1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mega: Eine Sicherheitslücke - oder…

Nein.

  1. Thema

Neues Thema Ansicht wechseln


  1. Nein.

    Autor: thewayne 05.09.13 - 11:05

    JavaScript Bookmarklets im Browser auszuführen kommt fast dem ausführen einer lokalen .exe gleich, das hier dann der Key abgegriffen werden kann ist kein Geheimnis.

  2. Re: Nein.

    Autor: acuntex 05.09.13 - 11:26

    thewayne schrieb:
    --------------------------------------------------------------------------------
    > JavaScript Bookmarklets im Browser auszuführen kommt fast dem ausführen
    > einer lokalen .exe gleich, das hier dann der Key abgegriffen werden kann
    > ist kein Geheimnis.

    Also wenn JavaScript Bookmarklets so mächtig sind wie lokale .exe-Dateien, solltest du dein Wissen mit der NSA teilen. Die bezahlen dir für dieses dann bestimmt Millionen.

    Wenn man keine Ahnung hat, einfach mal...

  3. Re: Nein.

    Autor: Wrathr 05.09.13 - 11:29

    thewayne schrieb:
    --------------------------------------------------------------------------------
    > JavaScript Bookmarklets im Browser auszuführen kommt fast dem ausführen
    > einer lokalen .exe gleich, das hier dann der Key abgegriffen werden kann
    > ist kein Geheimnis.

    Es kommt vorallem einem Einbruch in deren Server Architektur gleich. Wenn ich Zugriff auf deren Server habe kann ich schädlichen Javascript-Code einschleusen und damit an die Private Keys gelangen. Damit ist das ganze nicht sicherer als die Daten unverschluesselt auf dem Server abzulegen. Nur etwas aufwendiger.

    Ich habe mich intensiver mit client-side encryption im Browser ausseinandergesetzt und bin zu dem Schluss gekommen, dass das generell keine gute Idee ist.
    Wundern würde mich aber, wenn das jetzt für irgendwen hier überraschend ist.

  4. Re: Nein.

    Autor: acuntex 05.09.13 - 11:36

    Und wenn jemand theoretisch bei dir einbricht (was mit Sicherheit einfacher geht als bei Mega), kann er auch alles mitlesen.

  5. Re: Nein.

    Autor: elgooG 05.09.13 - 11:42

    Wrathr schrieb:
    --------------------------------------------------------------------------------
    > Es kommt vorallem einem Einbruch in deren Server Architektur gleich. Wenn
    > ich Zugriff auf deren Server habe kann ich schädlichen Javascript-Code
    > einschleusen und damit an die Private Keys gelangen. Damit ist das ganze
    > nicht sicherer als die Daten unverschluesselt auf dem Server abzulegen. Nur
    > etwas aufwendiger.

    Also da lehnst du dich aber sehr sehr weit aus dem Fenster. Dies mit einer unverschlüsselten Speicherung gleichzusetzen ist schon sehr weit gefasst, ganz besonders wenn man beachtet, dass Mega keine eigenen Rechenzentren hat, die speziell abgesichert wurden.

    > Ich habe mich intensiver mit client-side encryption im Browser
    > ausseinandergesetzt und bin zu dem Schluss gekommen, dass das generell
    > keine gute Idee ist.
    > Wundern würde mich aber, wenn das jetzt für irgendwen hier überraschend
    > ist.
    Du meinst du schließt dich der Meinung des Artikels an. Das es in jedem Fall keine gute Idee ist würde ich nicht sagen, da die Sicherheitsanforderungen nicht in jedem Fall die selben sind und Kompatibilität nun mal auch eine gewisse Rolle spielt.

    Im Falle von Mega, stimme ich dir aber zu, weil man auch im Falle einer Erzwungenenen Handlung durch äußeren Druck nicht in der Lage sein will die Daten zu entschlüsseln. Es handelt sich in diesem Fall eben um eine essentielle Funktionalität.

    JavaScripts haben eben nur ihre Sandbox-Umgebung als Absicherung. Besonders wenn immer mehr und mehr JavaScript in immer wichtigere Webanwendungen gelangt, wird es Zeit, dass hier neue Mechanismen eingeführt werden, die das Auslesen verhindern können.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite



    1 mal bearbeitet, zuletzt am 05.09.13 11:44 durch elgooG.

  6. Re: Nein.

    Autor: breadbaker 05.09.13 - 11:47

    Das gleiche gilt für andere Cloud-Anbieter auch, z.B. iCloud.


    Die Verschlüsselung soll im übrigen nicht den Benutzer vor Mega schützen, sondern umgekehrt.
    Bei der Mega-Verschlüsselung ging und geht es nur darum, dass Mega keine Kenntnis von den gespeicherten Daten hat (plausible deniability). Die Sicherheit der Benutzer war nie Kern des Themas.

