1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mega: Eine Sicherheitslücke - oder…

Nein.

  1. Thema

Neues Thema Ansicht wechseln


  1. Nein.

    Autor: thewayne 05.09.13 - 11:05

    JavaScript Bookmarklets im Browser auszuführen kommt fast dem ausführen einer lokalen .exe gleich, das hier dann der Key abgegriffen werden kann ist kein Geheimnis.

  2. Re: Nein.

    Autor: acuntex 05.09.13 - 11:26

    thewayne schrieb:
    --------------------------------------------------------------------------------
    > JavaScript Bookmarklets im Browser auszuführen kommt fast dem ausführen
    > einer lokalen .exe gleich, das hier dann der Key abgegriffen werden kann
    > ist kein Geheimnis.

    Also wenn JavaScript Bookmarklets so mächtig sind wie lokale .exe-Dateien, solltest du dein Wissen mit der NSA teilen. Die bezahlen dir für dieses dann bestimmt Millionen.

    Wenn man keine Ahnung hat, einfach mal...

  3. Re: Nein.

    Autor: Wrathr 05.09.13 - 11:29

    thewayne schrieb:
    --------------------------------------------------------------------------------
    > JavaScript Bookmarklets im Browser auszuführen kommt fast dem ausführen
    > einer lokalen .exe gleich, das hier dann der Key abgegriffen werden kann
    > ist kein Geheimnis.

    Es kommt vorallem einem Einbruch in deren Server Architektur gleich. Wenn ich Zugriff auf deren Server habe kann ich schädlichen Javascript-Code einschleusen und damit an die Private Keys gelangen. Damit ist das ganze nicht sicherer als die Daten unverschluesselt auf dem Server abzulegen. Nur etwas aufwendiger.

    Ich habe mich intensiver mit client-side encryption im Browser ausseinandergesetzt und bin zu dem Schluss gekommen, dass das generell keine gute Idee ist.
    Wundern würde mich aber, wenn das jetzt für irgendwen hier überraschend ist.

  4. Re: Nein.

    Autor: acuntex 05.09.13 - 11:36

    Und wenn jemand theoretisch bei dir einbricht (was mit Sicherheit einfacher geht als bei Mega), kann er auch alles mitlesen.

  5. Re: Nein.

    Autor: elgooG 05.09.13 - 11:42

    Wrathr schrieb:
    --------------------------------------------------------------------------------
    > Es kommt vorallem einem Einbruch in deren Server Architektur gleich. Wenn
    > ich Zugriff auf deren Server habe kann ich schädlichen Javascript-Code
    > einschleusen und damit an die Private Keys gelangen. Damit ist das ganze
    > nicht sicherer als die Daten unverschluesselt auf dem Server abzulegen. Nur
    > etwas aufwendiger.

    Also da lehnst du dich aber sehr sehr weit aus dem Fenster. Dies mit einer unverschlüsselten Speicherung gleichzusetzen ist schon sehr weit gefasst, ganz besonders wenn man beachtet, dass Mega keine eigenen Rechenzentren hat, die speziell abgesichert wurden.

    > Ich habe mich intensiver mit client-side encryption im Browser
    > ausseinandergesetzt und bin zu dem Schluss gekommen, dass das generell
    > keine gute Idee ist.
    > Wundern würde mich aber, wenn das jetzt für irgendwen hier überraschend
    > ist.
    Du meinst du schließt dich der Meinung des Artikels an. Das es in jedem Fall keine gute Idee ist würde ich nicht sagen, da die Sicherheitsanforderungen nicht in jedem Fall die selben sind und Kompatibilität nun mal auch eine gewisse Rolle spielt.

    Im Falle von Mega, stimme ich dir aber zu, weil man auch im Falle einer Erzwungenenen Handlung durch äußeren Druck nicht in der Lage sein will die Daten zu entschlüsseln. Es handelt sich in diesem Fall eben um eine essentielle Funktionalität.

    JavaScripts haben eben nur ihre Sandbox-Umgebung als Absicherung. Besonders wenn immer mehr und mehr JavaScript in immer wichtigere Webanwendungen gelangt, wird es Zeit, dass hier neue Mechanismen eingeführt werden, die das Auslesen verhindern können.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite



    1 mal bearbeitet, zuletzt am 05.09.13 11:44 durch elgooG.

  6. Re: Nein.

    Autor: breadbaker 05.09.13 - 11:47

    Das gleiche gilt für andere Cloud-Anbieter auch, z.B. iCloud.


    Die Verschlüsselung soll im übrigen nicht den Benutzer vor Mega schützen, sondern umgekehrt.
    Bei der Mega-Verschlüsselung ging und geht es nur darum, dass Mega keine Kenntnis von den gespeicherten Daten hat (plausible deniability). Die Sicherheit der Benutzer war nie Kern des Themas.

  7. Re: Nein.

    Autor: thewayne 05.09.13 - 12:21

    acuntex schrieb:
    --------------------------------------------------------------------------------
    > thewayne schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > JavaScript Bookmarklets im Browser auszuführen kommt fast dem ausführen
    > > einer lokalen .exe gleich, das hier dann der Key abgegriffen werden kann
    > > ist kein Geheimnis.
    >
    > Also wenn JavaScript Bookmarklets so mächtig sind wie lokale .exe-Dateien,
    > solltest du dein Wissen mit der NSA teilen. Die bezahlen dir für dieses
    > dann bestimmt Millionen.
    >
    > Wenn man keine Ahnung hat, einfach mal...

    Es ist doch ganz klar zu lesen das ich schreibe "fast" in diesem Kontext. Bei einem kompromittierten System ist alles egal, nur in diesem Fall reicht einfaches JS (statt ein voll-aufgeblassener Trojaner)

  8. Re: Nein.

    Autor: Citrixx 05.09.13 - 17:00

    Wrathr schrieb:
    --------------------------------------------------------------------------------
    > Es kommt vorallem einem Einbruch in deren Server Architektur gleich. Wenn
    > ich Zugriff auf deren Server habe kann ich schädlichen Javascript-Code
    > einschleusen und damit an die Private Keys gelangen.

    Und wenn du Zugriff auf die Server von Mozilla bekommst, kannst du mit einer bösartigen Firefox-Version alle Webseiten-Passwörter der Welt klauen!

    Genau das gleiche bei GnuPG, Truecrypt und jeder anderer Software, die man sich aus dem Netz lädt und nicht selbst kompiliert und den Quellcode liest... Das hat im Prinzip nichts mit Mega zu tun.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. andagon GmbH, Köln
  2. Stadtwerke München GmbH, München
  3. Bezirkskliniken Mittelfranken, Erlangen, Engelthal bei Nürnberg
  4. W3L AG, Dortmund

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€
  2. (u. a. Far Cry 5 für 14,99€, Far Cry New Dawn für 17,99€, Far Cry für 3,99€)
  3. 7,99
  4. (-67%) 19,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Frauen in der Technik Von wegen keine Vorbilder!
  2. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  3. Arbeit Was IT-Recruiting von der Bundesliga lernen kann

Geforce Now im Test: Nvidia nutzt einzigartige CPU und GPU
Geforce Now im Test
Nvidia nutzt einzigartige CPU und GPU

Wer mit Nvidias Geforce Now spielt, bekommt laut Performance Overlay eine RTX 2060c oder RTX 2080c, tatsächlich aber werden eine Tesla RTX T10 als Grafikkarte und ein Intel CC150 als Prozessor verwendet. Die Performance ist auf die jeweiligen Spiele abgestimmt, vor allem mit Raytracing.
Ein Test von Marc Sauter

  1. Cloud Gaming Activision Blizzard zieht Spiele von Geforce Now zurück
  2. Nvidia-Spiele-Streaming Geforce Now kostet 5,49 Euro pro Monat
  3. Geforce Now Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android

  1. Videostreaming: Disney+ vor offiziellem Start vergünstigt zu bekommen
    Videostreaming
    Disney+ vor offiziellem Start vergünstigt zu bekommen

    Wer sich vor dem Start von Disney+ in Deutschland für ein Jahresabo entscheidet, erhält es vergünstigt. Disney will damit gleich zum Start möglichst viele zahlende Abonnenten gewinnen.

  2. Asus PG43UQ im Test: Haben Sie es auch eine Nummer größer?
    Asus PG43UQ im Test
    Haben Sie es auch eine Nummer größer?

    32 Zoll reichen nicht jeder Person aus. Deshalb bietet Asus den PG43UQ an, der mit 43 Zoll noch einmal wesentlich mehr Bildfläche liefert und trotzdem noch auf den Schreibtisch passt. Im Test schlägt sich der Bildschirm mit 4K, HDR und 144 Hz gut - wenn auch das Design Geschmackssache ist.

  3. Xperia 10 II: Sony präsentiert neues Smartphone mit Dreifachkamera
    Xperia 10 II
    Sony präsentiert neues Smartphone mit Dreifachkamera

    Sony hat beim Xperia 10 II im Vergleich zum Vorgänger einige Details verbessert: Das neue Modell hat drei statt zwei Kamera, kann Videos in 4K aufnehmen und hat ein OLED-Display. Der Preis liegt mit 370 Euro im Mittelklassebereich.


  1. 10:03

  2. 09:00

  3. 08:45

  4. 08:45

  5. 08:32

  6. 07:29

  7. 07:17

  8. 17:37