Что за программа mega

Содержание

О чем эта статья и зачем вам это нужно. Эта статья о хранилище MEGA. MEGA — защищенное хранилище с шифрованием файлов. На мой взгляд это интересное решение, поэтому я решил написать об этом статью. Аналогов MEGA практически нет.

У MEGA 150 миллионов зарегистрированных пользователей. Это уже серьёзно.

Вам может понадобится MEGA так как это хранилище

  • хранит ваши файлы зашифрованными, а ключи есть только у вас
  • серверы компании расположены в Новой Зеландии и подчиняются законодательству этой страны

Итого крайне сложно получить вашу информацию как физически, так и юридически. И это та особенность, которая отличает это хранилище от других. А нужна ли вам такая безопасность — решать только вам. Все ссылки будут в конце статьи.

Что предлагает MEGA

  • 15 ГБ места бесплатно (+35 ГБ «временно-бесплатно», за участие в программах)
  • встроенное шифрование, причем ключи хранятся у вас
  • дополнительные опции в виде общения, видеозвонков и всё это тоже зашифровано (зависит от тарифа)

При входе, в верхнем меню, желательно сразу выбрать русский язык. Руссификация у MEGA неплохая.

Как зайти на МЕГА Маркет | MEGA Market

Есть русский язык. В появившемся окне выберите его и нажмите сохранить.

Далее создаем новый аккаунт. Регистрация достаточно простая.

Регистрация проходит в одно действие.

А вот предлагаемые тарифы достаточно дорогие. Можно посмотреть увеличенную картинку с тарифами нажав на неё, но я вам и так скажу, что 700 рублей за 1ТБ в месяц — это дорого. Дорого, по сравнению с другими хранилищами.

Тарифы дорогие. Остается только бесплатный.

При первом входе нам напоминают, что если мы забудем пароль, то не сможем получить доступ к нашим файлам. И дают единственное альтернативное средство восстановления в виде ключа.

Если пользователь забудет пароль, то только этот ключ восстановит доступ к его данным.

Интерфейс у MEGA достаточно простой. В отличии от других хранилищ, тут есть только базовые опции:

  • загрузка и скачивание файлов и папок

Простой интерфейс. Но есть все базовые опции.

  • создание ссылки для скачивание файла. Причем можно отправить ссылку на зашифрованный файл, а потом передать (или продать?) ключ. Или отправить ссылку на расшифрованный файл (содержащую ключ).

Интересная возможность.

Особого внимания заслуживает опция создания общих папок. То есть вы можете создать общую папку и назначить к ней права доступа. И любой пользователь MEGA сможет взаимодействовать с этой папкой. Закачивать туда файлы, скачивать их оттуда, создавать подпапки. Или несколько пользователей.

И всё это зашифровано.

Общая папка. Мало того что обмен и шифрование, так ещё и бесплатное место.

Читайте также:
Для чего программа топер

Есть также и чат. Веб аналог Skype. Поддерживаются зашифрованные звонки, передача сообщений и файлов.

Основной упор в чате делается на безопасность.

Разумеется, как у всех облачных хранилищ у MEGA есть приложение для синхронизации с различными устройствами. Поддерживаются все типовые операции.

Облачный сервис MEGA — Как загружать файлы на облако

Есть всё что нужно.

Ваши файлы с компьютера (и других устройств) будут автоматически синхронизироваться с облачным хранилищем MEGA. Они будут автоматически закачиваться, скачиваться (обновляться), шифроваться в облаке и дешифроваться у вас на устройствах. И всё это «на лету», быстро и удобно.

Ваши файлы — только ваши. А с другом обмен идет через другую папку.

Выводы

Основная идея MEGA — это хранение и обмен информацией в зашифрованном виде. Видно, что основные силы были брошены на решения данной задачи. Объективно — все основные функции у этого хранилища есть.

Но стоит признать, что некоторые удобные опции, такие как создание файлов в облаке, работа с офисными файлами из браузера, онлайн просмотр и многое другое — недоступны.

