mboost-dp1
DropBox
arne_v(0) skrev:Hvis man vil sikre sig foreslår Newton at man enten holder helt op med at benytte Dropbox, eller at man krypterer sine filer med en stærk algoritme.
Eller man kunne også eventuelt tænke med andet end røven og lade være med at hælde malware i sin Dropbox?
Jeg har svært ved at have ondt af folk der får virus og andet ind på deres computere. Langt de fleste kommer ikke ind ad sig selv, og det er 99.9% af gangene fordi klovnen selv har klikket på noget, som almindelige mennesker ville tænke "hmmm, det ser en kende mistænksomt ud" om. Natural Selection, baby! Må idioterne få virus langt ind i helvede! Vi bør også afskaffe sikkerhedsselen i biler, så vi via evolution kan slippe for de retarderede der ikke kan finde ud af at køre bil.
debichu (2) skrev:Natural Selection, baby! Må idioterne få virus langt ind i helvede! Vi bør også afskaffe sikkerhedsselen i biler, så vi via evolution kan slippe for de retarderede der ikke kan finde ud af at køre bil.
Jeg vil gerne høre dig gentage de ord når din kone og 2 børn dør fordi de ikke havde en sele at tage på... i en ulykke som skyldes en idiot der køre ind i dem...
debichu (2) skrev:Vi bør også afskaffe sikkerhedsselen i biler, så vi via evolution kan slippe for de retarderede der ikke kan finde ud af at køre bil.
Ja, for det går jo aldrig ud over andre mennesker, at nogle ikke kan køre bil...
Mon ikke Dropbox kigger på sagen og gør noget ved det? At anbefale en kryptering af filerne holder ikke, så længe man snakker til "dødelige" computerbrugere.
Montago (3) skrev:Jeg vil gerne høre dig gentage de ord når din kone og 2 børn dør fordi de ikke havde en sele at tage på... i en ulykke som skyldes en idiot der køre ind i dem...
Ja, det var måske lige at stramme den lidt :)
Men det er jo spas, i kan alle sammen ta' det!
De har to muligheder - enten så beskytter de folks adgang til dropbox bedre, eller så tilbyder de kryptering af folks dropbox som en del af softwaren. Simple as that.
HerrMansen (6) skrev:De har to muligheder - enten så beskytter de folks adgang til dropbox bedre, eller så tilbyder de kryptering af folks dropbox som en del af softwaren. Simple as that.
Øh NEJ?! Hele pointen er jo at din dropbox mounter sig i dit systems filsystem. De skal bare fikse så den fil muligvis ikke er eneste login metode.
Men har man allerede et system man ikke kan stole på, så kunne hackeren lige så godt aflæse Dropbox brugernavn/kodeord ved hjælp af en keylogger.
fafler@hydrogen:~/.dropbox$ ls -l
total 20552
drwxr-xr-x 4 fafler fafler 4096 Apr 9 07:22 cache
srwxr-xr-x 1 fafler fafler 0 Mar 31 08:17 command_socket
-rw-r--r-- 1 fafler fafler 21006336 Apr 9 07:22 dropbox.db
-rw-r--r-- 1 fafler fafler 5 Mar 31 08:17 dropbox.pid
-rw-r--r-- 1 fafler fafler 69 May 11 2010 host.db
srwxr-xr-x 1 fafler fafler 0 Mar 31 08:17 iface_socket
fafler@hydrogen:~/.dropbox$
Filen har endda globale læserettigheder :-/
Nu er hele min samling af billeder fra 4chan og fukung kompromiteret.
#8: Det var jo lidt dét jeg mente med den første mulighed, så godt for dig og dine CAPS LOCK sætninger. Bool Story Co
Fafler (10) skrev:fafler@hydrogen:~/.dropbox$ ls -l
total 20552
drwxr-xr-x 4 fafler fafler 4096 Apr 9 07:22 cache
srwxr-xr-x 1 fafler fafler 0 Mar 31 08:17 command_socket
-rw-r--r-- 1 fafler fafler 21006336 Apr 9 07:22 dropbox.db
-rw-r--r-- 1 fafler fafler 5 Mar 31 08:17 dropbox.pid
-rw-r--r-- 1 fafler fafler 69 May 11 2010 host.db
srwxr-xr-x 1 fafler fafler 0 Mar 31 08:17 iface_socket
fafler@hydrogen:~/.dropbox$
Filen har endda globale læserettigheder :-/
Nu er hele min samling af billeder fra 4chan og fukung kompromiteret.
noter lige at det er windows klienten vi snakker om, betyder ikke at det er samme tilfælde for nix distros?
men ja, ser da ud som om det også står sløjt til på nix installationen
chris (15) skrev:men er alting ikke allerede krypteret serverside?
kilde
Det hjælper jo stadig ikke på at hvis en hacker har fået fat på den config.db fil, så kan han hente filerne ned på sin egen computer. Derved bliver filerne dekrypteret, medmindre man også selv krypterer dem.
Host-id ændres rigtig nok ikke ved skift af password. Host-id er unikt for hver computer du har tilsluttet mod Dropbox og du kan derfor deaktivere et Host-id ved at gå ind på Dropbox.com og unlink din computer inde unde Account -> My Computers. Så når der står i nyheden at man ikke kan gøre noget mod det er det altså forkert.
Man kan så godt sagtens diskuttere om det ikke er en tåbelig måde at gøre det på men det er faktisk en del mere sikkert end hvis dit password blev gemt direkte på computeren for at kunne logge på automatisk. Og hvis en idiot så siger at man bare kan kryptere password så kom venligst med en metode således dette gøres på en sikker måde således KUN dropbox.com har lov til at tjekke din kode og din kode så samtidig kun kan åbnes på din egen computer. :)
Man kan så godt sagtens diskuttere om det ikke er en tåbelig måde at gøre det på men det er faktisk en del mere sikkert end hvis dit password blev gemt direkte på computeren for at kunne logge på automatisk. Og hvis en idiot så siger at man bare kan kryptere password så kom venligst med en metode således dette gøres på en sikker måde således KUN dropbox.com har lov til at tjekke din kode og din kode så samtidig kun kan åbnes på din egen computer. :)
Det eneste der vil virke nogenlunde fornuftigt mod det fine 'sikkerhedsbrud' han har fundet vil da være unikke engangs nøgler i stil med WoW authenticators, NemID papkort og lignende, og det er mig bekendt ikke med i mange systemer, så længe han tillader malware adgang til systemet som en del af hans angreb er det et spørgsmål om man vil have et sikkert system eller et som ikke generer brugeren. Det er det klassiske sikkerheds problem om igen. Umidlbart har han jo ikke fundet ud af noget nyt og selv det han har opdaget er ikke fuldstændigt som #17 også nævner kan man deautorisere et host-id.
#17.
Skulle lige læse alle comments igennem inden jeg ville tjekke om der nu ikke var en unlink funktion :P
Men jo. Modellen er som sådan fin nok. Eneste punkt kunne være at man flyttede config.db til en anden maskine - men det ville jo ødelægge / uforudsigeliggøre opførslen af Dropbox.
Det betyder jo at Dropbox selv ikke har en chance for at verificere om der er tale om conflicts.
Skulle lige læse alle comments igennem inden jeg ville tjekke om der nu ikke var en unlink funktion :P
Men jo. Modellen er som sådan fin nok. Eneste punkt kunne være at man flyttede config.db til en anden maskine - men det ville jo ødelægge / uforudsigeliggøre opførslen af Dropbox.
Det betyder jo at Dropbox selv ikke har en chance for at verificere om der er tale om conflicts.
Jeg elsker det, når nogen råber "ulven kommer"...
Jeg bruger dropbox med størte fornøjelse, og fortsætter med det. Det er klart at virksomheder skal tænke sig om, men gælder det ikke altid?
Så slap nu af, og så kryptere dropbox nok omtalte fil, før de fleste får indført stupide regler for brugen af dropbox, og investere i et ekstra program (led, hvor der kan ske fejl).
