Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: rado3105 29. 01. 2013, 15:14:57
-
Má to dobře udělané. Až si pro něho přijdou, tak všechny hodí přes palubu. Totiž jako Linuxák jsem vyšetřil pár věcí. Aby to fungovalo, tak je optimální sestava bonzácké widle, bonzácký chrome, bonzácký adobe flash player. Tyto tři softy dělají americké firmy a jsou vázány zákonem (http://www.lupa.cz/clanky/otevreny-dopis-adresovany-skype-zada-microsoft-o-jasne-informace-o-soukromi-uzivatelu/) aby se kdokoli mohl šťoutrat ve vašich datech. Takže na tomto softu se generuje pár klíčů, jehož privátní část ani nedostane, však na co, když je generovaný a uložený v tomto softu.
A jelikož má Linux šifrování kde čeho zabudované v systému, tak nejsem zvyklý, že má data opouští počítač nešifrovaně. Proto uploaduji svá data bezpečně zašifrovaná v dalším šifrovaném prostoru. Za celý týden jsem protlačil pouze 3 zkušební péčka. Dnes jsem se je pokusil stáhnout a bez Flash playeru ani rana. Tedy jsem z livka spustil Chromium, čemuž také nevěřím a uložené soubory šly stáhnout. Ale!!!!! Skončilo to chybou dešifrování.
Tedy po vzoru woknařů jsem péčka upl tak jak byly stažené. A najednou nebyl problém s upnutím i downloadem (přes livko Chromium). Tak takto to jede. Pak jsem vzal zašifrované soubory mým klíčem a odmazal .pgp. A najednou taky není problém. Z toho vyplývá, že Kimečkovi nechutnají soubory šifrované PGP pokud jsou výslovně označené jako šifrované PGP. A proč asi? Že by PGP jako opensource nemělo žádné vrátka a americké služby nemůžou prohlížet soubory co v nich je? Rozhodně toto potvrzuje, že jeho šifrování a žvásty o bezpečnosti dat jsou kydy na hloupé lidi. Jakoukoli bezpečnost už vylučuje trojka potřebného softu k dostupnosti do tohoto úložiště.
Zaujal ma tento prispevok. Je mozne aj napriek takemu sifrovaniu ziskavat informacie kedze to bezi cez chrome? Co si myslite? Je mozne ze nakoniec sa dotcom spojil s USA?
-
Model mega.co.nz není o zajištění bezpečnosti dat pro zákazníka, ale o vyvázání se odpovědnosti společnosti mega za tvé data.
Jestli máš potřebu nahrávat citlivá data na mega, musíš tak jako vždycky šifrovat samostatně.
-
Nic by ti nemělo bránit si napsat vlastní implementaci – desktopového klienta – a šifrování mít plně pod kontrolou. Co jsem koukal, moc dokumentace k tomu není a doporučují vycházet z těch javascriptů.
-
Az tam budete nahravat plany a jadernou bombu z cisticich produktu a plechovky od gulase, ci jina citliva data, tak zkuste encfs --reverse.
-
Tazke to "zabezpecenie" ked staci zmazat priponu suboru aby to fungovalo ;-)
-
Mozno sa spojil s USA - neveril by som mu, ale ostatne je nezmysel. Mne mega zo zaciatku pri testoch vobec nefungovalo (ani s dobre citatelnym plaintextom Lorem ipsum), ale teraz sa rozbehlo a nema problem ani s priponou pgp a sifrovanymi subormi - zasifrovane zdrojaky pomocou PGP som tam nahral a aj stiahol a rozsifroval.
Spustam to pod Firefoxom, on mi oznamuje nieco o Chrome, ale ide to aj bez neho.
-
A jak to funguje? Ten muj strasne privatni klic je stejne u dot coma, ne? Takze s nim precte moje data i vlada USA, jestli si reknou I o vydani klice? Nebo klic je jeste sifrovan moji super tajnou pass phrase, ta ale mozna je ulozena zase v databazi hesel?
Mozna ne, vono to je jedno, stejne mu neverim. Ptam se kvuli tomu, jestli to bude fungovat jako driv, t.j. odkaz ve foru a taham od ciziho cloveka, aniz bych znal jeho heslo nebo mel jeho klic. Jinak mi to pripadne spis jako Dropbox.
-
sifruj si to ako pred posielanim na dropbox.
u dotcoma mas oproti dropboxu za rovnaku cenu 25x viac priestoru a k tomu klienta v browseri.
ked niekto spravi commandline verziu klienta tak to bude super zalohovaci priestor.
-
... u dotcoma mas oproti dropboxu za rovnaku cenu 25x viac priestoru ...
Mne by jen zajímalo, jak dlouho to bude "zadarmo" a co všechno je za tím "zadarmo" schované.
Takový altruismus, to se jen tak nevidí, to je skoro až pohádkově krásné ...
-
Jo, taky přemýšlím, jaký má vlastně obchodní model. Napadlo mě ale, že cílem může být spojit to s plánovaným MegaBoxem (obchod s hudbou) a Mega by tak měl plnit roli jakési vábničky...
-
Nez crypto na Mega dokonverguje do nejake ne-uplne-derave podoby, to jeste chvili potrva.
Bez neceho jako Tahoe LAFS (https://tahoe-lafs.org/trac/tahoe-lafs), je client-side sifrovani pred uploadem vyzadovano.
-
(...) Nebo klic je jeste sifrovan moji super tajnou pass phrase, ta ale mozna je ulozena zase v databazi hesel? (...)
(...) odkaz ve foru a taham od ciziho cloveka, aniz bych znal jeho heslo nebo mel jeho klic. (...)
Z toho co som cital a pochopil sa mi zda, ze je kluc sifrovany passphrase, ktoru prakticky zverejnujes v URL pri "klasickom" zdielani. Ale ani to nema byt povinnost (tj. je mozne mat URL bez kluca).
Ako obchodny model tipujem predaj extra priestoru, aj ked je otazka, ci z toho vyzije.
-
Biznis planuje samozrejme megabox, o ktorom vie len malokto a preto aj bol megaupload planovane zniceny lobbingom nahravacich a copyrightovych spolocnosti, pri akcii kedy boli porusene vsetky zakony teritoriality.....aj samotna novozelandska tajna sluzba urobila kopu preslapov. Cielom bolo ho znicit, lenze vyzera ze dotcom nie je slaby clovek, udalost ktora sa stala jemu by znicila psychiku mnozstva ludi, ze by sa nespamatali...on naopak stal sa silnejsi.
Zarabat bude na megaboxe, planuje alternativu k adwords, taktiez aj nejake komunikatory(webrc?), uz teraz su tam kontakty...takze ak by nam priniesol aj skutocne sifrovanu komunikaciu, tak tento clovek sa zapise velky pricinenim do historie. Samozrejme ak ho neodstrania.....
-
http://www.nzherald.co.nz/opinion/news/article.cfm?c_id=466&objectid=10863313
-
ha, super!
ale co když jsem na screen před příkazama zapoměl, to nejde?
-
Model mají bezpečný. S jejich webovou aplikací je jen ten problém, že ukládá 128 bitový klíč odvozený z hesla do localStorage a stačí aby upravili web aplikaci, aby jim klíč nějak zaslala a bez problémů s ním dešifrují master key, který v zašifrované podobě mají uložený u sebe a tím pak celý uživatelův filesystém.
Osobně bych věřil bezpečnosti Mega s alternativním klientem. No a protože mě zaujalo jejich 50 GB zdarma, tak jsem jeden napsal. :)
http://www.youtube.com/watch?v=LWfFMysaspQ
A vyrojí se jich víc, až vydají SDK. Nedivil bych se, kdyby se pak vyrojili i aplikace na streamování videa/hudby z Mega a podobně.
-
No a protože mě zaujalo jejich 50 GB zdarma, tak jsem jeden napsal. :)
http://www.youtube.com/watch?v=LWfFMysaspQ
Velmi pěkné, ale bylo by hezčí to moct použít jako SkyDrive ;D tj. přístup přes písmenko nebo adresář.
-
S jejich webovou aplikací je jen ten problém, že ukládá 128 bitový klíč odvozený z hesla do localStorage a stačí aby upravili web aplikaci, aby jim klíč nějak zaslala a bez problémů s ním dešifrují master key, který v zašifrované podobě mají uložený u sebe a tím pak celý uživatelův filesystém.
