Mega.co.nz a bezpečnost

[Mirek Prýmek]

Zrovna tak by som sa ja mohol spytat naopak. Mate k dispozicii citaciu opacnu? (kedze povodne ste s tym zacali Vy?)

Zacal jsem si vetou "Jako jediné zálohovací médium bych si to fakt nelajznul.", cili tvrzenim "MP by si to nelajznul".
Dolozeni tvrzeni citaci: MP na root.cz napsal: "Jako jediné zálohovací médium bych si to fakt nelajznul."

Jestli si to nekdo lajzne, at si zalohuje treba na brezovou kuru.

[Reklama]

[Pavel]

Zrovna tak by som sa ja mohol spytat naopak. Mate k dispozicii citaciu opacnu? (kedze povodne ste s tym zacali Vy?)

Zacal jsem si vetou "Jako jediné zálohovací médium bych si to fakt nelajznul.", cili tvrzenim "MP by si to nelajznul".
Dolozeni tvrzeni citaci: MP na root.cz napsal: "Jako jediné zálohovací médium bych si to fakt nelajznul."

Zrovna tak ako na jednu flash/jedno diskove pole.
Nepoznam nikoho kto zalohuje aspon trochu seriozne a robi to na jedno zariadenie. Vy mozno ano.
To je gro toho co Vam vravim.

Vase vyhlasenie ma zmysel jedine v kontexte, ze "Mega ma vyrazne nizsiu spolahlivost ako ine dostupne zariadenia".

Jestli si to nekdo lajzne, at si zalohuje treba na brezovou kuru.

To, ze si prezentujete, ze MP je ekvivalent brezovej kory je Vasa sukromna obsesia (ku ktorej silne pochybujem, ze mate citaciu).
Kedze je to zalezitost ciste politicka a nie technicka, tak je mozno aj pravdu (co si ale nemyslim).

[Mirek Prýmek]

To je gro toho co Vam vravim.

Dobre. Ja jsem rekl, ze bych se na Mega jako JEDINE zarizeni nespolihal, maximalne jako na druhe a vy jste mi sdelil, ze nikdo rozumny nezalohuje na jedno zarizeni.

Dekuji za diskusi

[Ge Bu]

Vypadá to rozumně. A neví někdo jakou mají politiku?

K tomu smazání mě napadlo, že by mohli mít politiku takovouhle: pokud vy (údajný vlastník práv k tomu obsahu) tvrdíte, že jsou data sdílena, ukažte nám, že k nim máte klíč. Pokud jste se ke klíči nedostali, o jakém sdílení je řeč? Z hlediska Mega by to bylo administrativně elegantní, nemuseli by nic řešit. A každý, kdo by tam něco ukládal, by si musel rozmyslet, komu klíč dává.

[Ondřej]

Vypadá to rozumně. A neví někdo jakou mají politiku?

K tomu smazání mě napadlo, že by mohli mít politiku takovouhle: pokud vy (údajný vlastník práv k tomu obsahu) tvrdíte, že jsou data sdílena, ukažte nám, že k nim máte klíč. Pokud jste se ke klíči nedostali, o jakém sdílení je řeč? Z hlediska Mega by to bylo administrativně elegantní, nemuseli by nic řešit. A každý, kdo by tam něco ukládal, by si musel rozmyslet, komu klíč dává.

https://mega.co.nz/#terms

[Reklama]

[PanKapitanRUM]

Proč to na to MEGA prostě nenahrát zašifrované TrueCryptem? 
A vůbec, proč někam nahrávat filmy, když se PRO ZÁLOHOVÁNÍ dají vypálit na DVD?

PS: To, že ten klient není OpenSource je docela velké mínus 
Znám hodně blbů programátorů, kteří si do kódu "z principu" (jejich vlastní magorský princip) dávají backdoor.
Nic takového v compu fáááákt nechci.

Až někdo udělá kontejnerový systém, kdy každý program bude moci běžet v rámci svého uzavřeného kontejneru, tak pak možná, do té doby ani náhodou, ale je hodně BFU, co si do počítače nahrají i cizí BTC miner.

[Mirek Prýmek]

Až někdo udělá kontejnerový systém, kdy každý program bude moci běžet v rámci svého uzavřeného kontejneru

To existuje a jmenuje se to jaily nebo zóny

[PanKapitanRUM]

Ano, samozřejmě vím, co je JAIL
A taky že honit uvnitř toho programy je poměrně nepohodlné.

