1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mega: Massive Kritik an der…

Anfängerfehler...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Anfängerfehler...

    Autor: it5000 23.01.13 - 20:17

    sieht heise.de an mega. Ich kenne mich da ja nicht aus. Aber das hört sich schon ziemlich peinlich für mega an:

    "Bereits erste Analysen offenbaren Anfängerfehler bei der Benutzung von Krypto-Funktionen. So lädt Mega Code von externen Systemen eines Content Distribution Networks nach. Statt dessen dessen Integrität mit einer der üblichen Hash-Funktionen wie SHA256 zu überprüfen, setzt es eine Funktion ein, die für diesen Einsatzzweck überhaupt nicht geeignet ist. Zum Einsatz kommt CBC-MAC mit einem im JavaScript-Code fest einprogrammierten Schlüssel (111111, 222222, 333333, 444444).

    Sogar die Beschreibung der CBC-MAC bei Wikipedia enthält einen deutlichen Hinweis darauf, dass diese Message Authentication Codes bei bekanntem Schlüssel einfach zu fälschen sind (unter: Using the same key for encryption and authentication). In der Folge kann jeder, der einen dieser CDN-Server kontrolliert – oder den Betreiber zur Mithilfe bewegen kann – den nachgeladenen Code ganz einfach manipulieren, ohne dass dies einen Fehler hervorruft. Damit wäre dann die gesamte Mega-Infrastruktur kompromittiert und Anwender ließen sich beliebig ausspionieren. Derartige Anfängerfehler lassen auch für den Rest der Krypto-Infrastruktur nichts Gutes ahnen."

    http://www.heise.de/security/artikel/Mega-Facts-1789018.html



    1 mal bearbeitet, zuletzt am 23.01.13 20:18 durch it5000.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Anfängerfehler...

    Autor: Themenzersetzer 23.01.13 - 20:41

    Alles von hier:

    http://fail0verflow.com/blog/2013/megafail.html

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Anfängerfehler...

    Autor: Maxiklin 24.01.13 - 08:06

    Ich verstehe die Aufregung überhaupt nicht. Wer bei Mega sowas wie Sicherheit erwartet, glaubt auch noch an den Weihnachtsmann. Für den Erschaffer der größten illegalen Filesharingplattform dieser Erde ist Sicherheit der Nutzer etwa so wichtig, wie für Banken faire und gute Kundenberatung :D

    Kim Schmitz interessieren genau zwei Dinge: So schnell wie möglich so viel Kohle wie möglich zu machen und so bekannt/berühmt wie möglich zu werden. Sein Ego ist größer als sein Bauchumfang und das heißt schon was :) Mega ist ein Fest für alle Rechtsverdreher, die sich im Internet tummeln und Filesharer.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen

Xperia Z4 Tablet im Test: Dünn, leicht und heiß
Xperia Z4 Tablet im Test
Dünn, leicht und heiß
  1. First Flight Sony stellt Crowdfunding-Plattform für eigene Ideen vor
  2. Android-Entwicklung Sony bietet Android-M-Vorschau für Xperia-Geräte an
  3. Android Recovery Mode jetzt offiziell für Sony-Smartphones verfügbar

Protokoll: DNSSEC ist gescheitert
Protokoll
DNSSEC ist gescheitert
  1. Security Viele VPN-Dienste sind unsicher

Pebble Time im Test: Nicht besonders smart, aber watch
Pebble Time im Test
Nicht besonders smart, aber watch
  1. Smartwatch Pebble Time kostet außerhalb von Kickstarter 250 Euro
  2. Smartwatch Apple gibt iOS-App für die Pebble Time frei
  3. Smartwatch Pebbles iOS-App wird von Apple nicht freigegeben

  1. Bombardier Primove: Eine E-Busfahrt, die ist lustig
    Bombardier Primove
    Eine E-Busfahrt, die ist lustig

    Die Berliner Verkehrsbetriebe haben ihre neue Induktionsbusflotte vorgestellt, die bald leise und sauber durch die Innenstadt rollen soll. Wir waren auf einer (viel zu kurzen) Testfahrt und haben erfahren, dass es nicht der Motor ist, der viel Energie verschwendet.

  2. VPN-Schwachstellen: PureVPN veröffentlicht Patch für seine Windows-Software
    VPN-Schwachstellen
    PureVPN veröffentlicht Patch für seine Windows-Software

    Der VPN-Anbieter PureVPN widerspricht jüngsten Berichten über Unsicherheiten in seinem Dienst. Ein Patch für seine Windows-Clientsoftware wurde dennoch eilig erarbeitet. Weitere sollen folgen.

  3. Mozilla: Firefox 39 schmeißt alte Krypto raus
    Mozilla
    Firefox 39 schmeißt alte Krypto raus

    SSLv3 ist aus Firefox 39 endgültig entfernt worden, und RC4 ist nur noch temporär für einige wenige Seiten erlaubt. Das Mozilla-Team erweitert den Schutz des Browsers vor Malware, daneben gibt es noch viele kleinere Neuerungen.


  1. 12:00

  2. 11:46

  3. 11:26

  4. 11:13

  5. 11:13

  6. 11:08

  7. 11:04

  8. 10:43