Jeg bruger dropbox med størte fornøjelse, og fortsætter med det. Det er klart at virksomheder skal tænke sig om, men gælder det ikke altid?
Så slap nu af, og så kryptere dropbox nok omtalte fil, før de fleste får indført stupide regler for brugen af dropbox, og investere i et ekstra program (led, hvor der kan ske fejl).
nu er problemet et almindeligt problem som med de fleste andre sikkerhedssystemer. Har den kriminelle først adgang til din config fil - ja så har han jo også adgang til din dropbox (da den jo er på samme computer) og så er det jo lidt ligemeget om sikkerheden i dropbox er ok eller ej.
Så længe du holder den kriminelle ude af din computer, ja så er den eksiterende dropbox sikkerhed tilstrækkelig.
Dropbox sikkerheden bliver med andre ord aldrig mere eller mindre sikker end din egen computers sikkerhed.
Så længe du holder den kriminelle ude af din computer, ja så er den eksiterende dropbox sikkerhed tilstrækkelig.
Dropbox sikkerheden bliver med andre ord aldrig mere eller mindre sikker end din egen computers sikkerhed.
lindysign (20) skrev:
Så slap nu af, og så kryptere dropbox nok omtalte fil, før de fleste får indført stupide regler for brugen af dropbox, og investere i et ekstra program (led, hvor der kan ske fejl).
Det er altså en udbredt misforståelse at du bare kan kryptere og så er du 100% sikker. Faktisk giver det her ingen mening overhovedet at kryptere config.db eftersom det ikke forhindre dig i at kopiere filen. Desuden skal du bruge en key til at kryptere med og hvilken key er det så? Hvis det er en key du gemmer på computeren hvad forhindre så et program i at hugge både config.db samt dit password til filen? Et alternativ er så at det er et password du skal indtaste hver gang du starter computeren men hvis programmet kan hugge dine filer kan det også ret sikkert keylogge og derved hugge din key.
Så konklusionen er at du ikke kan gøre noget som helst ved det uden at du gør det temmeligt kompliceret for dig selv. En løsning er engangsadgangskoder som fx NemID men hvem vil til at rode med det hver gang man starter computeren.
chris (15) skrev:men er alting ikke allerede krypteret serverside?
Både og. Filerne er ikke individuelt krypteret, eller for den sags skyld krypteret kollektivt for én bruger. I stedet smides samtlige filer, alle Dropbox-brugere har til at ligge, i én kæmpe container, der er er krypteret. Muligvis bruger de flere containere, men de blander under alle omstændigheder filerne fra de forskellige brugere, og har så bare en database, hvori det fremgår, hvilke filer der tilhører hvilke brugere. En meget let måde at se dette på, er ved at tage en almindelig populær fil - f.eks. et scene-release af en film eller en tv-serie, der er kommet inden for den sidste uge. Smider du den i din Dropbox, går der typisk 5 sek., så er den markeret med flueben, uanset om du så sidder på en 2 Mbit eller 100 Mbit linje. Det er selvfølgelig for at spare båndbredde, og så laver Dropbox bare et hash-tjek på alle filer og ser, om det du er i gang med at uploade allerede ligger i deres container, og så giver den bare dig rettigheder til den fil også.
Hvor sikkert det er, ved jeg ikke :)
Sådan som jeg læser nyheden, så er den største fejl at man ikke (nemt) kan skifte sit "host id" ud. Hvis man med "host id" har ubetinget adgang til en dropbox, så skal et nyt password (ofc) være lig med et nyt host id.rudolf (17) skrev:Man kan så godt sagtens diskuttere om det ikke er en tåbelig måde at gøre det på men det er faktisk en del mere sikkert end hvis dit password blev gemt direkte på computeren for at kunne logge på automatisk. Og hvis en idiot så siger at man bare kan kryptere password så kom venligst med en metode således dette gøres på en
Et simpelt alternativ ville være bare at hashe folks bruger/kode og bruge dette som host id, eller bruge disse oplysninger til at hente et midlertidigt host id. Så vil nyt password være lig med nyt host id.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund