Abo
  1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Rechtsanwalt: Filmindustrie wird…

Schlüssel auf dem Server?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Schlüssel auf dem Server?

    Autor: NobodzZ 22.01.13 - 15:10

    Wenn man den 'Web-Client' sich mal genauer anschaut, ist im lokalen Speicher 'Local Storage' bzw. Session Storage, nach dem ersten Login ein 'privk' abgelegt.
    Das soll wohl der private Key sein. Preisfrage, woher kommt dieser, wenn ich alle Browser-Daten lösche. Z.B. im Chrome 'Inkognito' Modus, funktioniert späteres anmelden ebenfalls. Klingt ja auch logisch, sonst hätte man bei der Registrierung irgendwas sichern müssen und bei jedem anderen Browser/Gerät dies ebenfalls mit angeben müssen. Liegt der private Key nun so auf dem Server?
    Im besten Fall ist dieser mit dem Benutzerpasswort verschlüsselt. Beim Login wird nicht das eigentliche Passwort übertragen (bei dem was ich bisher so gefunden habe).
    Die seite benötigt aber Flash, was das macht, habe ich mir nicht angesehen.
    Sehe gerade, das bei einem Logout, der LocalStorgae ebenfalls gelöscht wird.
    Also mit User-Passwort verschlüsselter private Key auf dem Server?

  2. Re: Schlüssel auf dem Server?

    Autor: muhzilla 22.01.13 - 15:10

    Andere Beiträge hier im Forum dazu lesen

  3. Re: Schlüssel auf dem Server?

    Autor: NobodzZ 22.01.13 - 15:16

    muhzilla schrieb:
    --------------------------------------------------------------------------------
    > Andere Beiträge hier im Forum dazu lesen

    Zu dem Punkt finde ich nichts! Mir geht es nicht um die Schlüssel beim teilen!

  4. Re: Schlüssel auf dem Server?

    Autor: pythoneer 22.01.13 - 15:22

    NobodzZ schrieb:
    --------------------------------------------------------------------------------
    > muhzilla schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Andere Beiträge hier im Forum dazu lesen
    >
    > Zu dem Punkt finde ich nichts! Mir geht es nicht um die Schlüssel beim
    > teilen!


    http://forum.golem.de/kommentare/politik-recht/kim-dotcom-mega-zaehlt-am-ersten-tag-1-million-registrierte-nutzer/wo-liegt-der-key/70193,3234061,3234061,read.html#msg-3234061

  5. Re: Schlüssel auf dem Server?

    Autor: 5pl1t 23.01.13 - 09:26

    NobodzZ schrieb:
    --------------------------------------------------------------------------------
    > Wenn man den 'Web-Client' sich mal genauer anschaut, ist im lokalen
    > Speicher 'Local Storage' bzw. Session Storage, nach dem ersten Login ein
    > 'privk' abgelegt.
    > Das soll wohl der private Key sein. Preisfrage, woher kommt dieser, wenn
    > ich alle Browser-Daten lösche. Z.B. im Chrome 'Inkognito' Modus,
    > funktioniert späteres anmelden ebenfalls. Klingt ja auch logisch, sonst
    > hätte man bei der Registrierung irgendwas sichern müssen und bei jedem
    > anderen Browser/Gerät dies ebenfalls mit angeben müssen. Liegt der private
    > Key nun so auf dem Server?
    Definitiv ja!
    Jeder User generiert bei der Anmeldung nicht nur ein RSA-Schlüsselpaar, sondern auch einen symetrischen, von Mega Masterkey genannten (im Code als 'var u_a' zu finden), AES-128 Schlüssel. Während zum Beispiel die Ordnerstruktur über AES verschlüsselt wird, werden Inhalte via RSA verschlüsselt. Der private RSA-Schlüssel liegt verschlüsselt auf dem Server.

    > Im besten Fall ist dieser mit dem Benutzerpasswort verschlüsselt.
    Es ist noch nicht klar, ob der Masterkey verwendet wird um den RSA-Privatekey zu verschlüsseln oder dein Passwort. (soweit die öffentliche Diskusion in Foren). Der masterkey liegt auch auf dem Server und ist nachvollziehbar mit deinem Passwort verschlüsselt.

    > Beim Login wird nicht das eigentliche Passwort übertragen (bei dem was ich
    > bisher so gefunden habe).
    Soweit ich es im Quelltext nachvollziehen konnte, wird bei der Anmeldung dein passwort AES verschlüsselt und über deine Email-Adresse gehasht.

    > Sehe gerade, das bei einem Logout, der LocalStorgae ebenfalls gelöscht wird.
    Richtig und wichtig.

    > Also mit User-Passwort verschlüsselter private Key auf dem Server?
    Direkt oder indirekt ja.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Interhyp Gruppe, München
  2. Daimler AG, Esslingen
  3. Eurofins NSC Finance Germany GmbH, Wesseling, Köln
  4. operational services GmbH & Co. KG, Frankfurt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 59,99€ (Vorbesteller-Preisgarantie)
  2. 14,99€
  3. 14,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  2. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  3. Pornoseite Xhamster spricht von Fake-Leak

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

  1. Ultrastar He12: WD plant Festplatten mit bis zu 14 Terabyte
    Ultrastar He12
    WD plant Festplatten mit bis zu 14 Terabyte

    Im kommenden Jahr sollen die ersten HDD mit 12 und 14 Terabyte Kapazität erscheinen: Western Digital möchte Helium-gefüllte Festplatten mit acht Plattern anbieten, die größere Spezialversion setzt auf überlappende Spuren.

  2. LG: Weitere Hinweise auf Aufgabe des bisherigen Modulsystems
    LG
    Weitere Hinweise auf Aufgabe des bisherigen Modulsystems

    Insidern zufolge soll LG beim kommenden G6 auf ein wasserdichtes Design setzen. Ein modularer Aufbau des kommenden Top-Smartphones wie beim G5 wird dadurch unwahrscheinlich. Das deckt sich mit früheren Vermutungen südkoreanischer Industrievertreter.

  3. Onlinewerbung: Forscher stoppen monatelange Malvertising-Kampagne
    Onlinewerbung
    Forscher stoppen monatelange Malvertising-Kampagne

    Über eine Malvertising-Kampagne ist in den vergangenen Monaten Schadcode verteilt worden. Die Macher des Stegano-Exploit-Kits versteckten dabei unsichtbare Pixel in Werbeanzeigen und nutzen Exploits in Flash und dem Internet Explorer.


  1. 14:43

  2. 14:20

  3. 14:07

  4. 14:00

  5. 13:10

  6. 12:25

  7. 11:59

  8. 11:44