Mega.co.nz a bezpečnost

[Ondřej]

Model mají bezpečný. S jejich webovou aplikací je jen ten problém, že ukládá 128 bitový klíč odvozený z hesla do localStorage a stačí aby upravili web aplikaci, aby jim klíč nějak zaslala a bez problémů s ním dešifrují master key, který v zašifrované podobě mají uložený u sebe a tím pak celý uživatelův filesystém.

Osobně bych věřil bezpečnosti Mega s alternativním klientem. No a protože mě zaujalo jejich 50 GB zdarma, tak jsem jeden napsal.

http://www.youtube.com/watch?v=LWfFMysaspQ

A vyrojí se jich víc, až vydají SDK. Nedivil bych se, kdyby se pak vyrojili i aplikace na streamování videa/hudby z Mega a podobně.

[Reklama]

[PanKapitanRUM]

No a protože mě zaujalo jejich 50 GB zdarma, tak jsem jeden napsal.
http://www.youtube.com/watch?v=LWfFMysaspQ

Velmi pěkné, ale bylo by hezčí to moct použít jako SkyDrive tj. přístup přes písmenko nebo adresář.

[Franta <xkucf03/>]

S jejich webovou aplikací je jen ten problém, že ukládá 128 bitový klíč odvozený z hesla do localStorage a stačí aby upravili web aplikaci, aby jim klíč nějak zaslala a bez problémů s ním dešifrují master key, který v zašifrované podobě mají uložený u sebe a tím pak celý uživatelův filesystém.

Na tom je hezky vidět, jak jsou „webové aplikace“ zvrácená věc. Splývají u nich data a program do jednoho a uživatel nemá kontrolu ani nad programem (stahuje se z webu nebo běží na serveru a aktualizuje se bez vědomí uživatele) ani nad daty (jsou obvykle uložena na serveru, ale i kdyby byla lokálně, není pro server problém je uživateli ukrást).

Řešením je oddělení programu od dat – desktopová aplikace, od které má uživatel zdrojáky a má nad ní plnou kontrolu + data na serveru, ke kterým se přistupuje pomocí API a která jsou šifrovaná klíčem, který nikdy neopustí počítač uživatele.

Mega AFAIK patří k těm lepším a serióznějším – i když tu tenhle model teď třeba nefunguje, je to na něj připravené a nemělo by takovému bezpečnému používání nic bránit.

[Ondřej]

No a protože mě zaujalo jejich 50 GB zdarma, tak jsem jeden napsal.
http://www.youtube.com/watch?v=LWfFMysaspQ

Velmi pěkné, ale bylo by hezčí to moct použít jako SkyDrive tj. přístup přes písmenko nebo adresář.

Taky by se mi to líbilo. Snad by to bylo i možné, až na ten problém že při úpravě souboru by ho bylo nutné zase celý nahrát znovu.

[Ondřej]

Mega AFAIK patří k těm lepším a serióznějším – i když tu tenhle model teď třeba nefunguje, je to na něj připravené a nemělo by takovému bezpečnému používání nic bránit.

To je pravda, mají veřejné API pro celou svoji službu. Od registrace, ověření mailem, až po kupování členství - a jsou nadšení z toho, když ostatní píšou pro jejich službu alternativní klienty.

BTW, už jsem doplnil i nástroj na registraci účtu a je tedy možné Megu používat bez toho aby se člověk jen podíval na jejich web. S takovým nástrojem už Mega nemá možnost získat klíč k datům, která skladují, přesně jak chtěli.

[Reklama]

[Jenda]

BTW, už jsem doplnil i nástroj na registraci účtu a je tedy možné Megu používat bez toho aby se člověk jen podíval na jejich web. S takovým nástrojem už Mega nemá možnost získat klíč k datům, která skladují, přesně jak chtěli.

Hezké. Ale zdá se mi to, nebo na http://megatools.megous.com/ jdou stáhnout jen binárky? Zdroják?

[Ondřej]

Hezké. Ale zdá se mi to, nebo na http://megatools.megous.com/ jdou stáhnout jen binárky? Zdroják?

Nezdá, zdrojáky zatím nebudou veřejné.

[neruda]

Hezké. Ale zdá se mi to, nebo na http://megatools.megous.com/ jdou stáhnout jen binárky? Zdroják?

Nezdá, zdrojáky zatím nebudou veřejné.

coz je samozrejme velmi duveryhodne ....

[Ge Bu]

Mě k tomuto tématu nezajímá ani tak bezpečnost ve smyslu, jestli někdo může k mým datům, ale otázka mazání dat ze strany Mega.
Zachytil jsem, že pokud budou soubory porušovat autorská práva, tak že dojde k mazání.
Jak to ale v Mega zjistí? Když k mým datům nemají přístup. Nebo se jedná o soubory, které budou nasdílené někam ven?
Uvažuji si do Mega zálohovat kopie Video DVD (koupených) - pokud by byla větší šance, že to smažou, tak to nemá smysl.

[Ondřej]

Mě k tomuto tématu nezajímá ani tak bezpečnost ve smyslu, jestli někdo může k mým datům, ale otázka mazání dat ze strany Mega.
Zachytil jsem, že pokud budou soubory porušovat autorská práva, tak že dojde k mazání.
Jak to ale v Mega zjistí? Když k mým datům nemají přístup. Nebo se jedná o soubory, které budou nasdílené někam ven?
Uvažuji si do Mega zálohovat kopie Video DVD (koupených) - pokud by byla větší šance, že to smažou, tak to nemá smysl.

Jo, soubory nasdílené ven.

[Ge Bu]

Pokud tedy nebudu soubory sdílet ven tak pravděpodobnost smazání se zmenšuje? To je dobrá zpráva.
Jednalo by se samozřejmě o zálohu, ale kdo by se s tím dělal, když by hrozilo smazání.

Jo, soubory nasdílené ven.

[Mirek Prýmek]

Pokud tedy nebudu soubory sdílet ven tak pravděpodobnost smazání se zmenšuje? To je dobrá zpráva.
Jednalo by se samozřejmě o zálohu, ale kdo by se s tím dělal, když by hrozilo smazání.

U externího úložiště hrozí ztráta vždycky. Jako jediné zálohovací médium bych si to fakt nelajznul.

K tomu smazání mě napadlo, že by mohli mít politiku takovouhle: pokud vy (údajný vlastník práv k tomu obsahu) tvrdíte, že jsou data sdílena, ukažte nám, že k nim máte klíč. Pokud jste se ke klíči nedostali, o jakém sdílení je řeč? Z hlediska Mega by to bylo administrativně elegantní, nemuseli by nic řešit. A každý, kdo by tam něco ukládal, by si musel rozmyslet, komu klíč dává.

[Pavel]

U externího úložiště hrozí ztráta vždycky. Jako jediné zálohovací médium bych si to fakt nelajznul.

Pomerne podivna myslienka ... ak mate JEDINE zalohovacie medium, tak nieco co ma uplne ine parametre pravdepodobnosti zlyhania
je velmi dobre cielene pouzit. Pravdepodobnost, ze umrie zalohavacie zariadenie a ze Kimovi zavru Mega je porovnatelna, takze ani tu netratite.
(odmyslime si zariadenia urcene pre firmy velkosti Telekomu)

[Mirek Prýmek]

ak mate JEDINE zalohovacie medium, tak nieco co ma uplne ine parametre pravdepodobnosti zlyhania
je velmi dobre cielene pouzit.

Jako doplnek ano. Jako jedine medium ne.

Pravdepodobnost, ze umrie zalohavacie zariadenie a ze Kimovi zavru Mega je porovnatelna

[citation needed]

[Pavel]

ak mate JEDINE zalohovacie medium, tak nieco co ma uplne ine parametre pravdepodobnosti zlyhania
je velmi dobre cielene pouzit.

Jako doplnek ano. Jako jedine medium ne.

Zalohovat na jedine medium je v pripade vacsiny medii rovnaka blbost.
To je to na co som povodne reagoval.

Pravdepodobnost, ze umrie zalohavacie zariadenie a ze Kimovi zavru Mega je porovnatelna

[citation needed]

Ja ju nepotrebujem, staci mi sledovat zivotnost CD/DVD/HDD/Flash (t.j. beznych off-line zariadeni) a porovnat si ju zo zivotnostou on-line sluzieb.
Zrovna tak by som sa ja mohol spytat naopak. Mate k dispozicii citaciu opacnu? (kedze povodne ste s tym zacali Vy?)