Na tom je hezky vidět, jak jsou „webové aplikace“ zvrácená věc. Splývají u nich data a program do jednoho a uživatel nemá kontrolu ani nad programem (stahuje se z webu nebo běží na serveru a aktualizuje se bez vědomí uživatele) ani nad daty (jsou obvykle uložena na serveru, ale i kdyby byla lokálně, není pro server problém je uživateli ukrást).
Řešením je oddělení programu od dat – desktopová aplikace, od které má uživatel zdrojáky a má nad ní plnou kontrolu + data na serveru, ke kterým se přistupuje pomocí API a která jsou šifrovaná klíčem, který nikdy neopustí počítač uživatele.
Mega AFAIK patří k těm lepším a serióznějším – i když tu tenhle model teď třeba nefunguje, je to na něj připravené a nemělo by takovému bezpečnému používání nic bránit.
-
No a protože mě zaujalo jejich 50 GB zdarma, tak jsem jeden napsal. :)
http://www.youtube.com/watch?v=LWfFMysaspQ
Velmi pěkné, ale bylo by hezčí to moct použít jako SkyDrive ;D tj. přístup přes písmenko nebo adresář.
Taky by se mi to líbilo. Snad by to bylo i možné, až na ten problém že při úpravě souboru by ho bylo nutné zase celý nahrát znovu.
-
Mega AFAIK patří k těm lepším a serióznějším – i když tu tenhle model teď třeba nefunguje, je to na něj připravené a nemělo by takovému bezpečnému používání nic bránit.
To je pravda, mají veřejné API pro celou svoji službu. Od registrace, ověření mailem, až po kupování členství - a jsou nadšení z toho, když ostatní píšou pro jejich službu alternativní klienty.
BTW, už jsem doplnil i nástroj na registraci účtu a je tedy možné Megu používat bez toho aby se člověk jen podíval na jejich web. S takovým nástrojem už Mega nemá možnost získat klíč k datům, která skladují, přesně jak chtěli. :)
-
BTW, už jsem doplnil i nástroj na registraci účtu a je tedy možné Megu používat bez toho aby se člověk jen podíval na jejich web. S takovým nástrojem už Mega nemá možnost získat klíč k datům, která skladují, přesně jak chtěli. :)
Hezké. Ale zdá se mi to, nebo na http://megatools.megous.com/ jdou stáhnout jen binárky? Zdroják?
-
Hezké. Ale zdá se mi to, nebo na http://megatools.megous.com/ jdou stáhnout jen binárky? Zdroják?
Nezdá, zdrojáky zatím nebudou veřejné.
-
Hezké. Ale zdá se mi to, nebo na http://megatools.megous.com/ jdou stáhnout jen binárky? Zdroják?
Nezdá, zdrojáky zatím nebudou veřejné.
coz je samozrejme velmi duveryhodne ....
-
Mě k tomuto tématu nezajímá ani tak bezpečnost ve smyslu, jestli někdo může k mým datům, ale otázka mazání dat ze strany Mega.
Zachytil jsem, že pokud budou soubory porušovat autorská práva, tak že dojde k mazání.
Jak to ale v Mega zjistí? Když k mým datům nemají přístup. Nebo se jedná o soubory, které budou nasdílené někam ven?
Uvažuji si do Mega zálohovat kopie Video DVD (koupených) - pokud by byla větší šance, že to smažou, tak to nemá smysl.
-
Mě k tomuto tématu nezajímá ani tak bezpečnost ve smyslu, jestli někdo může k mým datům, ale otázka mazání dat ze strany Mega.
Zachytil jsem, že pokud budou soubory porušovat autorská práva, tak že dojde k mazání.
Jak to ale v Mega zjistí? Když k mým datům nemají přístup. Nebo se jedná o soubory, které budou nasdílené někam ven?
Uvažuji si do Mega zálohovat kopie Video DVD (koupených) - pokud by byla větší šance, že to smažou, tak to nemá smysl.
Jo, soubory nasdílené ven.
-
Pokud tedy nebudu soubory sdílet ven tak pravděpodobnost smazání se zmenšuje? To je dobrá zpráva.
Jednalo by se samozřejmě o zálohu, ale kdo by se s tím dělal, když by hrozilo smazání.
Jo, soubory nasdílené ven.