Řekněme že tu mluvím o systému, který by z principu odděloval jednotlivé procesy, umožňoval pro každý nastavit vlastní pravidla firewallu, omezit paměť i prostředky CPU, možnosti spouštění a to tak, aby o tom uživatel vlastně ani nevěděl....
Ne aby se s rozchozením programu v Jailu musel člověk drbat týden....

[Mirek Prýmek]

Ne aby se s rozchozením programu v Jailu musel člověk drbat týden....

Zrovna dneska jsem rozcházel jeden program v jailu za asi tak za tři minuty:

Kód: [Vybrat]

# ifconfig lo1 <IP jailu> netmask 255.255.255.255 alias
povoleni jednoho portu ve firewallu (uprava asi dvou radku v pf.conf)
# service pf reload
# ezjail-admin create <nazev> <IP>
# ezjail-admin start <nazev>
# ezjail-admin console <nazev>
j# pkg_add -r <zavislosti evil_program>
...instalace evil_program...
j# you_can_run_evil_program_jailed_now
No ale to jsme se dostali dost off topic

[Ge Bu]

Protože další šifrování je práce navíc a ještě si musím někam poznamenat heslo - prostě celá řada komplikací.
Ty filmy na DVD (origoš) jsou a mít další DVD jako zálohy nechci - další místo a je to mrtvé médium.

Proč to na to MEGA prostě nenahrát zašifrované TrueCryptem? 
A vůbec, proč někam nahrávat filmy, když se PRO ZÁLOHOVÁNÍ dají vypálit na DVD?

[PanKapitanRUM]

Stačí si dát jako heslo "heslo+vlastnínázevsouboru" nebo "tramtadada123456789" protáhnout to pračkou whirlpool+AES a je to

Jinak DVD mi až tak mrtvé nepřipadá, naopak se mi povedlo sehnat BlueRay vypalovačku do compu za 1000,- vč DPH novou v Akci a médium 25GB za 25Kč

[PanKapitanRUM]

...

To vypadá dobře....

[Ondřej]

PS: To, že ten klient není OpenSource je docela velké mínus 
Znám hodně blbů programátorů, kteří si do kódu "z principu" (jejich vlastní magorský princip) dávají backdoor.
Nic takového v compu fáááákt nechci.

Až někdo udělá kontejnerový systém, kdy každý program bude moci běžet v rámci svého uzavřeného kontejneru, tak pak možná, do té doby ani náhodou, ale je hodně BFU, co si do počítače nahrají i cizí BTC miner.

No, stačí si spustit wireshark či strace a je hned vidět když aplikace komunikuje jinam, než na megu. Případně IDA/Hex-Rays Decompiler (což zobrazí celkem snadnio pochopitelný zdroják) a podívat se co se v aplikaci skutečně děje a vzhledem k tomu, že není staticky zkompilovaná bude to triviální pochopit, protože tam bude jen kód co jsem psal já. Kontejnerů a bezpečnostních řešení pro omezení činnosti aplikací je pod linuxem taky dost.

Taky doporučuji googlit backdoory v opensource aplikacích, aby jsi neměl falešnou představu o bezpečnosti OSS aplikací.

[Franta <xkucf03/>]

No, stačí si spustit wireshark či strace a je hned vidět když aplikace komunikuje jinam, než na megu. Případně IDA/Hex-Rays Decompiler (což zobrazí celkem snadnio pochopitelný zdroják) a podívat se co se v aplikaci skutečně děje a vzhledem k tomu, že není staticky zkompilovaná bude to triviální pochopit, protože tam bude jen kód co jsem psal já.

Tím spíš je divné, že ten zdroják nezveřejníš sám, ne?

[PanKapitanRUM]

Wireshark je pěkná věc, ale neukáže ti, že si ten program třeba 1x týdně nešáhne pro aktualizace, nebo si je přímo nestáhne z tvého účtu z Mega. Ostatně bylo by logické udělat si bd tak, že kontroluje tvůj účet na Mega. Já tě z toho nechci obviňovat, ale pokud to nechceš prodávat, tak bys ten zdroják zveřejnit mohl