Kim阿金】密室逃脫36 哈利波特穿牆術 難到要懷疑人生(下)《GTA5 線上》
Kim Dotcom大胆的新风险投资 - 文件存储和共享服务Mega正在受到批评,因为安全研究人员分析了网站如何保护用户数据。总之,他们建议:不要相信它。
虽然兆丰官员承认他们是JavaScript的“新手”,JavaScript是用于执行其服务关键元素的编程语言,但他们表示,他们的网站并不比在线更脆弱银行网站发起攻击
Dotcom周日在奥克兰郊外的豪宅举行了一场Mega的大型发布会。该服务是Megaupload的继任者,Megaupload是Dotcom及其同事在2012年1月在美国因版权侵权指控被起诉的文件共享网站。
[更多阅读:如何从Windows PC中删除恶意软件]
华丽的Dotcom向Mega的用户保证,该网站的加密技术将保护他们的隐私和数据,但是该加密方案的实施存在根本上的缺陷,观察家宣称它是使用SSL(安全套接字层)的一种广泛使用的协议。通过互联网进行加密,确保用户计算机与其服务器之间的连接。一旦建立了SSL连接,Mega就会将JavaScript代码推送到一个人的浏览器,然后在数据发送到Mega的服务器之前加密该人的文件。
问题在于SSL一直被认为是Web上的弱点。 2009年,安全研究人员Moxie Marlinspike创建了一个名为SSLstrip的工具,该工具允许攻击者拦截并停止SSL连接。攻击者可以监视用户发送给假网站的任何数据。
由于Mega从根本上依赖于SSL,“Marlinspike周一接受采访时说,”真的没有理由做客户端加密。 “这类计划容易受到SSL的所有问题的影响。”
使用SSLstrip攻击Mega的人可以将自己的定制恶意JavaScript发送给受害者的浏览器。用户将不可避免地泄露他的密码,这将允许攻击者解密他存储在Mega中的所有数据。
Mega的首席技术官Mathias Ortmann周一接受采访时表示,Mega会有各种基于网络的攻击就像任何其他依靠SSL进行安全性的网站一样,比如网上银行。 “他说,”如果他们已经仔细阅读,他们会看到我们基本上正确地陈述了他们指责我们的可能的攻击媒介以及其他一些攻击媒介,但他们并没有指责我们,“奥特曼说。 “所有这些与SSL相关的攻击都不适用于我们。它们适用于安全性要求相同或要求更高的公司。“
SSL由授权公司和组织颁发的加密安全证书支持。但是发行系统一直受到批评,因为骗子已经能够为他们没有的网站获得有效的证书。
Ortmann承认,有人可能试图欺骗证书颁发机构为mega.co颁发真正的SSL证书。 nz,这将允许攻击者创建一个假冒的Mega网站,该网站似乎拥有适当的凭据。“
Ortmann说:”我实际上期待着某个政府拥有一个mega.co.nz影子证书在某些时候发布并用于攻击“但是Mega会定期扫描未经授权的SSL证书,他说。
由Nadim Kobeiss提供来自Kim Dotcom,Mega的新文件共享服务受到包括加密即时消息程序Cryptocat开发商Nadim Kobeissi在内的人士的批评,Mega如何实现加密
如果Mega的服务器受到攻击,它会加密即时通讯程序Cryptocat的开发者Nadim Kobeissi说,攻击者也可能传递修改后的恶意JavaScript。 “Mega本身也有可能传送恶意代码。”每当你打开网站时,加密代码都是从头开始发送的,“Kobeissi说,”所以如果有一天我决定要禁用所有的加密功能,我可以为您的用户名提供不同的代码,不加密任何内容,而是窃取您的加密密钥。“
Marlinspike说他认为Mega用户从根本上不关心安全问题,因为他们只是对文件共享。由于Mega只会在其服务器上看到加密数据,因此该设置似乎可以免除该网站的创始人免受Megaupload的版权侵权问题的影响。“所有重要的是Mega的运营商可以声称他们没有技术能力检查服务器上的内容是否侵犯版权,“Marlinspike说,
与任何新的在线服务一样,Mega的代码已经被激活。周日,据透露,该网站存在跨站脚本漏洞,在某些情况下,攻击者可能会窃取用户的cookie,这样至少可以暂时接管受害者的帐户。它很快就被修复了。“”XSS问题在一小时内就解决了,“Mega的首席程序员Bram van der Kolk周日在Twitter上写道。 “非常有效的一点,令人尴尬的错误。”Ortmann阐述道:“跨站脚本问题不仅令人尴尬。这不应该发生。这实际上是由于Bram和我是完整的JavaScript新手,并且从未预料到浏览器会发生这种行为。我们实际上讨论过它,但我们没有对它进行测试,所以这有点令人尴尬。 “
他表示,Mega将在今天晚些时候在网站上发布更多细节,阐述其评论家在安全方面提出的观点。