|
|||||||
|
|
|
 |
|
|
Strumenti |
05-09-2013, 08:44
|
#1 | |||
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
[NEWS] MEGA, la master key fuori dal codice
giovedì 5 settembre 2013di Alfonso Maruccia
Roma - MEGA finisce ancora una volta sotto la lente di ingrandimento degli esperti di cyber-sicurezza, e nel caso in oggetto un ricercatore ha sviluppato un bookmarklet in JavaScript grazie al quale è possibile accedere alla "master key" di un account utente registrato sul servizio fondato da Kim Dotcom. MEGApwn, questo il nome del bookmarklet - pensato per l'uso in congiunzione con un browser web - è stato creato con l'obiettivo di chiarire una volta per tutte ai "novizi" che la crittografia basata su codice JavaScript non è sicura: MEGA ha la nomea di essere un servizio rispettoso della privacy e della sicurezza degli utenti, ma una volta eseguito MEGApwn su un PC su cui è stato effettuato il login su MEGA la chiave crittografica dell'utente non ha più segreti. La master key usata dal cyber-locker non è cifrata, sostiene lo sviluppatore di MEGApwn, e basta avere accesso al PC dell'utente per accedere alla chiave corrispondente. Anche MEGA, spiega il ricercatore, potrebbe in teoria ottenere la chiave di ogni singolo utente per decriptare tutti i suoi file. La situazione sarebbe molto diversa, spiega ancora lo sviluppatore, se l'utente criptasse i dati - con PGP o software similari - prima di spedirli online sui server di MEGA o di qualsiasi altro cyber-locker.La ricerca di Michael Koziarski ha aperto l'ennesimo dibattito sulla effettiva sicurezza crittografica fornita da MEGA, un dibattito che il fondatore Dotcom accoglie favorevolmente perché più si discute, più è possibile educare gli utenti di Internet e migliorare la sicurezza di MEGA. La risposta ufficiale proveniente dal team del cyber-locker ammette l'esistenza del problema - che però è strutturale, visto che basta avere accesso a un PC per sconfiggere qualsiasi tipo di protezione - che si tratti MEGA o di qualsiasi altro servizio, poco importa. In alternativa, suggeriscono i tecnici, si possono anche adottare delle tecnologie (come il plugin di MEGA stessa o un software sviluppato da terze parti) per far girare in locale il codice e non offrire il fianco a questo tipo di intercettazione: ma, ribadiscono, non c'è motivo di ritenere il Javascript "il" problema. Alfonso Maruccia Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|||
|
|
|
03-03-2015, 08:40
|
#2 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
Correlata:
PayPal si nega a Mega su punto informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:50.
