Car-tech

메가는 보안 문제에 응답합니다. 일부 변경을 약속합니다.

HTML Tutorial - 4 - Character Set - (UTF-8)

HTML Tutorial - 4 - Character Set - (UTF-8)
Anonim

새로 출시 된 파일 저장 및 공유 서비스의 대표 메가 최근 보안 연구원이 사이트의 아키텍처와 암호화 기능 구현에 관해 제기 한 우려 사항 중 일부를 다뤘다. 인터넷과 디지털 무법자 Kim Dotcom은 최근 메가 암호화 글로벌 액세스 (Mega Encrypted Global Access)의 약자 인 50GB 무료 저장 용량 Mega는 Dotcom과 그의 팀이 전자 메일, 음성 통화, 인스턴트 메시징 및 비디오 스트리밍을 포함하여 Mega Ltd.의 온라인 암호화 서비스 제품군이 될 것으로 기대하는 것의 단지 구성 요소 중 하나입니다.

화요일 게시 된 블로그 게시물에서 Mega officials 연구자들이 지적한 보안 위험 요소 중 일부는 유효하지만 사용자는 웹 사이트의 FAQ (Frequently Asked Questions) 섹션을 통해 이미 일부 정보를 얻었습니다.

[추가 정보: Windows PC에서 악성 코드를 제거하는 방법] 예를 들어, 서명 과정에서 사용자가 생성 한 암호화 키는 그리고 나중에 파일을 암호화하는 데 사용되며 계정 비밀번호를 사용하여 암호화되며 메가 서버에만 저장됩니다. 암호 복구 기능이 없으므로 사용자는 암호를 잊어 버리면 파일의 암호를 해독 할 수 없게됩니다.

"이것이 맞습니다. MEGA가 사용자 측에 저장해야하는 유일한 열쇠는 로그인 암호, 사용자의 두뇌에, "메가 관리는 말했다. "이 암호는 마스터 키를 잠금 해제하여 파일 / 폴더 / 공유 / 개인 키를 잠금 해제합니다."그러나 암호를 잊어 버린 경우 파일을 복구 할 수있는 메커니즘이 곧 구현 될 예정입니다 고 말했다. 여기에는 암호를 변경하고 미리 파일에 저장된 키를 가져 와서 해당 파일을 복구 할 수있는 옵션이 포함됩니다.

보안 연구원은 또한 마스터 암호화 키가 수학을 사용하여 가입시 브라우저 내부에서 생성된다는 사실에 주목했습니다.random JavaScript 함수를 사용하여이 함수가 난수를 생성하지 못한다는 경고를 받았다. 결과적으로 키가 암호화 관점에서 약할 수도 있다는 것을 의미한다.

이에 대응하여 메가 관계자는 엔트로피 - 사용자의 마우스 및 키보드에서 수집 한 데이터를 사용하여 추가됩니다. 그러나 "우리는 키 생성을 진행하기 전에 사용자가 원하는만큼 수동으로 엔트로피를 추가 할 수있는 기능을 추가 할 것"이라고 말했다. 메가의 대표는 또한 사이트의 자바 스크립트 검증 시스템이 어떻게 작동하는지, 2048 비트 키가있는 SSL 인증서를 사용하는 기본 HTTPS 서버는 1024 비트 키가있는 인증서를 사용하는 보조 HTTPS 서버에서 제공되는 JavaScript 코드의 무결성을 확인하는 데 사용됩니다. 스카우트 토마스 (Steve Thomas)라는 연구원은 온라인상에서 "Sc00bz"라는 이름으로 연구원이 화요일에 발견 한 바에 따르면 "우리는 보안에 대한 걱정없이 지리적으로 매우 다양한 다수의 서버에 무결성에 민감한 정적 컨텐트를 호스트 할 수있게되었다" 계정 등록 과정에서 Mega가 보낸 확인 이메일에 포함 된 링크에는 실제로 사용자의 암호 해시가 들어 있습니다.

Thomas는 MegaCracker라는 도구를 출시했습니다.이 도구는 해당 링크에서 해시를 추출하고 사전 공격을 사용하여 해킹하려고 시도 할 수 있습니다 메가 크래커는 도구 출시에 대해 "메가 크래커는 추측 할 수없는 / 사전 암호를 사용하지 않는 훌륭한 알림이며, 특히 암호가 MEGA에 저장하는 모든 파일의 마스터 암호화 키 역할을하는 경우가 아니라고 말했습니다. "

그러나 이메일을 통해 전송 된 계정 확인 링크가 사용자 암호 해시를 처음으로 포함하는 이유에 대해서는 언급하지 않았습니다. 다른 웹 사이트에서 일반적으로 사용하는 기술은 확인 링크 용으로 임의 코드를 생성하는 것입니다.

잠재적 인 공격자가 나중에 암호 해시를 얻지 못하도록하기 위해 포함 된 항목을 클릭 한 후 메가 확인 이메일을 삭제해야합니다 링크를 설정하고 계정을 설정하십시오.