Dropbox: Praktisk? Absolut, men er det sikkert?

Nogle statistikker:

  • I øjeblikket bruger 25 millioner mennesker Dropbox.
  • Dropbox-medlemmer er spredt over 175 lande.
  • På en given dag gemmes over 200 millioner filer i Dropbox.

Ikke dårligt for en tjeneste fire år gammel. Drew Houston, medstifter og CEO påpeger:

"Dropbox forvandler den måde, mennesker skaber og deler deres livs arbejde på. Uanset om det er at designe bygninger, skrive musik eller opdrage en familie, fokuserer vi på at gøre det ubesværet at have dine filer, uanset hvor du har brug for dem, på enhver computer eller telefon."

Så hvad er Dropbox?

Fra Dropbox:

"Dropbox er en service, der giver dig mulighed for at bringe alle dine fotos, dokumenter og videoer overalt og dele dem let. Enhver fil, du gemmer i din Dropbox, gemmes automatisk på alle dine computere, din telefon eller iPad og Dropbox-webstedet."

Dropbox tilbyder:

  • 2 GB Dropbox-plads gratis, med abonnementer op til 100 GB til rådighed.
  • Arbejde offline. Dine filer er tilgængelige, uanset om du har en forbindelse eller ej.
  • Filer er også tilgængelige fra Dropbox-webstedet.
  • Dropbox fungerer med Windows, Mac, Linux, iPhone, iPad, Android og Blackberry.
  • For at spare tid og båndbredde overfører Dropbox kun de dele af en fil, der ændres.

Dropbox har også muligheden for at dele filer med andre. Og hvis din computer smelter sammen, kan du gendanne alle dine filer fra Dropbox-webstedet.

Er der et problem?

Enhver, der kender mig, forstår noget. Jeg stiller spørgsmål, mange spørgsmål. Det er min bedstefars skyld. Jeg kan stadig høre ham: "Hvordan i helvede kan du tage en god beslutning, hvis du ikke kender fakta." Takket bedstefar, jeg er opmærksom, hvis noget er "tæt på og personlig".

Advarsel: Dette er en af ​​disse tidspunkter.

To meget dygtige forskere Derek Newton og Christopher Soghoian har problemer med Dropbox. Newton snublede over en levedygtig angrebsvektor, og Soghoian fandt alvorlige uoverensstemmelser i Dropbox's privatlivspolitik.

Jeg bruger Dropbox. Og når sikkerhedsforskere jeg er bekendt med offentligt efter advarsler, slukker en bombe i mit hoved. Desuden kender jeg mange mennesker, der bruger Dropbox.

Så som alle gode journalister - især dem med bedstefedre som mine - føler jeg mig forpligtet til at samle de fakta, som de er præsenteret af alle parter. Med henblik herpå kontaktede jeg Dropbox. De følgende spørgsmål blev besvaret af ChenLi Wang, Business Operations hos Dropbox.

Kassner : "Hvor sikker er Dropbox?" websiden hedder:

"Dine filer er faktisk sikrere, mens de er gemt i din Dropbox end på din computer i nogle tilfælde. Vi bruger de samme sikre metoder som banker og militæret."

Hvad betyder det?

Dropbox : Vi har alle historier fra vores familie og venner om filen, der ved et uheld blev slettet eller udskiftet, utilsigtet kaffespild, den faldne bærbare computer, USB-stick forsvandt.

Vi mener, at lagring af data i Dropbox er langt sikrere end hvor mange af dem, der lagrer data i øjeblikket, og vi har designet Dropbox til at hjælpe brugere med at undgå de mest almindelige trusler mod deres data.

Kassner : Derek Newton sendte følgende på sin blog:

"Hvis du får adgang til en persons Dropbox config.db-fil (eller bare host_id), får du fuldstændig adgang til personens Dropbox. At tage config.db-filen, kopiere den til et andet system og derefter starte Dropbox-klienten tilslutter sig straks dette system ind i synkroniseringsgruppen. "

Jeg forstår, at dette kræver kontakt (fysisk eller fjernadgang) med computeren. Hvis det lykkes, vil en tredjepart stadig have adgang til alle filerne i Dropbox-kontoen. Anser du dette for at være et problem?

Dropbox : Desværre, når en computer kompromitteres fysisk eller af en trojan / virus, er alle applikationer og data på computeren i fare. Når det er sagt, var der ting, vi kunne gøre for at gøre Dropbox mere modstandsdygtig over for angreb fra nogen med adgang til din computer, og vi begyndte straks at arbejde på en løsning.

Først frigav vi en opdatering til Dropbox-klientsoftwaren, der indstiller mere restriktive tilladelser i den mappe, der gemmer godkendelsesfilen.

Dernæst for ca. en måned siden frigav vi til vores brugerfora en build af klienten, der krypterer hele config.db-filen, hvilket gør brugeroplysninger meget sværere at stjæle. Vi vil automatisk opgradere alle brugere til denne build snart; den krypterede config.db-fil bryder flere apps fra tredjepart, så vi vil give dem en chance for at designe løsninger først.

