sieht heise.de an mega. Ich kenne mich da ja nicht aus. Aber das hört sich schon ziemlich peinlich für mega an:
"Bereits erste Analysen offenbaren Anfängerfehler bei der Benutzung von Krypto-Funktionen. So lädt Mega Code von externen Systemen eines Content Distribution Networks nach. Statt dessen dessen Integrität mit einer der üblichen Hash-Funktionen wie SHA256 zu überprüfen, setzt es eine Funktion ein, die für diesen Einsatzzweck überhaupt nicht geeignet ist. Zum Einsatz kommt CBC-MAC mit einem im JavaScript-Code fest einprogrammierten Schlüssel (111111, 222222, 333333, 444444).
Sogar die Beschreibung der CBC-MAC bei Wikipedia enthält einen deutlichen Hinweis darauf, dass diese Message Authentication Codes bei bekanntem Schlüssel einfach zu fälschen sind (unter: Using the same key for encryption and authentication). In der Folge kann jeder, der einen dieser CDN-Server kontrolliert – oder den Betreiber zur Mithilfe bewegen kann – den nachgeladenen Code ganz einfach manipulieren, ohne dass dies einen Fehler hervorruft. Damit wäre dann die gesamte Mega-Infrastruktur kompromittiert und Anwender ließen sich beliebig ausspionieren. Derartige Anfängerfehler lassen auch für den Rest der Krypto-Infrastruktur nichts Gutes ahnen."
http://www.heise.de/security/artikel/Mega-Facts-1789018.html
1 mal bearbeitet, zuletzt am 23.01.13 20:18 durch it5000.
Benutzer wird von Ihnen ignoriert. Anzeigen
Alles von hier:
http://fail0verflow.com/blog/2013/megafail.html
Benutzer wird von Ihnen ignoriert. Anzeigen
Ich verstehe die Aufregung überhaupt nicht. Wer bei Mega sowas wie Sicherheit erwartet, glaubt auch noch an den Weihnachtsmann. Für den Erschaffer der größten illegalen Filesharingplattform dieser Erde ist Sicherheit der Nutzer etwa so wichtig, wie für Banken faire und gute Kundenberatung :D
Kim Schmitz interessieren genau zwei Dinge: So schnell wie möglich so viel Kohle wie möglich zu machen und so bekannt/berühmt wie möglich zu werden. Sein Ego ist größer als sein Bauchumfang und das heißt schon was :) Mega ist ein Fest für alle Rechtsverdreher, die sich im Internet tummeln und Filesharer.
Benutzer wird von Ihnen ignoriert. Anzeigen
Kommentare: 386 | letzter Beitrag 13:09 Uhr
Kommentare: 364 | letzter Beitrag 11:57 Uhr
Kommentare: 267 | letzter Beitrag 19.06. 15:12
Kommentare: 258 | letzter Beitrag 08:52 Uhr
Kommentare: 185 | letzter Beitrag 12:43 Uhr
E-Mail an news@golem.de
E3 2013 Auf der E3 2013 war neben Forza Motorsport 5 für die Xbox One und Drive Club für Playstation 4 auch Gran Turismo 6 für Playstation 3 spielbar. Wir haben auf Next- und Old-Gen Gas gegeben und Videos aufgezeichnet.
Das von Aleecia McDonald gegründete Cookie Clearinghouse (CCH) soll Mozillas Problem mit Tracking-Cookies lösen, nachdem das weitgehende Blockieren von Third-Party-Cookies verschoben werden musste.
Daddeln wird weniger gemütlich, wenn der Spieler demnächst in Call of Duty, Thief oder anderen Games auf der Laufplattform Omni antritt. Besonders interessant ist das Gerät in Verbindung mit VR-Technologie wie Oculus Rift.
3D-Projektionen sind nur der Anfang, Forscher träumen von völlig neuen Konzerterlebnissen durch Augmented Reality. Noch ist die Technik dem Publikum aber wohl einen Schritt voraus - die Musikbranche ist skeptisch.
Zur Analyse großer Datenmengen suchen die US-Geheimdienste die Expertise von Startups und Konzernen. Auch Skype soll ein geheimes Team für eine bessere Kooperation mit den Behörden gebildet haben, der Exsicherheitschef von Facebook wechselte zur NSA.
Es gibt Geheimabkommen zwischen den großen Internetkonzernen und den US-Netzbetreibern gegen die Netzneutralität. Für einige Millionen US-Dollar erhalten Google, Microsoft und Facebook eine bevorzugte Datendurchleitung.