经过 PC世界

Dropbox云存储服务的基本安全性 已被研究人员调用问题.

Dropbox是A. 新生云存储字段的海报男孩 并且是最受欢迎的云存储服务 - 并且已被证明是希望与合作者或客户共享大项目文件的创意。它通过在计算机的硬盘中添加一个特殊文件夹来工作。您添加的任何文件都是 自动上传到Dropbox的云存储区域,您可以在各种计算机和移动设备上安装Dropbox,从而在所有设备上同步文件。此外,如果仅安装在一台计算机上,Dropbox可以充当云备份服务。

安全问题涉及Dropbox客户端程序以及它如何对用户进行身份验证,这是可以访问Dropbox Cloud,它应该可以访问用户的文件。

安全研究员 德里克牛顿 已发现身份验证依赖于标识计算机的单个不变的哈希码 - 即十六进制字符的Steam。揭示此散列的任何人都在用户的硬盘上存储为纯文本,可以在任何计算机上同步用户的Dropbox文件,而不会出现用户名或密码提示符。除非他们在线检查,否则用户将不知不觉于此第三方访问,以查看计算机正在访问其帐户的计算机。

即使用户更改了密码,牛顿仍在继续,哈希将继续工作。因此,除非撤销哈希代码,否则窃取哈希足以让终身访问该用户帐户,这将涉及用户未经授权其哈希代码损害的计算机 - 这不是完全简单或方便的计算机。

一些安全专家表明,每台计算机都是唯一的哈希码,使其成为不可携带的。这可以通过基于每个计算机的唯一方面计算代码来完成,例如CPU序列代码或网络设备的MAC地址。每次客户端开始确保计算机真正允许访问时,将通过Dropbox客户端检查散列客户端对硬件检查。

然而,这种特异性识别计算机的方法会导致一些在线隐私倡导者之间的协调。

什么使得发现更糟糕的是牛顿声称,是安全漏洞似乎是通过设计的。 Dropbox Engineers考虑对用户的这种充足保护。

Dropbox已被回复 通过指出,为了攻击工作,黑客必须进入用户的计算机。在那一点上,“安全战战已经丢失了,”他们说,因为黑客可以访问计算机上的每个文件。他们将其与Web浏览器窃取会话cookie以验证用户,虽然它们添加了“可以采取的措施使其更加困难(虽然不是不可能的)来获取访问......我们会考虑到未来。“

在黑客攻击之外,使用哈希码在Dropbox用户身上使用哈希代码进行大量潜力。只需访问用户的计算机即时(也许正在抓住一杯咖啡),窃取他们的Dropbox哈希码,并且您将能够监控或下载他们添加并从中删除的内容Doplbox帐户随时。

此外,安装特洛伊木马或键盘的黑客可以作为更广泛攻击的一部分抓取哈希码,如果发现并删除了他们的非法软件,请使用它来继续访问受害者的云文件。

虽然我们大多数人在被黑客攻击后更改了我们的在线密码,但有多少意识到重置Dropbox也是必要的? (重置将涉及从Dropbox的已知设备列表中删除计算机,并再次添加相同的计算机,从而创建新的哈希码;这可能涉及将所有文件与从头开始同步。)

缺陷是否有什么可担心的是意见问题。牛顿说,使用Dropbox的唯一方法是手动加密那里存储的任何数据,但是失败了能够将文件拖放到Dropbox文件夹中的方便。

整个问题展示了云软件开发人员如何交易便利性的安全性 - 让用户每次登录每个启动时都会在他们的Dropbox帐户中登录,这将使Dropbox显着吸引力,但为云服务创建持久的无抖动登录是一个困难的任务。此类问题还是云服务必须绕过以获得用户的信任。

对牛顿发现的影响的有趣讨论可以是 在他的博客帖子的评论部分中找到,各种安全专家的意见权重。

笔记: 我们可以在通过我们网站上的链接购买时赚取佣金,而不额外费用给您。这不会影响我们的编辑独立性。 学到更多.

阅读下一个......