Есть и ещё один минус данного хранилища — бесплатные ограничения. На бесплатном тарифе присутствуют ограничения в скорости, при превышении квоты на передачу информации. Также стоит упомянуть и о временных квотах на место, ведь +35 ГБ бесплатно, к сожалению, это временно.

Вы можете сами посмотреть все опции хранилища MEGA на их сайте или сразу зарегистрироваться . Там все относительно просто и понятно. И отсутствие некоторых опций — это не только недостаток, а своего рода преимущество выраженное в простоте интерфейса. Попробуйте, посмотрите, поймите нужно ли вам это.

Очень жаль, что мировой «облачный гигант» MEGA не заплатит мне за эту статью ни одной копейки. Но если вам понравилась эта статья и вы поняли «фишку» MEGA, то ставьте лайк. А ещё можно и подписаться на канал. Ведь я обязательно расскажу и про другие облачные хранилища. Или вы можете оставить свой комментарий к этой статье и даже с критикой безопасности MEGA (а она есть).

Ну а я, как всегда, постараюсь ответить на ваши комментарии.

Источник: dzen.ru

Mega: обзор (не)безопасности

Добрый день!
Будучи простым российским… неважно кем, я обычно не пишу статьи, а тихонько их читаю (мы, неважно кто, любим тишину). Однако, недавно мое внимание привлекло обилие англоязычных статей о (не)безопасности милого душе сервиса Mega. Поскольку в русскоязычной среде вопрос обсуждается менее бурно, я решил предложить вашему вниманию небольшой дайджест публикаций о «скандалоинтригах и расследованиях», недавно завертевшихся вокруг сервиса ув. тов. Доткома. Сразу должен предупредить, данная статья не содержит original research, сиречь моего собственного мнения о криптографии в Mega, а лишь стремится проинформировать русскоязычного читателя относительно состояния зарубежной дискуссии на эту тему.

Читайте также:
Microsoft web publishing wizard что это за программа

Итак, одной из первых тему безопасности Меги подняла ArsTechnica, в публикации с забавным названием «Megabad: A quick look at the state of Mega’s encryption». Несмотря на то, что статье не удалось избежать ряда нелепых журналистских ляпов (большая часть которых на настоящий момент уже исправлена, и увековечена лишь в комментариях), автор справедливо отметил ряд довольно крупных огрех со стороны Mega:

  • Слабость генератора случайных чисел, используемого Mega при создании RSA-пары (создатель Cryptocat, Nadim Kobeissi, долго и зло проходился по их генератору в твиттере)
  • Общая сложность системы и некоторая амбивалентность документации
  • Явное указание на наличие дедупликации в TOS («Our service may automatically delete a piece of data you upload or give someone else access to where it determines that that data is an exact duplicate of original data already on our service. In that case, you will access that original data»)

Помимо обсуждения дедупликации, статья Forbes содержит несколько довольно-таки резких комментариев (в частности, упомянутый выше Nadim Kobeissi заявил Forbes следующее: «если честно, у меня сложилось впечатление что это программировал я сам, в 2011 году, будучи при этом пьяным»). Особо следует отметить точку зрения Matthew Green (профессора криптографии в Институте Информационной Безопасности им. Джона Хопкинса), осудившего всю практику шифрования силами одного лишь яваскрипта в целом – «Верификация javascript’ом самого себя подобна попытке подтянуть себя вверх за шнурки. Ничего не выйдет». Интересно, что Green не первый, кто заговорил о фундаментальной уязвимости браузерной javascript-криптографии – тезис о ненадежности таких систем был изложен еще в 2011 году специалистами из Matasano Security.

