کم ڈاٹ کام کی میگا سروس کی حفاظت پر شکست سیکورٹی محققین کے طور پر تنقید کا تجزیہ کرتا ہے کہ سائٹ کس طرح صارف کے ڈیٹا کی حفاظت کرتا ہے. مختصر طور پر، وہ مشورہ دیتے ہیں: اس پر بھروسہ نہ کریں.

میگا حکام نے یہ اعتراف کرتے ہوئے کہ وہ جاوا اسکرپٹ میں "newbies" ہیں، پروگرامنگ زبان ان کی خدمت کے اہم عنصروں کو انجام دینے کے لئے استعمال کرتے ہیں، وہ کہتے ہیں کہ ان کی ویب سائٹ آن لائن سے زیادہ خطرناک نہیں ہے. بینکنگ سائٹس پر حملہ کرنے کے لئے.

ڈاٹ کام نے آک لینڈ کے باہر اپنے حوصلہ افزائی میں اتوار کو میگا کے لئے ایک بڑی لانچ پارٹی پھینک دیا. سروس Megaupload کے جانبدار ہے، کاپی رائٹ کی سائٹ ہے کہ ڈاٹ کام اور ان کے ساتھیوں کو جنوری 2012 میں کاپی رائٹ خلاف ورزی کے الزامات پر الزام لگایا گیا تھا.

[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

کم ڈاٹ کام کے نئے فائل کی شراکت کی سروس میگا میگا، سیکورٹی ماہرین کی طرف سے تنقید کی جارہی ہے، لیکن چیف پروگرامر برام وین ڈیر کولک (بائیں) اور سی ٹی او متیس آرٹمن (دائیں) کا کہنا ہے کہ ان کی سائٹ آن لائن بینکنگ کی ویب سائٹوں سے زیادہ خطرناک نہیں ہے.

مبصرین کا دعوی کرتے ہیں.

میگا استعمال کرتا ہے SSL (سیکورٹی ساکٹ پرت) کے لئے ایک بڑے پیمانے پر استعمال پروٹوکول کا استعمال کرتا ہے.

میگا کام کے میگا کام کے ذریعہ میگا کے صارفین کو یقین ہے کہ سائٹ کا انکوائری ان کی رازداری اور ڈیٹا کی حفاظت کرے گا. اپنے صارفین کے کمپیوٹرز اور اس کے اپنے سرور کے درمیان کنکشن کو محفوظ کرنے کے لئے انٹرنیٹ بھر میں خفیہ کاری. ایک بار ایس ایس ایل کنکشن بنائے جانے کے بعد، میگا جاوا اسکرپٹ کوڈ کو کسی شخص کے براؤزر میں دھکا دیتا ہے، جس کے ذریعہ ڈیٹا کی فائلوں سے پہلے ڈیٹا کو میگا کے سرورز میں بھیج دیا جاتا ہے اس سے پہلے.

مسئلہ یہ ہے کہ SSL طویل عرصے سے ویب پر کمزور پوائنٹ کے طور پر تسلیم کیا گیا ہے.. 2009 میں، سیکورٹی محقق ماکسی مارلنسکی نے SSLstrip نامی ایک آلہ تیار کیا، جس سے حملہ آور کسی ایس ایس ایل کنکشن کو روکنے اور روکنے کی اجازت دیتا ہے. اس وقت حملہ آور جو جاسوس ویب سائٹ بھیجتا ہے اس کے بارے میں جاسوس کرسکتا ہے.

میگا بنیادی طور پر ایس ایس ایل پر منحصر ہے، کیونکہ "واقعی کلائنٹ سائڈ خفیہ کاری کرنے کی کوئی وجہ نہیں ہے،" مارلنسکی نے پیر کے ایک انٹرویو میں کہا. "اس قسم کی اسکیمیں ایس ایس ایل کے ساتھ تمام مسائل کے لئے خطرناک ہیں." ​​

کسی بھی شخص کو جو ایس ایس ایس اسپیڈپ کا استعمال کرتے ہوئے میگا پر حملہ کرتا ہے اس کے بعد اپنی مرضی کے مطابق خرابی جاوا سکرپٹ کو شکار کے براؤزر میں بھیج سکتا ہے. صارف کو اس کا پاسورڈ ان کا پاس ورڈ تقسیم کرے گا، جس میں حملہ آور میگا کے ساتھ محفوظ کردہ تمام اپنے ڈیٹا کو خراب کرنے کی اجازت دے گا.