-
Pokud tedy nebudu soubory sdílet ven tak pravděpodobnost smazání se zmenšuje? To je dobrá zpráva.
Jednalo by se samozřejmě o zálohu, ale kdo by se s tím dělal, když by hrozilo smazání.
U externího úložiště hrozí ztráta vždycky. Jako jediné zálohovací médium bych si to fakt nelajznul.
K tomu smazání mě napadlo, že by mohli mít politiku takovouhle: pokud vy (údajný vlastník práv k tomu obsahu) tvrdíte, že jsou data sdílena, ukažte nám, že k nim máte klíč. Pokud jste se ke klíči nedostali, o jakém sdílení je řeč? Z hlediska Mega by to bylo administrativně elegantní, nemuseli by nic řešit. A každý, kdo by tam něco ukládal, by si musel rozmyslet, komu klíč dává.
-
U externího úložiště hrozí ztráta vždycky. Jako jediné zálohovací médium bych si to fakt nelajznul.
Pomerne podivna myslienka :)... ak mate JEDINE zalohovacie medium, tak nieco co ma uplne ine parametre pravdepodobnosti zlyhania
je velmi dobre cielene pouzit. Pravdepodobnost, ze umrie zalohavacie zariadenie a ze Kimovi zavru Mega je porovnatelna, takze ani tu netratite.
(odmyslime si zariadenia urcene pre firmy velkosti Telekomu)
-
ak mate JEDINE zalohovacie medium, tak nieco co ma uplne ine parametre pravdepodobnosti zlyhania
je velmi dobre cielene pouzit.
Jako doplnek ano. Jako jedine medium ne.
Pravdepodobnost, ze umrie zalohavacie zariadenie a ze Kimovi zavru Mega je porovnatelna
[citation needed]
-
ak mate JEDINE zalohovacie medium, tak nieco co ma uplne ine parametre pravdepodobnosti zlyhania
je velmi dobre cielene pouzit.
Jako doplnek ano. Jako jedine medium ne.
Zalohovat na jedine medium je v pripade vacsiny medii rovnaka blbost.
To je to na co som povodne reagoval.
Pravdepodobnost, ze umrie zalohavacie zariadenie a ze Kimovi zavru Mega je porovnatelna
[citation needed]
Ja ju nepotrebujem, staci mi sledovat zivotnost CD/DVD/HDD/Flash (t.j. beznych off-line zariadeni) a porovnat si ju zo zivotnostou on-line sluzieb.
Zrovna tak by som sa ja mohol spytat naopak. Mate k dispozicii citaciu opacnu? (kedze povodne ste s tym zacali Vy?)
-
Zrovna tak by som sa ja mohol spytat naopak. Mate k dispozicii citaciu opacnu? (kedze povodne ste s tym zacali Vy?)
Zacal jsem si vetou "Jako jediné zálohovací médium bych si to fakt nelajznul.", cili tvrzenim "MP by si to nelajznul".
Dolozeni tvrzeni citaci: MP na root.cz napsal: "Jako jediné zálohovací médium bych si to fakt nelajznul."
Jestli si to nekdo lajzne, at si zalohuje treba na brezovou kuru.
-
Zrovna tak by som sa ja mohol spytat naopak. Mate k dispozicii citaciu opacnu? (kedze povodne ste s tym zacali Vy?)
Zacal jsem si vetou "Jako jediné zálohovací médium bych si to fakt nelajznul.", cili tvrzenim "MP by si to nelajznul".
Dolozeni tvrzeni citaci: MP na root.cz napsal: "Jako jediné zálohovací médium bych si to fakt nelajznul."
Zrovna tak ako na jednu flash/jedno diskove pole.
Nepoznam nikoho kto zalohuje aspon trochu seriozne a robi to na jedno zariadenie. Vy mozno ano.
To je gro toho co Vam vravim.
Vase vyhlasenie ma zmysel jedine v kontexte, ze "Mega ma vyrazne nizsiu spolahlivost ako ine dostupne zariadenia".
Jestli si to nekdo lajzne, at si zalohuje treba na brezovou kuru.
To, ze si prezentujete, ze MP je ekvivalent brezovej kory je Vasa sukromna obsesia (ku ktorej silne pochybujem, ze mate citaciu).
Kedze je to zalezitost ciste politicka a nie technicka, tak je mozno aj pravdu (co si ale nemyslim).
