Dotcom's Mega trekt eerste dag miljoen klanten

Het oploaden vindt plaats via een SSL-verbinding. Nadat deze tot stand is gebracht stuurt de Mega-server een JavaScript naar de pc van de klant die daar, voordat de upload start, de inhoud versleutelt. De SSL-verbinding is echter de zwakke schakel in het geheel volgens beveiligingsexpert Moxie Marlinspike in een interview met de Australische Computerworld. Al in 2009 liet hij zien met software genaamd SSLstrip een SSL-verbinding te kunnen onderscheppen en over te nemen. De hacker kan zo zijn eigen JavaScript-code naar de pc van de klant sturen en alsnog alles bekijken wat er over de lijn gaat, bijvoorbeeld de inloggegevens om de versleutelde bestanden op de Mega-site te bekijken.
Volgens Marlinspike is het beter gebruik te maken van encryptiesoftware die op de pc van client wordt geïnstalleerd onafhankelijk van het opzetten van de SSL-verbinding. Ook zou Mega een met een certificaat beveiligde browserextensie kunnen gebruiken voor de encryptie.
Klanten niet geïnteresseerd in beveiliging
Marlinspike denkt dat het de organisatie achter Mega helemaal niet te doen is om een beveiligde opslag te bieden. De meeste klanten hebben nauwelijks interesse voor de beveiliging want het gaat hen voornamelijk om het delen van bestanden. De opzet die de Mega-organisatie heeft gekozen, kan deze echter wel vrijpleiten van betrokkenheid bij eventuele schendingen van auteursrechten. de organisatie kan namelijk claimen dat ze geen toegang heeft tot de inhoud van de versleutelde bestanden op de server.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee