisk synspunkt.
Som svar sa Mega-tjenestemenn at entropi-tilfeldighet- er lagt til ved å bruke data samlet fra brukerens mus og tastatur. "Vi vil imidlertid legge til en funksjon som tillater brukeren å legge til så mye entropi manuelt som han ser hensiktsmessig før han går videre til nøkkelgenerasjonen," sa de.
Mega-representantene forklarte også hvordan nettstedets JavaScript-verifikasjonssystem fungerer, bemerker at hoved HTTPS-serveren som bruker et SSL-sertifikat med en 2048-bit nøkkel, brukes til å verifisere integriteten til JavaScript-koden som vises fra sekundære HTTPS-servere som bruker sertifikater med 1024-biters nøkler. "Dette gjør oss i utgangspunktet vert for det ekstremt integritetsfølsomme statiske innholdet på et stort antall geografisk varierte servere uten å bekymre oss for sikkerhet," sa de.
En forsker ved navn Steve Thomas, kjent som "Sc00bz", fant tirsdag at linker som er inkludert i bekreftelsesemailene som sendes av Mega under kontoregistreringsprosessen, inneholder faktisk brukerens passord hash.
Thomas lanserte et verktøy som heter MegaCracker, som kan brukes til å trekke ut hashene fra slike koblinger og forsøke å knekke dem ved hjelp av et ordbokangrep.
Kommentering av verktøyets utgivelse, sa Mega-tjenestemenn at MegaCracker er "en utmerket påminnelse om ikke å bruke gjettbare / ordbokpassord, spesielt ikke hvis passordet ditt også fungerer som hovedkrypteringsnøkkelen til alle filene du lagrer på MEGA. "
Men de klarte ikke å ta opp spørsmålet om hvorfor kontobekreftelseskoblinger sendt via e-post inneholder brukerens passord hash i utgangspunktet. Den generelle teknikken som brukes av andre nettsteder, er å generere tilfeldige koder spesifikt for bekreftelseskoblinger.
For å forhindre potensielle angripere i å oppnå passord hash på et senere tidspunkt, bør brukerne trolig slette Mega-bekreftelsesmeldingen etter at de klikker på den medfølgende lenke og sette opp sine kontoer.
Vil Oracle være bra for Java-utviklere? Det er spørsmålet om alles hjerner i årets JavaOne-utviklerkonferanse, det siste showet før Oracles planlagte kjøp av Java-skaperen Sun Microsystems på 7,4 milliarder dollar. Oracle CEO Larry Ellison gjorde et overraskende utseende på showets åpningstangent i tirsdag og forsøkte å overvinne utviklerens bekymringer. Mens han antydet at det ville være noen endringer, sa han i hovedsak at det vil være forretning som vanlig for Java når oppkjøpet er avsluttet.
Men Oracle er ingen Sun. Sun har lenge slitt med å holde sitt mangfoldige samfunn av utviklere lykkelige, skape et byrdefullt byråkrati for å håndtere utviklingen av Java-standarder og gradvis frigjøre viktige komponenter på plattformen under en åpen kildekode lisens. Mens Sun har tjent penger fra Java-lisenser, har det gått glipp av store muligheter til å selge lukrative Java-utviklingsverktøy og mellomvare-servere.
På mandag avslørte spillutvikleren Larva Labs sine salgstall for sine Android-apper og klaget over at Google må gjøre noen endringer for å hjelpe utviklere til å forbedre sine prospekter. Den mistenker at Android Market sannsynligvis produserer langt mindre enn $ 5 millioner per måned, som estimert av AdMob-rapporten. Den samme rapporten anslår at iPhone-applikasjonsbutikken genererer 200 millioner dollar i måneden, hvor sannheten også har vært gjenstand for mye utviklerdebat.
Larva Labs knytter seg til et kor av utviklere, hvorav mange har lenge lurt på forandringer i måten Android Market fungerer i håp om å tjene mer fra sine applikasjoner.
Hvis du nylig har oppgradert skjermen og ser en delvis skjult oppgavelinje, sløret font, merkelig utseende og andre problemer med skjermen, vil du ikke være alene . Det skjer på Windows hvis du velger en høyere oppløsningskamera, og flytt fra en forholdsvis lavere en. Windows kan kanskje ikke oppdage den gjeldende skjermen, og det krever derfor at noen endringer gjøres for å fungere fint igjen.
Problemer etter flytting til Skjerm med høyere skjermoppløsning