Det er også muligt at se, hvad computere har adgang til Dropbox-filer ved at logge ind på webgrænsefladen og gå til dette link.

Hvis en computer ikke genkendes, skal du fjerne linket fra den.

Kassner : Christopher Soghoian indgav en klage til FTC. Han påstod Dropbox forkert informerede offentligheden om beskyttelsen af ​​brugerdata. Før april 2011 oplyste Dropbox på denne webside:

"Alle filer, der er gemt på Dropbox-servere, er krypteret (AES256) og er utilgængelige uden din kontos adgangskode."

Efter april ændrede det sig til:

"Alle filer, der er gemt på Dropbox-servere, er krypteret (AES 256)."

Vil du forklare, hvorfor du ændrede dette?

Dropbox : Vi forklarede, at der er flere sikkerhedsforanstaltninger på dine data: at filerne er gemt krypteret og derudover beskyttet af dine adgangsoplysninger. En sikkerhedsfaglig person kan dog forkert udlede, at krypteringsnøglen kommer fra brugerens adgangskode, så vi har adskilt de to punkter for klarhed.

Kassner : Soghoian påpegede også, at følgende citat fra den samme Dropbox webside:

"Dropbox-medarbejdere har ikke adgang til brugerfiler, og når de fejlsøger en konto, har de kun adgang til filmetadata (filnavne, filstørrelser osv. Ikke filindholdet)."

Blev til:

"Det er forbudt for Dropbox-ansatte at se indholdet af filer, du gemmer på din Dropbox-konto, og har kun tilladelse til at se filmetadata (f.eks. Filnavne og placeringer)."

Hvorfor ændrede erklæringen sig?

Dropbox : "Dropbox-medarbejdere har ikke adgang til brugerfiler." Det betyder, at vi forhindrer sådan adgang via adgangskontrol på vores backend såvel som strenge politikforbud. Denne erklæring sagde ikke noget om, hvem der har krypteringsnøgler, eller hvilke mekanismer der forhindrer adgang til dataene. Vi opdaterede vores hjælpeartikel og sikkerhedsoversigt for at være eksplicit om dette:

"Det er forbudt for Dropbox-ansatte at se indholdet af filer, du gemmer på din Dropbox-konto, og har kun tilladelse til at se filmetadata (f.eks. Filnavne og placeringer). Som de fleste onlinetjenester har vi et lille antal medarbejdere, der skal være i stand til at få adgang til brugerdata af de grunde, der er anført i vores privatlivspolitik (f.eks. når det lovligt kræves det). Men det er den sjældne undtagelse, ikke reglen.

Vi har streng politik og teknisk adgangskontrol, der forbyder adgang til medarbejdere undtagen i disse sjældne tilfælde. Derudover anvender vi en række fysiske og elektroniske sikkerhedsforanstaltninger for at beskytte brugerinformation mod uautoriseret adgang. "

Kassner : Tak, fordi du leverede din holdning til beskyldningerne. Jeg har også et par sikkerhedsspørgsmål.

I iPhone Dropbox-appen kræves en fircifret adgangskode for at åbne applikationen. Har du planer om en mulighed, der tillader mere komplekse adgangskoder?

Dropbox : Brugere har hidtil ikke anmodet om denne funktion. IPhone-adgangskoden er beregnet til at beskytte brugerens filer i tilfælde af, at telefonen går tabt eller stjålet. Brugere kan aktivere en indstilling, der sletter Dropbox-data på telefonen, hvis den forkerte adgangskode indtastes mere end ti gange. Det er ikke en erstatning for adgangskoden på kontoen, som kræves for at linke Dropbox til iPhone for første gang.

Kassner : Der er et tredjepartsprogram kaldet SecretSync, som krypterer filer, før de overføres til Dropbox. Vil du anbefale det til folk, der ønsker ekstra sikkerhed? Ville TrueCrypt være en anden mulighed?

Dropbox : Ja, vi har altid anbefalet tredjeparts krypteringsløsninger til avancerede brugere, der er behagelige med at administrere deres egne krypteringsnøgler. TrueCrypt har været den mest populære indstilling til dato, men andre løsninger inkluderer EncFS, SecretSync og BoxCryptor.

Det er vigtigt at forstå, at brugerstyret kryptering har kompromis. For det første deler mange mennesker offentligt fotos og dokumenter gennem Dropbox, og det er ikke muligt, hvis disse filer er krypteret, før de placeres i Dropbox. For det andet, hvis de mister adgangskoden eller krypteringsnøglen til de filer, de krypterede selv, er disse filer tabt for evigt. ”

Endelige tanker

Bekvemmelighed versus sikkerhed, problemet med alle SaaS-applikationer, er landet på Dropbox. Hvor meget har du tillid til tjenesteudbyderen?

Forhåbentlig har jeg givet tilstrækkelig information til at tage en informeret beslutning om, hvordan man bruger Dropbox. Tak, bedstefar.

© Copyright 2020 | mobilegn.com