Вежливо, но сурово раскритиковали Мегу и их коллеги по цеху из SpiderOak, опубликовав очень интересную статью об особенностях основ «Мега криптографии». В ней они указывают на крайнюю слабость самопальной функции деривации ключа, примененной командой Доткома при преобразовании пароля в мастер-ключ, используемый для дальнейшей шифрации асимметричного ключа (кстати, кое-кто уже состряпал утилиту для брутфорса хешей Меговских паролей, которые содержатся в ссылке подтверждения регистрации) и уязвимость процедуры аутентификации к реплей-атакам.

SpiderOak обещают продолжить изучение архитектуры Mega с обязательной публикацией (вероятно, сочных) результатов.

Ну и наконец, на сладкое, добрые прохожие из fail0verflow team обнаружили, что в механизме валидации компонентов страницы, используемом Mega (том самом механизме, о фундаментальной ненадежности которого говорил Matthew Green) имеется откровенно хрестоматийная ошибка – вместо криптостойкой хеш-функции используется СВС-МАС. Для тех, кто не очень знает толк в криптографических извращениях, стоит наверное пояснить, что СВС-МАС является аутенфикационным кодом сообщения (а отнюдь не хешем в строгом смысле слова), и использовать его в качестве хеша вредно для здоровья (пользователей), ибо позволяет «сильному» оппоненту (например, оператору CDN) осуществить хищение пользовательских ключей.
Mega отреагировали на найденную fail0verflow уязвимость крайне оперативно, и в настоящий момент используют SHA-256…Однако, наличие такого грубого ляпа у сервиса, гордящегося своей «криптографичностью», не может не тревожить.

Читайте также:
Мой офис пакет российских офисных программ что это

Ну вот наверное и все на сегодня.

Возможно, в дальнейшем я продолжу публиковать научно-популярные обзоры сканадалоинтриг и расследований, связанных с безопасностью различных сервисов (не только Mega).

[UPD]
В ответ на разгоревшуюся дискуссию, Мега организовала программу финансового поощрения «ответственных прохожих», и планирует платить награды за найденые баги.

  • удаленное выполнение кода на сервере Мега (включая SQL-injection)
  • удаленное выполнение кода в клиентском браузере (XSS-ки и.т.п.)
  • скомпрометировать криптографическую модель безопасности, манипулировать данными и ключами
  • обойти управление доступом, осуществлять несанкционированную перезапись и уничтожение ключей и пользовательских данных
  • подвергнуть угрозе пользовательские данные в случае захвата привязанного к аккаунту почтового ящика

Вкусно? Не совсем…

Есть еще ограничения, а именно: мега не будет платить за баги, требующие для использования очень больших вычислительных мощностей (что разумно), баги носящие условно-академический характер (что неблагоразумно, ибо как завещал тов. Шнаер, «Attacks always get better; they never get worse»), а также RE/DOS-уязвимости (что, мягко говоря, странно, ибо такие атаки ну никак не относятся к категории проблем, о которых нормальный хозяин веб-сервиса хотел бы узнать «по факту применения») и атаки требующие (неопределенно) большое количество запросов к серверу.

Откровенно настораживает отношение Меги к проблеме недостаточного количества энтропии при генерации ключей, которую Мега отнесла к «академическим» проблемам, и потребовала «показать реальную уязвимость» (На всякий случай напоминаю, что «недослучайные» RSA ключи это весьма серьезно). К сожалению, криптографические проблемы нельзя решить путем методичного самовнушения про «отсутствие реальной уязвимости»…

Также мега аккуратно обошла вопрос относительно возможной идентификации хранимых шифртекстов (то есть идентификации контента без расшифровки, силами дедупликационного механизма или других архитектурных особенностей), в особенности обладателями копии плейнтекста (ну, вы понимаете, о ком я)

В целом, все это оставляет смешанное впечатление — хотя сумму в 10 000 евро маленькой назвать нельзя, условия мероприятия оставляют некоторый неприятный осадок.

  • Mega
  • Mega.co.nz
  • Ким Дотком
  • криптография
  • безопасность
  • безопасность веб-приложений
  • скандалоинтриги
  • расследования
  • Информационная безопасность
  • Криптография

Источник: habr.com

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru