株式会社博展 - 東芝実績動画
最近、サイトのアーキテクチャとその暗号化機能の実装についてセキュリティ研究者によって提起された懸念の一部に対処した。インターネットと詐欺師の金ドットコムは最近、50GBを特色とするメガ(Mega Encrypted Global Accessの略)無料のストレージの。メガは、電子メール、音声通話、インスタント・メッセージング、ビデオ・ストリーミングなど、メガ・リミテッドのオンライン暗号化サービスのスイートとなることを望んでいるドットコムのチームの一員に過ぎない
研究者によって指摘されたセキュリティリスクのいくつかは有効だが、ウェブサイトのFAQ(Frequently Asked Questions)セクションを通じてユーザーに既に情報が伝えられていたという。
[その他の情報:Windows PCからマルウェアを削除する方法]例えば、サインイン時にユーザーが生成した暗号化キーは、後でそれらのファイルを暗号化するために使用され、アカウントパスワードを使用して暗号化され、メガのサーバにのみ保存されます。パスワード回復機能がないため、パスワードを忘れた場合、ユーザーはファイルの暗号を解除する能力を失うことになる」と話しています。
「これは正解です.MEGAがユーザー側に保存する必要がある唯一の鍵はログインパスワード、ユーザーの脳内で、 "メガの職員は言った。 "このパスワードはマスターキーのロックを解除し、ファイル/フォルダ/共有/秘密キーのロックを解除します。"しかし、パスワードを忘れた場合のファイルの回復を可能にする仕組みは近い将来に実装されます、 彼らは言った。これには、パスワードを変更して、事前にエクスポートされたファイルキーをインポートして、対応するファイルを復元するオプションが含まれます。
セキュリティ研究者は、マスター暗号化キーは、.random JavaScript関数を使用して、この関数が乱数を生成するのをうまくやっていないことを警告しました。その結果、鍵は暗号の観点から弱いかもしれません。ユーザーのマウスとキーボードから収集されたデータを使用して追加されます。しかし、メガネの代理人は、サイトのJavaScript検証システムがどのように機能しているかを明確にしたうえで、「キー生成に進む前に、手動でエントロピーを手動で追加する機能を追加します。 1024ビットのキーを持つ証明書を使用するセカンダリHTTPSサーバーから提供されるJavaScriptコードの整合性を検証するために、2048ビットのキーを持つSSL証明書を使用するメインのHTTPSサーバーが使用されていることに注意してください。 「これにより、基本的に、セキュリティの心配なしに、非常に完全性に敏感な静的コンテンツを多数の地理的に分散したサーバーにホストすることが可能になる」と述べている[
]。Sc00bzとオンラインで知られているスティーブ・トーマス
トーマスは、MegaCrackerというツールをリリースしました。このツールは、そのようなリンクからハッシュを抽出し、辞書攻撃を使ってそれらを解読しようとすることができます
MegaCrackerは、このツールのリリースについてコメントしています.MegaCrackerは、「推測可能な/辞書のパスワードを使用しないように注意してください。特に、パスワードがMEGAに保存されているすべてのファイルのマスター暗号鍵となる"
しかし、電子メール経由で送信されたアカウント確認リンクが、なぜユーザーのパスワードハッシュを最初から含んでいるのかという問題に対処できませんでした。他のウェブサイトで使用されている一般的な手法は、確認リンク専用のランダムコードを生成することです。
潜在的な攻撃者が後でパスワードハッシュを取得しないようにするには、アカウントを設定してください。