-
To je gro toho co Vam vravim.
Dobre. Ja jsem rekl, ze bych se na Mega jako JEDINE zarizeni nespolihal, maximalne jako na druhe a vy jste mi sdelil, ze nikdo rozumny nezalohuje na jedno zarizeni.
Dekuji za diskusi :)
-
Vypadá to rozumně. A neví někdo jakou mají politiku? :)
K tomu smazání mě napadlo, že by mohli mít politiku takovouhle: pokud vy (údajný vlastník práv k tomu obsahu) tvrdíte, že jsou data sdílena, ukažte nám, že k nim máte klíč. Pokud jste se ke klíči nedostali, o jakém sdílení je řeč? Z hlediska Mega by to bylo administrativně elegantní, nemuseli by nic řešit. A každý, kdo by tam něco ukládal, by si musel rozmyslet, komu klíč dává.
-
Vypadá to rozumně. A neví někdo jakou mají politiku? :)
K tomu smazání mě napadlo, že by mohli mít politiku takovouhle: pokud vy (údajný vlastník práv k tomu obsahu) tvrdíte, že jsou data sdílena, ukažte nám, že k nim máte klíč. Pokud jste se ke klíči nedostali, o jakém sdílení je řeč? Z hlediska Mega by to bylo administrativně elegantní, nemuseli by nic řešit. A každý, kdo by tam něco ukládal, by si musel rozmyslet, komu klíč dává.
https://mega.co.nz/#terms
-
Proč to na to MEGA prostě nenahrát zašifrované TrueCryptem? ::)
A vůbec, proč někam nahrávat filmy, když se PRO ZÁLOHOVÁNÍ dají vypálit na DVD?
PS: To, že ten klient není OpenSource je docela velké mínus ::)
Znám hodně blbů programátorů, kteří si do kódu "z principu" (jejich vlastní magorský princip) dávají backdoor.
Nic takového v compu fáááákt nechci.
Až někdo udělá kontejnerový systém, kdy každý program bude moci běžet v rámci svého uzavřeného kontejneru, tak pak možná, do té doby ani náhodou, ale je hodně BFU, co si do počítače nahrají i cizí BTC miner.
-
Až někdo udělá kontejnerový systém, kdy každý program bude moci běžet v rámci svého uzavřeného kontejneru
To existuje a jmenuje se to jaily nebo zóny :)
-
Ano, samozřejmě vím, co je JAIL ::)
A taky že honit uvnitř toho programy je poměrně nepohodlné.
Řekněme že tu mluvím o systému, který by z principu odděloval jednotlivé procesy, umožňoval pro každý nastavit vlastní pravidla firewallu, omezit paměť i prostředky CPU, možnosti spouštění a to tak, aby o tom uživatel vlastně ani nevěděl....
Ne aby se s rozchozením programu v Jailu musel člověk drbat týden....
-
Ne aby se s rozchozením programu v Jailu musel člověk drbat týden....
Zrovna dneska jsem rozcházel jeden program v jailu za asi tak za tři minuty:
# ifconfig lo1 <IP jailu> netmask 255.255.255.255 alias
povoleni jednoho portu ve firewallu (uprava asi dvou radku v pf.conf)
# service pf reload
# ezjail-admin create <nazev> <IP>
# ezjail-admin start <nazev>
# ezjail-admin console <nazev>
j# pkg_add -r <zavislosti evil_program>
...instalace evil_program...
j# you_can_run_evil_program_jailed_now
No ale to jsme se dostali dost off topic :)
-
Protože další šifrování je práce navíc a ještě si musím někam poznamenat heslo - prostě celá řada komplikací.
Ty filmy na DVD (origoš) jsou :) a mít další DVD jako zálohy nechci - další místo a je to mrtvé médium.
Proč to na to MEGA prostě nenahrát zašifrované TrueCryptem? ::)
A vůbec, proč někam nahrávat filmy, když se PRO ZÁLOHOVÁNÍ dají vypálit na DVD?
-
Stačí si dát jako heslo "heslo+vlastnínázevsouboru" nebo "tramtadada123456789" protáhnout to pračkou whirlpool+AES a je to ::)
Jinak DVD mi až tak mrtvé nepřipadá, naopak se mi povedlo sehnat BlueRay vypalovačku do compu za 1000,- vč DPH novou v Akci a médium 25GB za 25Kč ::)
-
...
