Alfonso Maruccia

Mega, le insidie del megaritorno

La nuova creatura di Kim Dotcom fa discutere, soprattutto per la problematica gestione della sicurezza dei file caricati sui server. Che potrebbero non essere del tutto privati

Roma - Mega, il nuovo cyber locker voluto da Kim Dotcom, catalizza dibattiti e speculazioni: l'erede di Megaupload è insicuro, dicono in molti, le password si crackano facilmente e più che alla riservatezza dei file caricati dagli utenti penserebbe soprattutto alla propria salvaguardia legale.

Il capitolo sicurezza è di quelli spinosi, difficili da controbilanciare con semplici dichiarazioni di circostanza: gli esperti che ci hanno messo sopra le mani, definiscono il meccanismo di cifratura usato per proteggere i file degli utenti "meno che ideale". Le chiavi crittografiche vengono conservate sul browser dell'utente, con il codice JavaScript responsabile di comunicare con il server protetto da una connessione SSL a 2048 bit. Più che sufficiente, dicono da Mega, ma se qualcuno prendesse il controllo dei server del servizio potrebbe "catturare" le chiavi del client e fare quel che vuole con i file.

A poche ore dall'attivazione, poi, qualcuno ha individuato una vulnerabilità XSS sul servizio - ma tale vulnerabilità è stata corretta nel giro di poco tempo, dice ancora la società di Dotcom.
Un'altra magagna viene dal processo di deduplicazione dei file archiviati, sistema che permette a Mega di risparmiare sullo storage eliminando tutti i nuovi file identici a quelli già presenti sui server.
Quelli di Mega sostengono che l'eliminazione dei duplicati avvenga solo nel caso in cui il file ridondante sia stato già salvato in precedenza e protetto con la stessa chiave crittografica. Altri sollevano invece il dubbio sulla capacità del servizio di riconoscere i file ridondanti scansionandone i contenuti "in chiaro", un fatto che getterebbe ulteriore discredito sui meccanismi di protezione e difesa della privacy propagandati da Dotcom.

E in attesa di verificare se per il crack delle password di Mega sia sufficiente leggere l'email contenete l'hash crittografico durante la registrazione al servizio, la nuova creatura di Dotcom fa discutere anche dal punto di vista legale: l'idea di gestire le chiavi di cifratura sul client, questione pubblicizzata come un vantaggio per la riservatezza degli utenti, garantirebbe in primo luogo a Mega una protezione molto più robusta contro l'industria dei contenuti e le sue crociate in difesa del copyright, svincolando il servizio da ogni responsabilità.

Alfonso Maruccia
Notizie collegate
  • AttualitàMega, il megaritornoCelebrata in grande stile, la rinascita del cyberlocker ad un anno esatto dal raid statunitense. Il boss Kim Dotcom sembra al riparo da eventuali magagne legali. Un milione di iscritti in un solo giorno
66 Commenti alla Notizia Mega, le insidie del megaritorno
Ordina
  • Io mi sono registrato subito , ma a distanza di qualche giorno i file non si riesce ad upparli, e parlo di file pdf di piccola entità. Il blocco è continuo, si riescono ad uppare 3 file e poi si blocca. Secondo me è presto a cantar vittoria caro KIM
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Ludevin
    > > Io mi sono registrato subito , ma a distanza
    > di
    > > qualche giorno i file non si riesce ad
    > upparli,
    > e
    > > parlo di file pdf di piccola entità. Il
    > blocco
    > è
    > > continuo, si riescono ad uppare 3 file e poi
    > si
    > > blocca. Secondo me è presto a cantar vittoria
    > > caro
    > > KIM
    >
    > Kim dice che il 98% degli utenti ora non ha più
    > problemi.
    Una garanziaA bocca aperta
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: armstrong
    >
    > > > Kim dice che il 98% degli utenti ora
    > non
    > ha
    > > più
    > > > problemi.
    > > Una garanziaA bocca aperta
    >
    > Beh, la sua dichiarazione ha coinciso con la
    > funzionalità a piena banda delle persone che
    > conosco, quindi potrei
    > fidarmi.
    > Tra l'altro i siti che analizzano il traffico,
    > affermano che ha già sorpassato dropbox e
    > rapidshare, per nominare due
    > famosi...

