LYRICAL:Vaaste Song | Dhvani Bhanushali, Tanishk Bagchi | Nikhil D | Bhushan Kumar |Radhika , Vinay
Uusien tiedostojen varastointi- ja jakamispalvelujen edustajat Mega käsitteli joitain viime päivinä turvallisuustieteilijöiden esille tuomaa huolenaiheita sivuston arkkitehtuurista ja salausominaisuuksien toteuttamisesta.
Internet ja syytetty digitaalinen laittomuus Kim Dotcom hiljattain käynnisti Mega (lyhyt Mega Encrypted Global Access), joka sisältää 50 Gt: n vapaa varastointi. Mega on vain yksi osa siitä, mitä Dotcom ja hänen ryhmänsä toivovat olevan joukko Mega Ltd: n online-salattuja palveluita, mukaan lukien sähköposti, äänipuhelut, pikaviestit ja videovirta.
Mega-virkamiehet tunnustivat tiistaina julkaistussa blogiviestissä että jotkut tutkijoiden esiin tuomista turvallisuusriskeistä ovat päteviä, mutta totesivat, että käyttäjistä oli jo ilmoitettu joistakin niistä verkkosivuston usein kysyttyjen kysymysten osiossa. Muissa asioissa he lupasivat parannuksia.
[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]
Esimerkiksi on huomautettu, että käyttäjien generoimat salausavaimet sign- ja niitä käytetään myöhemmin salakirjoittamaan tiedostojaan, salataan salasanalla ja säilytetään vain Megan palvelimilla. Koska salasanan palautusominaisuutena ei ole, käyttäjät menettävät mahdollisuuden purkaa tiedostojaan, jos he unohtavat salasanansa, jotkut sanovat.
"Tämä on oikein - ainoa avain, jota MEGA vaatii käyttäjän sivulle tallentamista varten, on kirjautumissalasana, käyttäjän aivoissa ", Mega-virkamiehet sanoivat. "Tämä salasana avaa pääavain, joka puolestaan vapauttaa tiedoston / kansion / osuuden / yksityiset avaimet."
Järjestelmä, joka mahdollistaa tiedostojen palauttamisen salasanan unohtamisen yhteydessä, toteutetaan lähitulevaisuudessa, he sanoivat. Tämä sisältää vaihtoehdon vaihtaa salasanan ja tuoda esiasetetut tiedostonäppäimet palauttamaan vastaavat tiedostot.
Turvallisuustutkijat huomasivat myös, että master-salausavaimet syntyvät selaimen sisällä kirjautumisessa matematiikan avulla.random JavaScript-toiminto ja varoitti, että tämä toiminto ei tee hyvää työtä satunnaislukujen tuottamiseen, mikä tarkoittaa, että tuloksena olevat avaimet saattavat olla heikkoja kryptografisesta näkökulmasta.
Vastauksena Mega-virkamiehet sanoivat, että entropia-satunnaisuus- lisätään käyttämällä käyttäjän hiirestä ja näppäimistöstä kerättyjä tietoja. "Me kuitenkin lisäämme ominaisuuden, jonka avulla käyttäjä voi lisätä niin entropian manuaalisesti kuin hän näkee sopivaksi ennen siirtymistä avaintuotantoon", he sanoivat.
Megan edustajat selvittivät myös, kuinka sivuston JavaScript-vahvistusjärjestelmä toimii, että tärkein HTTPS-palvelin, joka käyttää SSAR-sertifikaattia 2048-bittisellä avaimella, varmistaa, että toissijaisista HTTPS-palvelimista palvelevat JavaScript-koodin eheys käyttävät sertifikaatteja 1024-bittisellä avaimella. "Tämä pohjimmiltaan mahdollistaa meidät isännöimään äärimmäisen kosketuksettomasti herkän staattisen sisällön monilla maantieteellisesti monipuolisilla palvelimilla, ei huolestu turvallisuudesta", he sanoivat.
Steve Thomasin tutkija, joka tunnetaan verkossa "Sc00bz", todettiin tiistaina Megan lähettämässä vahvistusviestissä olevat linkit, jotka sisältyvät tilin rekisteröintiin, sisältävät tosiasiallisesti käyttäjän salasanan hash: n.
Thomas julkaisi MegaCracker-työkalun, jota voidaan käyttää purkamaan tällaisista linkkeistä ja yrittävät murtautua niitä käyttämällä sanakirjaskenttää.
MegaCracker kommentoi työkalun julkaisua, ja Mega-virkamiehet sanoivat, että MegaCracker on "erinomainen muistutus siitä, että ei käytetä arvaavaa / sanakirjasalasanaa, etenkään, jos salasanasi toimii myös master-salausavaimena kaikille MEGA: ssa tallennetuille tiedostoille. "
He eivät kuitenkaan käsittele kysymystä siitä, miksi sähköpostin kautta lähetetyt tilin vahvistuslinkit sisältävät ensisijaisesti käyttäjän salasanan hash. Muiden verkkosivustojen yleinen tekniikka on synnyttää satunnaisia koodeja nimenomaan vahvistuslinkkeihin.
Jotta potentiaaliset hyökkääjät eivät saisi salasanan hashia myöhemmin, käyttäjien on luultavasti poistettava Megan vahvistusviesti, kun he napsahtavat mukana toimitettuja linkittää ja luoda tilinsä.
Philips lupaa parempia mustia tasoja viimeisimmän LCD-television kanssa
Philipsin uusi LED-LUX-tekniikka lupaa mustan tason, joka kilpailee parhaiden plasmakokojen kanssa. on tuonut käyttöön LED LUX -tekniikan, joka lupaa mustat tasot, jotka kilpailevat parhaiden plasmasarjoiden kanssa, torstaina IFA-elektroniikan näytöllä.
Google on ärsyttänyt järjestelmänvalvojia, kun se teki muutoksia Google Appsin "Käynnistä" -portaalin sivuille antamatta heille tietoa siitä, että se oli ...
Google ärsytti ylläpitäjiä, kun se teki muutoksia Google Appsin "Aloita" -sivustosivuihin antamatta heille tietoja päivittää kyseisten sivujen ulkoasua ja toimivuutta. Jotkut järjestelmänvalvojat ilmoittivat keskustelufoorumissa, että heidät vihastuivat vihamielistä puheluista loppukäyttäjiltä, jotka eivät voineet käyttää Gmail-tilejä. Hieman kirkkaammassa huomassa Google raportoi hyviä neljännesvuosittaisia tuloja, samoin kuin IBM ja Intel, mutta siellä on runsaasti tilaa huolta nykyisestä
Vastaa kaikkiin Outlookin Muistutus PlugIn: Vastaa kaikki automaattisesti
Koodi kaksi Outlookin vastaus kaikkiin muistutuksiin on Microsoft Outlookin lisäosuus joka estää tärkeiden vastaanottajien ohittamisen sutomaisesti Vastaa kaikki.