To vypadá dobře....
-
PS: To, že ten klient není OpenSource je docela velké mínus ::)
Znám hodně blbů programátorů, kteří si do kódu "z principu" (jejich vlastní magorský princip) dávají backdoor.
Nic takového v compu fáááákt nechci.
Až někdo udělá kontejnerový systém, kdy každý program bude moci běžet v rámci svého uzavřeného kontejneru, tak pak možná, do té doby ani náhodou, ale je hodně BFU, co si do počítače nahrají i cizí BTC miner.
No, stačí si spustit wireshark či strace a je hned vidět když aplikace komunikuje jinam, než na megu. Případně IDA/Hex-Rays Decompiler (což zobrazí celkem snadnio pochopitelný zdroják) a podívat se co se v aplikaci skutečně děje a vzhledem k tomu, že není staticky zkompilovaná bude to triviální pochopit, protože tam bude jen kód co jsem psal já. Kontejnerů a bezpečnostních řešení pro omezení činnosti aplikací je pod linuxem taky dost.
Taky doporučuji googlit backdoory v opensource aplikacích, aby jsi neměl falešnou představu o bezpečnosti OSS aplikací.
-
No, stačí si spustit wireshark či strace a je hned vidět když aplikace komunikuje jinam, než na megu. Případně IDA/Hex-Rays Decompiler (což zobrazí celkem snadnio pochopitelný zdroják) a podívat se co se v aplikaci skutečně děje a vzhledem k tomu, že není staticky zkompilovaná bude to triviální pochopit, protože tam bude jen kód co jsem psal já.
Tím spíš je divné, že ten zdroják nezveřejníš sám, ne?
-
Wireshark je pěkná věc, ale neukáže ti, že si ten program třeba 1x týdně nešáhne pro aktualizace, nebo si je přímo nestáhne z tvého účtu z Mega. Ostatně bylo by logické udělat si bd tak, že kontroluje tvůj účet na Mega. Já tě z toho nechci obviňovat, ale pokud to nechceš prodávat, tak bys ten zdroják zveřejnit mohl ::)
-
No ale to jsme se dostali dost off topic :)
jeste prihodim: neni to tak davno co jsem, tusim, na abclinuxu postrehl, pokus neco takoveho zrealizovat v chrootu i z forwardem displaye. A uspesne. Takze jeste zapojit cgroups, selinux a poradne si posvitit na zradnej chroot a umime to taky.. : ) [no flame]
Ne vazne. Zony!, na to opravdu vyplati podivat.
-
Má to dobře udělané. Až si pro něho přijdou, tak všechny hodí přes palubu. Totiž jako Linuxák jsem vyšetřil pár věcí. Aby to fungovalo, tak je optimální sestava bonzácké widle, bonzácký chrome, bonzácký adobe flash player. Tyto tři softy dělají americké firmy a jsou vázány zákonem (http://www.lupa.cz/clanky/otevreny-dopis-adresovany-skype-zada-microsoft-o-jasne-informace-o-soukromi-uzivatelu/) aby se kdokoli mohl šťoutrat ve vašich datech. Takže na tomto softu se generuje pár klíčů, jehož privátní část ani nedostane, však na co, když je generovaný a uložený v tomto softu.
Chrome bonzácký asi je a windows asi také, avšak spoustu se toho dá vypnout a deaktivovat v nastaveních, pochybuji, že při počtu jejich uživatelů by autoři implementovali nějakou funkci, která by posílala soukromá data jim a ty by se daly následně sdílet s někým jiným a zneužít..
To samé s flash playerem, aby posílal závažná citlivá data mimo PC, myslím že by se to zjistilo? mluvit o trojce windows, chrome, flash jako o bonzácké mi přijde trochu nepřiměřené a paranoidní.
Jinak pokud k Mega.co.nz přistupuji přes socks proxy a jsem řadový občan který nikoho nezajímá, myslím že nikdo nezjistí (české úřady) jaký vlastně mám na mega účet, natož ještě zajišťovat součinnost s megou, která tvrdí že o ničem neví a je na Novém Zélandu..
(mnou uvedené informace na této stránce mohou být nesmysly a netvrdím že je to pravda)