    Questo spiegherebbe il perchè andava cosi maleA bocca aperta
    Sgabbio
    26178
  • c'è questo sito
    http://mega-search.me/

    è una specie di files-tube per MEGA o è solo un fake?
  • Un primo grande risultato Mega lo ha gia` ottenuto.
    Leggendo in diversi forum constato che migliaia di casalinghe di Voghera e di Costantini Vitaliani sono diventati tutti, improvvisamente, esperti di crittografia A bocca aperta
    non+autenticato
  • Beh, considerando che prima neanche sapevano esistesse. Mi sembra un bel risultato.
    Ora devono solo capire che non serve per cucinareA bocca aperta
    non+autenticato
  • - Scritto da: Dreikan
    > Beh, considerando che prima neanche sapevano
    > esistesse. Mi sembra un bel
    > risultato.
    > Ora devono solo capire che non serve per cucinare
    >A bocca aperta

    Appena capiscono che serve a scaricare aggratisse vedrai che sembrera' non abbiano mai fatto altro.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Dreikan
    > > Beh, considerando che prima neanche sapevano
    > > esistesse. Mi sembra un bel
    > > risultato.
    > > Ora devono solo capire che non serve per
    > cucinare
    > >A bocca aperta
    >
    > Appena capiscono che serve a scaricare aggratisse
    > vedrai che sembrera' non abbiano mai fatto
    > altro.
    Ma quando alla richiesta password metteranno sei asterischi e vedranno che non funziona, lasceranno perdereA bocca aperta
    non+autenticato
  • - Scritto da: armstrong
    > - Scritto da: krane
    > > - Scritto da: Dreikan
    > > > Beh, considerando che prima neanche
    > sapevano
    > > > esistesse. Mi sembra un bel
    > > > risultato.
    > > > Ora devono solo capire che non serve per
    > > cucinare
    > > >A bocca aperta

    > > Appena capiscono che serve a scaricare
    > > aggratisse vedrai che sembrera' non abbiano
    > > mai fatto altro.
    > Ma quando alla richiesta password metteranno
    > sei asterischi e vedranno che non funziona,
    > lasceranno perdere
    >A bocca aperta

    Non e' mica detto che serva mettere la password per scaricare, secondo quanto ho letto dovrebbe viaggiare con il link, comque vedrai che le massae si adattano, non e' mica piu' comlesso di fare un brasato.
    krane
    22544
  • già provato... il link di condivisione è in chiaro... ci clicchi sopra e scarichi... puoi anche non essere registrato.
    non+autenticato
  • - Scritto da: fan
    > già provato... il link di condivisione è in
    > chiaro... ci clicchi sopra e scarichi... puoi
    > anche non essere registrato.

    Ok, perfetto, dico a nonna che puo' scaricare tranquilla anche lei.
    krane
    22544
  • Scusate se lo scrivo qui, ma mi sapreste dire come viene calcolata la chiave di crittografia, oppure potreste indicarmi un link dove lo dice?
    Questo dubbio mi è venuto perché avevo letto che la chiave era la propria password, ma a vedere dal fatto che è possibile caricare files senza essere registrati mi vengono dei dubbi(e anche dal vedere che la chiave di decrittazione che mi da per diversi files non è la medesima)...
    non+autenticato
  • - Scritto da: Mario Rossi
    > Scusate se lo scrivo qui, ma mi sapreste dire
    > come viene calcolata la chiave di crittografia,
    > oppure potreste indicarmi un link dove lo
    > dice?
    > Questo dubbio mi è venuto perché avevo letto che
    > la chiave era la propria password, ma a vedere
    > dal fatto che è possibile caricare files senza
    > essere registrati mi vengono dei dubbi(e anche
    > dal vedere che la chiave di decrittazione che mi
    > da per diversi files non è la medesima)...

    Non ho ancora dettagli tecnici, sto attendendo la trasparenza che dovrebbe contraddistinguere un sito del genere.
    krane
    22544
  • contenuto non disponibile
  • - Scritto da: Mario Rossi
    > dal fatto che è possibile caricare files senza
    > essere registrati

    Non mi risulta.
    Si può scaricare senza essere registrati, ma non caricare (a differenza del vecchio mega).
  • solo chi non capisce di web non riesce a vedere che strumento è riuscito a creare Kim... questo è solo l'inizio... ha portato il cloud a costi accettabili per chiunque... il sistema di criptazione è fantastico è chiaro che se l'utente che lo usa è un pirla non ci si può difendere essendo tutto lato client ma questo vale anche al di fuori del web.
    Il tutto il sistema ha solide API, lo vedremo con la nascita dei vari nuovi servizi Mega e chissa cos'altro ci si può fare...
    Per il momento riesco a usrlo più che bene dopo i problemi iniziali... ora vediamo come andrà ma sono sicuro che ci sarà da divertirsi?
    P.S.
    Accordi con l'fbi? dopo quello che gli hanno fatto ma state fuori?
    non+autenticato
  • mi da sempre errore di connessione, l'indirizzo non è mega.co.nz?
    Ci sto provando da quando il panzone ha detto non avevo visto una cosa del genere da 0 a 10Gbit in 10 minuti
    Sono stato bannato? Ho cambiato un bel po' di volte.
    non+autenticato
  • - Scritto da: Mega fail
    > mi da sempre errore di connessione, l'indirizzo
    > non è mega.co.nz?

    Ci stai andando con Chrome?
  • - Scritto da: Luco, giudice di linea mancato
    > - Scritto da: Mega fail
    > > mi da sempre errore di connessione,
    > l'indirizzo
    > > non è mega.co.nz?
    >
    > Ci stai andando con Chrome?

    io mi sono registrato tranquillamente con FF (dopo averlo abilitato su noscript)
    Non ho ancora uploadato niente, ma quando ho guardato la pagina degli UL mi è apparso un popup che consigliava di usare Chrome.
    Funz
    12972
  • - Scritto da: Funz
    > - Scritto da: Luco, giudice di linea mancato
    > > - Scritto da: Mega fail
    > > > mi da sempre errore di connessione,
    > > l'indirizzo
    > > > non è mega.co.nz?
    > >
    > > Ci stai andando con Chrome?
    >
    > io mi sono registrato tranquillamente con FF
    > (dopo averlo abilitato su
    > noscript)
    > Non ho ancora uploadato niente, ma quando ho
    > guardato la pagina degli UL mi è apparso un popup
    > che consigliava di usare
    > Chrome.

    Boh, a me con FF mi compare la barra e rimane lì a caricare all'infinito. Con Chrome nessun problema.
  • - Scritto da: Luco, giudice di linea mancato
    > - Scritto da: Funz
    > > - Scritto da: Luco, giudice di linea mancato
    > > > - Scritto da: Mega fail
    > > > > mi da sempre errore di connessione,
    > > > l'indirizzo
    > > > > non è mega.co.nz?
    > > >
    > > > Ci stai andando con Chrome?
    > >
    > > io mi sono registrato tranquillamente con FF
    > > (dopo averlo abilitato su
    > > noscript)
    > > Non ho ancora uploadato niente, ma quando ho
    > > guardato la pagina degli UL mi è apparso un
    > popup
    > > che consigliava di usare
    > > Chrome.
    >
    > Boh, a me con FF mi compare la barra e rimane lì
    > a caricare all'infinito. Con Chrome nessun
    > problema.

    Sarà perché uso HTTPSEverywhere?
    (suggerimento preso da Fai il login o Registrati qui sotto)
    Funz
    12972
  • - Scritto da: Mega fail

    > Sono stato bannato? Ho cambiato un bel po' di
    > volte.

    No... sei solo un videotechino sta tranquilloOcchiolino
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Mega fail
    > > mi da sempre errore di connessione,
    > l'indirizzo
    > > non è
    > > mega.co.nz?
    > > Ci sto provando da quando il panzone ha
    > detto
    > non
    > > avevo visto una cosa del genere da 0 a
    > 10Gbit
    > in
    > > 10
    > > minuti
    > > Sono stato bannato?
    >
    >
    > Sì.
    > Bannazione!
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • usa l'https non l'httpOcchiolino
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)