میگااس CTT، میگا کے CTO، ایک انٹرویو میں پیر نے کہا کہ مختلف ویب پر مبنی حملوں ہیں جو میگا ہوگا ایسی کسی دوسرے سائٹ کی طرح خطرہ ہے جو سیکورٹی کے لئے ایس ایس ایل پر منحصر ہے، جیسے آن لائن بینکنگ کے لئے. انہوں نے کہا کہ ان حالات میں میگا کی سائٹ پر وضاحت کی گئی ہے.

"اگر وہ پڑھنے کے لئے پریشان تھے تو وہ دیکھ لیں گے کہ ہم بنیادی طور پر یہ بتاتے ہیں کہ ہم پر حملہ کرنے والی ویکٹروں کے ساتھ ساتھ کچھ دوسروں پر الزام لگایا جا رہا ہے. "Ortmann نے کہا. "یہ سب ایس ایس ایل سے متعلقہ حملوں کو ہمارے ساتھ خاص طور پر لاگو نہیں کرتے. وہ کمپنیوں کو اسی طرح کے اعلی سیکورٹی کی ضروریات کے ساتھ یا زیادہ ضروریات کے ساتھ بھی درخواست دیتے ہیں. "

ایس ایس ایل انکوائری سیکیورٹی سرٹیفکیٹس کی طرف سے نافذ کیا جاتا ہے جو مجاز کمپنیوں اور تنظیموں کے ذریعہ جاری کئے جاتے ہیں. لیکن جاری کردہ نظام طویل عرصے سے تنقید کی گئی ہے کیونکہ اسکیمرز ویب سائٹس کے لئے درست سرٹیفکیٹ حاصل کرنے میں کامیاب ہوسکتے ہیں.

Ortmann نے اعتراف کیا کہ کسی کو کسی بھی سرٹیفیکیشن اتھارٹی کو mega.co کے لئے ایک حقیقی سرٹیفیکیشن جاری کرنے میں چیلنج کرنے کی کوشش کر سکتی ہے. نیوزی لینڈ، جس نے حملہ آور کو جعلی میگا ویب سائٹ بنانے کے لۓ مناسب اسناد حاصل کی ہے.

کم ڈاٹ کام کے میگا انٹرپرائز کے شدید ناپسندی میں، اورٹمن نے کہا کہ، "میں اصل میں کچھ حکومتی حکومت کی توقع کر رہا ہوں. میگا.co.nz کچھ نقطہ پر جاری کردہ سائے سرٹیفکیٹ اور حملے میں استعمال کیا جاتا ہے. "لیکن انہوں نے کہا کہ میگا وقفے وقت غیر مجاز SSL سرٹیفیکیٹ کے لئے اسکین کرے گا.

کے لئے کم ڈاٹکام سے ندیم KobeissThe نئی فائل شئیرنگ سروس بشکریہ، میگا، ندیم Kobeissi، مرموز فوری پیغام رسانی کے پروگرام Cryptocat کے ڈویلپر سمیت لوگوں کی طرف سے تنقید کا نشانہ بنایا گیا ہے، کہ کس طرح میگا اوزار خفیہ کاری.

میگا کے سرورز سے سمجھوتہ کر رہے تھے، تو یہ کریں گے خفیہ کاری فوری فوری پیغام رسانی پروگرام کریوٹکوٹ کے ڈویلپر، نادر کوبیسسی نے کہا کہ ایک حملہ آور نے نظر ثانی شدہ، بدسلوکی جاوا سکرپٹ کو فراہم کرنے کے لئے بھی ممکن ہو. میگا خود درنساوناپورن کوڈ فراہم کرنے کے لئے یہ بھی ممکن ہوگا.

"آپ کی ویب سائٹ کو کھولنے کے ہر بار، خفیہ کاری کا کوڈ شروع سے بھیجا جاتا ہے،" Kobeissi تو ایک دن میں طے لہذا میں نے تمام خفیہ کاری کو غیر فعال کرنا چاہتے ہیں نے کہا کہ " ، میں صرف آپ کے یوزر نیم علیحدہ کوڈ بھی چیز کو مخفی نہیں ہے کہ اور اس کے بجائے آپ کی خفیہ کاری چابیاں چرا

خدمت کر سکتے ہیں. "Ortmann مقابلہ کے صارفین کو ہمیشہ ان کی خدمت فراہم کرنے والے پر بھروسہ کرنے کے لئے ڈاؤن لوڈ کرنے اور کوڈ چلتے وقت پر مجبور کر رہے ہیں. کیونکہ میگا کی جاوا اسکرپٹ براؤزر کو بھیجا جاتا ہے کیونکہ لوگ باقاعدگی سے ضابطہ کا تجزیہ کرنے میں کامیاب ہوسکتے ہیں اور یہ یقینی بناتے ہیں کہ یہ قابل اعتماد ہے یا نہیں. میگا جاوا سکرپٹ کے ساتھ گڑبڑ کی تو، "یہ سے detectable ہو گا،" Ortmann کہا.

Marlinspike کہا میگا ایک حملہ آور کی طرف سے چھیڑچھاڑ کی روک تھام کرے گا جس میں ڈیٹا، خفیہ کرنے کے لئے ایک دستخط شدہ براؤزر توسیع کو استعمال کرنے کے لئے ایک محفوظ طریقہ ہو گا.

مارلنسکی نے کہا کہ وہ سمجھتا ہے کہ میگا صارفین کو بنیادی طور پر سیکورٹی کے بارے میں کوئی پرواہ نہیں ہے کیونکہ وہ صرف دلچسپی رکھتے ہیں. فائل شیئرنگ. میگا صرف ان کے سرورز پر مرموز کردہ ڈیٹا کو دیکھیں گے، سیٹ اپ Megaupload کی ​​اشاعت کی خلاف ورزی کے مسائل سے اس ویب سائٹ کے بانی مستثنی کے لئے ظاہر ہوتا ہے کے بعد سے.

"فرق پڑتا ہے کہ تمام میگا کے آپریٹرز کا دعوی کر سکتے ہیں کہ وہ تکنیکی صلاحیت کی ضرورت نہیں ہے ہے مواد کو کاپی رائٹ کی خلاف ورزی کے لۓ مواد کو معائنہ کریں، "مارلنسکی نے کہا.

کسی بھی نئی آن لائن سروس کی طرح، میگا کا کوڈ پہلے ہی بڑھا رہا ہے. اتوار، یہ سائٹ ہے جو بعض صورتوں میں ایک حملہ آور کسی صارف کے کوکیز، جس میں کم از کم ایک مقتول کے اکاؤنٹ کی ایک عارضی تحویل میں لینے کی اجازت دے گی چوری کرنے کی اجازت دے کر سکتے ہیں ایک کراس سائٹ سکرپٹ دوش، تھا نازل کیا گیا. میگا کے چیف پروگرامر، برام وین ڈیر کولک نے اتوار کو ٹویٹر پر لکھا. "

" گھنٹے کے اندر XSS مسئلہ حل کیا گیا تھا. " "بہت درست نقطہ، شرمناک بگ."

Ortmann نے وضاحت کی: "کراس سائٹ سکرپٹ کا مسئلہ شرمندہ سے زیادہ تھا. ایسا نہیں ہونا چاہئے. یہ واقعی حقیقت یہ ہے کہ برم اور میں مکمل جاوا اسکرپٹ newbies ہیں کی وجہ سے ہے اور کسی براؤزر کی طرف سے یہ رویہ کبھی نہیں کی توقع کی ہے. ہم نے اصل میں اس پر تبادلہ خیال کیا، لیکن ہم نے اس کی آزمائش نہیں کی، لہذا شرمندگی کی قسم ہے. اس بارے میں ایک گھنٹہ سے 30 گھنٹہ یا اس سے کم ہونے کے بعد مقرر کیا گیا تھا. "

انہوں نے کہا کہ میگا نے بعد میں سیکورٹی کے حوالے سے اپنے نقادوں کو اٹھائے ہوئے پوائنٹس سے خطاب کرنے والے ویب سائٹ پر مزید تفصیلات پوسٹ کریں گے.