The Great Gildersleeve: Jolly Boys Election / Marjorie's Shower / Gildy's Blade
Az újonnan indított fájlmegőrző és -megosztási szolgáltatás képviselői Mega az elmúlt napokban a biztonsági kutatók által felvetett aggodalmakkal foglalkozott a site architektúrájával és a kriptográfiai jellemzőinek megvalósításával kapcsolatban.
Az internet és a vádlott digitális bűnüldözés A Kim Dotcom nemrég elindította a Mega (Short for Mega Encrypted Global Access) 50 GB-os a szabad tárolás. A Mega csak egy része annak, amit a Dotcom és csapata remélni fog egy sor online titkosított szolgáltatásnak a Mega Ltd.-től, beleértve az e-maileket, hanghívásokat, azonnali üzenetküldést és video streaminget.
Mega tisztviselők elismerték a kedden közzétett blogbejegyzést hogy a kutatók által felhozott biztonsági kockázatok közül néhány érvényes, de azt mondta, hogy a felhasználók már tájékoztatást kaptak néhányról a weboldal GYIK (Gyakran Ismételt Kérdések) részében. Más kiadások esetében néhány javítást ígértek.
[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]
Például rámutattunk arra, hogy a felhasználók által generált titkosítási kulcsok a jel- és később felhasználják a fájlok titkosítását, a fiók jelszavával titkosítottak, és csak a Mega szerverein tárolódnak. Mivel nincs jelszó-helyreállítási szolgáltatás, a felhasználók elveszítik a fájlok visszafejtésének képességét, ha elfelejtik a jelszavukat, néhányan azt mondták.
"Ez helyes - az egyetlen olyan kulcs, amelyet a MEGA-nak a felhasználói oldalon tárolnia kell bejelentkezési jelszó, a felhasználó agyában "- mondta a Mega tisztviselők. "Ez a jelszó feloldja a mester kulcsot, ami feloldja a fájlt / mappát / megosztást / privát kulcsokat."
Azonban egy mechanizmust, amely lehetővé teszi a fájlok helyreállítását abban az esetben, ha a jelszó elfelejtésre kerül, a közeljövőben kerül végrehajtásra, azt mondták. Ez tartalmaz egy opciót a jelszó megváltoztatására és az előre exportált fájlkulcsok importálására a megfelelő fájlok helyreállítása érdekében.
A biztonsági kutatók azt is észlelték, hogy a mester titkosítási kulcsok a böngésző belsejében keletkeznek a regisztráláskor a matematikai.random JavaScript függvényt, és figyelmeztetett arra, hogy ez a függvény nem jó munkát jelent a véletlen számok generálásához, ami azt jelenti, hogy a kapott kulcsok gyengeek lehetnek kriptográfiai szempontból.
Válaszul a Mega tisztviselők azt mondták, hogy az entrópia- a felhasználó egérből és billentyűzetből gyűjtött adatok felhasználásával kerül hozzáadásra. "Mindazonáltal olyan funkciót adunk hozzá, amely lehetővé teszi a felhasználó számára, hogy manuálisan hozzáadjon annyi entrópiát, amennyit csak lát, mielőtt elindulna a kulcsgeneráláshoz."
A Mega képviselői tisztázzák, hogyan működik a webhely JavaScript-ellenőrző rendszere, megjegyezve, hogy a 2048 bites kulcsmal rendelkező SSL-tanúsítványt használó fő HTTPS-kiszolgáló a másodlagos HTTPS-kiszolgálók által szolgáltatott JavaScript-kód integritásának ellenőrzésére szolgál, amelyek 1024 bites kulcsokkal rendelkező tanúsítványokat használnak. "Ez alapvetően lehetővé teszi számunkra, hogy nagyszámú földrajzilag sokféle kiszolgálón fogadjuk a rendkívül integritás-érzékeny statikus tartalmakat, anélkül, hogy aggódnánk a biztonsággal kapcsolatban."
Egy Steve Thomas nevű kutató, aki online "Sc00bz" néven ismert, a Mega által a fiók regisztrálási folyamata során elküldött visszaigazoló e-mailek tartalmazzák a felhasználó jelszavának hash-jét.
Thomas kiadta a MegaCracker nevű eszközt, amely felhasználható az ilyen hivatkozásokból származó hasisták kivonására, és megkísérli feltörni őket egy szótár támadással.
Az eszköz kiadásának megjegyzésére a Mega tisztviselői azt mondták, hogy a MegaCracker "remek emlékeztető arra, hogy ne használjunk feltételezhető / szótárú jelszavakat, különösen akkor, ha a jelszava a MEGA-ban tárolt összes fájl mester titkosítási kulcsa. „
Azonban nem foglalkoztak azzal a kérdéssel, hogy az e-mailben elküldött fiók-visszaigazolási linkek miért tartalmazzák a felhasználói jelszó hash-ot. A más webhelyek által használt általános technika az, hogy véletlenszerű kódokat generáljon kifejezetten a megerősítési linkekhez.
Annak érdekében, hogy a potenciális támadók később ne szerezzék be a jelszó hash-jukat, a felhasználóknak valószínűleg törölniük kell a Mega visszaigazoló e-mailt, miután rákattintottak a mellékelt összekapcsolják és létrehozzák fiókjaikat.
PC Tools Internet Security (60 dollár, legfeljebb három számítógép esetén egy év a 21/05/09) kínál határozottan vegyes zacskó védelmet. (Mi áttekintettük a mi féléves biztonsági csomagok áttekintése és a biztonsági lakosztályok diagramját.) A Symantec 2008-ban szerezte meg a biztonsági értékesítőket, hogy növelje világpiaci részesedését az új és feltörekvő regionális piacok fogyasztóival. A Symantec részeként a PC Tools továbbra is különálló fejlesztési műveletet tart fenn a Symantec fogyasztói
A PC Tools saját vírusvédelmét használja, és első pillantásra az AV-Test.org kiterjedt malware-detektálási tesztjeinek köszönhetően mind az on-demand, mind az on-access 2735 fájl, makró vírus és szkript észlelése, mindegyikben közel 100 százalékot. Azonban a PC Tools az egyetlen olyan biztonsági csomag, amely a Conficker féreg legalább két variációját kihagyja mind az on-demand, mind az on-access tesztelés során. A trójai, a férgek, a jelszó-lopítók és más nasties állatkertek ellen a PCTools átl
Sidekick Lesson: Biztonsági mentés, biztonsági mentés, biztonsági mentés
Roundup: 4 biztonsági eszköz a mobileszközök számára,
Már majdnem egy év telt el néhány szép, forró laptop tippet (lásd: Laptop Q & A: Gyorsan kikapcsolva, Fix Sticky Keys " ) - és ez kifogásolható. A héten megteszem néhány hasznos tanácsot a laptop memóriájához való hozzáadásával, a régi laptop merevlemezének külső meghajtóba való átalakításával és a laptop teljesítmény beállításainak hatékony használatával.
RAM hozzáadása a laptophoz
