You Bet Your Life: Secret Word - Light / Clock / Smile
Repræsentanter for nyligt lanceret filopbevaring og delingstjeneste Mega adresseret nogle af de bekymringer, som sikkerhedsforskere har rejst i de seneste dage om webstedets arkitektur og implementeringen af dens kryptografiske egenskaber.
Internettet og den anklagede digitale forbud Kim Dotcom lancerede for nylig Mega (kort for Mega Encrypted Global Access), som har 50 GB af fri opbevaring. Mega er kun en komponent af, hvad Dotcom og hans team håb vil være en serie af online-krypterede tjenester fra Mega Ltd., herunder email, voice calling, instant messaging og video streaming.
I et blog-udgivet offentliggjort i tirsdag anerkendte Mega-embedsmænd at nogle af sikkerhedsrisici påpeget af forskere er gyldige, men sagde, at brugerne allerede var blevet informeret om nogle af dem via FAQ (ofte stillede spørgsmål) af hjemmesiden. I tilfælde af andre problemer lovede de nogle forbedringer.
[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]
Det har for eksempel været påpeget, at krypteringsnøglerne, der genereres af brugerne under sign- up-processen, og som senere bruges til at kryptere deres filer, krypteres ved hjælp af kontoadgangskoden og gemmes kun på Megas servere. Da der ikke er nogen adgangskodegendannelsesfunktion, vil brugerne miste muligheden for at dekryptere deres filer, hvis de glemmer deres adgangskoder, siger nogle.
"Dette er korrekt - den eneste nøgle, som MEGA kræver at blive gemt på brugersiden, er login adgangskode, i brugerens hjerne ", sagde Mega-embedsmændene. "Denne adgangskode åbner hovednøglen, som igen åbner filen / mappen / del / private nøgler."
En mekanisme, der muliggør genoprettelse af filer, hvis adgangskoden glemmes, vil dog blive implementeret i den nærmeste fremtid, de sagde. Dette vil omfatte en mulighed for at ændre adgangskoden og importere forudeksporterede filnøgler for at genoprette de tilsvarende filer.
Sikkerhedsforskere bemærkede også, at master-krypteringsnøglerne genereres inde i browseren ved tilmelding ved hjælp af matematikken.Alle JavaScript-funktion og advarede om, at denne funktion ikke gør et godt stykke arbejde med at generere tilfældige tal, hvilket betyder, at de resulterende nøgler kan være svage fra et kryptografisk synspunkt.
Som svar sagde Mega-embedsmændene, at entropi-tilfældighed- tilføjes ved at bruge data indsamlet fra brugerens mus og tastatur. "Vi vil dog tilføje en funktion, der giver brugeren mulighed for at tilføje så meget entropi manuelt som han finder passende, før han går videre til nøglegenerationen," sagde de.
Mega-repræsentanterne præciserede også, hvordan webstedets JavaScript-verifikationssystem fungerer, bemærker, at den vigtigste HTTPS-server, der bruger et SSL-certifikat med en 2048-bit nøgle, bruges til at verificere integriteten af JavaScript-koden, der serveres fra sekundære HTTPS-servere, der bruger certifikater med 1024-bit nøgler. "Dette giver os grundlæggende mulighed for at være vært for det ekstremt integritetsfølsomme statiske indhold på et stort antal geografisk forskellige servere uden at bekymre os om sikkerhed," sagde de.
En forsker ved navn Steve Thomas, kendt som "Sc00bz", fandt tirsdag det Links, der er inkluderet i bekræftelsesemailerne, der sendes af Mega under kontoregistreringsprocessen, indeholder faktisk brugerens adgangskode hash.
Thomas udgivet et værktøj kaldet MegaCracker, der kan bruges til at udpakke hashene fra sådanne links og forsøge at knække dem ved hjælp af et ordbordsangreb.
MegaCracker kommenterede værktøjets udgivelse, og MegaCracker er en glimrende påmindelse om ikke at bruge gætte / ordbogskoder, specielt ikke hvis dit kodeord også fungerer som master krypteringsnøglen til alle filer, du gemmer på MEGA. "
Men de undlod at behandle spørgsmålet om, hvorfor konto-bekræftelseslinks, der sendes via e-mail, indeholder brugerens password-hash i første omgang. Den generelle teknik, der anvendes af andre websteder, er at generere tilfældige koder, der specifikt er til bekræftelseslinks.
For at forhindre potentielle angribere i at få deres kodeord på et senere tidspunkt, skal brugerne sandsynligvis slette Mega-bekræftelses-e-mailen, efter at de har klikket på den medfølgende link og oprette deres konti.
På mandag afslørede spilludvikleren Larva Labs sine salgstal for sine Android-apps og klagede over, at Google skal foretage nogle ændringer for at hjælpe udviklere med at forbedre deres kundeemner. Den har mistanke om, at Android Market sandsynligvis producerer langt mindre end $ 5 millioner pr. Måned, som estimeret af AdMob-rapporten. Den samme rapport anslog, at iPhone applikationsbutikken genererer 200 millioner dollars om måneden, hvis rigtighed også har været genstand for en meget udviklerd
Larva Labs slutter sig til et kor af udviklere, hvoraf mange har længe længe ramt for ændringer i hvordan Android Market fungerer i håb om at tjene mere fra deres applikationer.
Til tider kan du komme ind i en situation, hvor dit system ikke reagerer korrekt. Under sådanne omstændigheder kan du finde opstart til et andet operativsystem som din bedste mulighed. Nogle gange kræver fejlfinding af pc-problemer, at du starter op i et andet operativsystem. Jobbet har udfordringer aplenty, men visse værktøjer gør processen død enkel. For eksempel kan man oprette Windows PE-miljøer ved hjælp af den nyligt udgivne
AOMEI PE Builder
Hvis du for nylig har opgraderet din skærm og ser en delvist skjult proceslinje, sløret skrifttype, ulige ser display og står over for andre skærmproblemer, så vil du ikke være alene . Det sker på Windows, hvis du vælger en monitor med højere opløsning, og flyttes fra en forholdsvis lavere en. Windows kan muligvis ikke registrere den aktuelle skærm, og det kræver derfor, at nogle ændringer gøres til at fungere fint igen.
Problemer efter flytning til Monitor med højere skærmopløsning