  7. Re: Nein.

    Autor: thewayne 05.09.13 - 12:21

    acuntex schrieb:
    --------------------------------------------------------------------------------
    > thewayne schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > JavaScript Bookmarklets im Browser auszuführen kommt fast dem ausführen
    > > einer lokalen .exe gleich, das hier dann der Key abgegriffen werden kann
    > > ist kein Geheimnis.
    >
    > Also wenn JavaScript Bookmarklets so mächtig sind wie lokale .exe-Dateien,
    > solltest du dein Wissen mit der NSA teilen. Die bezahlen dir für dieses
    > dann bestimmt Millionen.
    >
    > Wenn man keine Ahnung hat, einfach mal...

    Es ist doch ganz klar zu lesen das ich schreibe "fast" in diesem Kontext. Bei einem kompromittierten System ist alles egal, nur in diesem Fall reicht einfaches JS (statt ein voll-aufgeblassener Trojaner)

  8. Re: Nein.

    Autor: Citrixx 05.09.13 - 17:00

    Wrathr schrieb:
    --------------------------------------------------------------------------------
    > Es kommt vorallem einem Einbruch in deren Server Architektur gleich. Wenn
    > ich Zugriff auf deren Server habe kann ich schädlichen Javascript-Code
    > einschleusen und damit an die Private Keys gelangen.

    Und wenn du Zugriff auf die Server von Mozilla bekommst, kannst du mit einer bösartigen Firefox-Version alle Webseiten-Passwörter der Welt klauen!

    Genau das gleiche bei GnuPG, Truecrypt und jeder anderer Software, die man sich aus dem Netz lädt und nicht selbst kompiliert und den Quellcode liest... Das hat im Prinzip nichts mit Mega zu tun.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Wirecard Issuing Technologies GmbH, Aschheim/München
  2. Vanderlande Industries GmbH, Mönchengladbach, Veghel (Niederlande)
  3. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  4. ITERGO Informationstechnologie GmbH, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 21,00€
  2. (aktuell u. a. Toshiba-Festplatte mit 10 TB für 279,00€ (Bestpreis!), Be quiet Silent Base 801...
  3. ab 30,00€ bei ubi.com
  4. (alle Countdown-Angebote im Überblick - die besten Angebote starten aber am Freitag um...


Haben wir etwas übersehen?

E-Mail an news@golem.de


HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Top-Level-Domains: Wem gehören .amazon, .ostsee und .angkorwat?
Top-Level-Domains
Wem gehören .amazon, .ostsee und .angkorwat?

Südamerikanische Regierungen streiten sich seit Jahren mit Amazon um die Top-Level-Domain .amazon. Bislang stehen die Regierungen als Verlierer da. Ein anderer Verlierer ist jedoch die Icann, die es nicht schafft, das öffentliche Interesse an solch einer Domain ausreichend zu berücksichtigen.
Von Katrin Ohlmer

  1. Icann Namecheap startet Beschwerde wegen .org-Preisen
  2. Domain-Registrierung Icann drückt .org-Vertrag ohne Preisschranken durch
  3. Domain-Registrierung Mehrheit widerspricht Icann-Plan zur .org-Preiserhöhung

Indiegames-Rundschau: Der letzte Kampf des alten Cops
Indiegames-Rundschau
Der letzte Kampf des alten Cops

Rollenspiel deluxe mit einem abgehalfterten Polizisten in Disco Elysium, unmöglich-verdrehte Architektur in Manifold Garden und eine höllische Feier in Afterparty: Golem.de stellt die aktuellen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Killer trifft Gans
  2. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
  3. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten

  1. Valve: Half-Life schickt Alyx in City 17
    Valve
    Half-Life schickt Alyx in City 17

    Zwischen dem ersten und dem zweiten Half-Life sind Spieler im Vollpreisspiel Half-Life Alyx als Widerstandskämpferin unterwegs - laut Valve mit jedem PC-basierten Virtual-Reality-Headset.

  2. Mobilfunk: Trump will Apple als Ausrüster für 5G in den USA
    Mobilfunk
    Trump will Apple als Ausrüster für 5G in den USA

    Apple soll laut US-Präsident Trump den nationalen Notstand für die Telekommunikation beenden und 5G-Ausrüster werden. Der iPhone-Hersteller hat darauf bisher nicht reagiert.

  3. Lime: E-Scooter-Anbieter stellt Kunden Bußgelder in Rechnung
    Lime
    E-Scooter-Anbieter stellt Kunden Bußgelder in Rechnung

    Mit dem E-Scooter bei Rot über die Ampel fahren kostet zwischen 60 und 180 Euro. Das und mehr müssen die Kunden von Lime künftig selbst bezahlen.


  1. 20:02

  2. 18:40

  3. 18:04

  4. 17:07

  5. 16:47

  6. 16:28

  7. 16:02

  8. 15:04