dav*_*bug 17 security backup dropbox file-sharing versioning
在公司范围内使用 Dropbox 文件共享/版本控制/备份时,是否有任何特别的安全问题需要牢记?是否有建议的特定选项或设置来限制风险?
这取决于您的业务和您的偏执程度。使用 VPN 连接发行笔记本电脑更安全,尽管更贵。
真快...
一些风险:
建议:
我会非常小心地在这里行走。Dropbox 支持扩展到另一台计算机的硬盘驱动器。
这种扩展比 USB 密钥更糟糕,因为一台 PC 上的感染可以比使用 USB 密钥更容易地感染使用该共享的所有其他 PC。病毒/特洛伊木马/机器人编写者(目前)还没有针对 Dropbox,但如果他们决定这样做,那么您就可以从安全网络上的公司控制的 PC 到不安全网络上的不安全计算机之间建立一个虚拟的解锁门。照原样,使用正常操作,人们不能只是穿过那扇门查看计算机上的其他东西 - 只能看到保管箱内的项目,并且只能在该区域创建新项目,但这是假设dropbox 应用程序本身不能受到损害。
此外,Dropbox 声称具有很高的安全性,但实际上可以证明什么?有可能有人可以从完全不同的 PC 远程潜入该窗口,并试图将受感染的文档和程序放到工作 PC 上。
显然,dropbox 本身使用了一个协议来与其客户进行通信——它是否加密?它对缓冲区溢出免疫吗?中间人攻击?嗅?重放攻击?是否可以使用标准协议将文件放置在标准保管箱区域内部甚至外部?如果协议有缓冲区溢出,是否有可能以允许完全访问机器的方式对其进行妥协?机器上的网络共享?
我不认为风险很高,但造成的损害可能很大,因此必须仔细考虑。
-亚当
小智 5
偏执狂???
老兄.. 远离网络.. 慢慢地.. 双手远离键盘.. 立即行动!!!
Dropbox 等基于文件共享云的“消费者”解决方案不适用于企业或公司。微软在 Skydrive 出来时说最好,并说这些类型的产品不是,也不应该用于商业目的。
有数以千计的理由为什么不应该超过一个理由。
除了安全风险之外,最大的法律原因(以及使用条款规定第 3 方可以访问机密文件,因此在这种基于消费者的服务上不应存储任何机密信息......永远......)是 Dropbox 等服务的事实。让我问这个..这些文件存储在哪里?这些服务器在哪里?你可以放心,出价最低的人,调用一个叫做数据出口规则和法律的东西......如果你有一个“美国政府可能认为对美国安全构成风险或潜在风险”的小文件(可能是什么小到公共聚会场所、学校、健身房的电气布局,密码或用户名到诸如 Cisco 帐户之类的东西,您可以在其中下载受出口限制的软件等)到机密文件,您都违反了该法律。你进监狱,你不通过去..我相信现在,这是由联邦贸易委员会和国土安全部处理的..
DB 使用条款(基本上)指定,如果它安装在商用 PC 上,(Dropbox 假定该人,因为安装在商用 PC 上的人通过单击 TOU 保证他们是)“授权”个人正在这样做对于整个公司......期间......(第一部分 ion Dropbox.com/terms)
阻止我在我的服务器和工作环境之外使用它的原因仅仅是道德......你有一个像 Skydrive 这样的消费产品,它用大写字母写着“没有业务......不要!因为他们不想冒险客户的数据一个业务层面,因为他们知道这是一个风险!然后 Flippin Dropbox 在他们的合同中使用合法的词,比如“东西”这个词,他把整个“安全事情”放在一边,表现得好像没什么大不了的(你想要吗?失去利润并分享有价值的东西?可能不会......)。
这是一个大问题..越多的安全组织要求你和我遵循简单的做法,像 dropbox 这样的大组件出现并为了钱..为了利润,表现得好像没什么大不了的......
如果您的企业存储了单个信用卡号码的一小部分以及姓名和到期日期怎么办?现在说安装了 Dropbox 客户端的 PC 是通过 Dropbox 安全漏洞“进入……”的……跟我来吗?Visa/Amex 等.. 有政府支持的大型银行公司(因为支付卡行业 (PCI) 标准是这样说的.. 那就是......)会罚款你.. 得到这个......你可能想坐下来..每次事故高达 500,000.00 美元……足以让中小型企业退出他们所在的行业……
绕过它的唯一方法是使用 PCI 认证的加密产品在本地加密该数据,然后再将其发送到 Dropbox,为所有远程设备购买许可,下载所需的文件,并在使用之前对其进行解密它..(不,听起来一点也不有趣......)(或者加密服务器网络上的数据,以及网关上的客户端......)
尽管如此,用户只需不到 20 美元(基本用户约 11 美元),您就可以获得 Office365 E 系列计划,该计划已通过 HIPAA、SOX、ISO 和 PCI 认证。(Dropbox,隐藏在页面中明确说明“在这个时候”,他们不是......)
所以问问你自己,尽管在你看来很小......它真的值得冒险吗?并且您是否想与我认为轻率或轻描淡写地处理与使用其产品相关的风险的公司开展业务......
如果您从事技术行业并且确实被解雇并且您确实允许使用 Dropbox,那么您的职业生涯是否值得冒险?在你的名字出现在屁股旁边并且你做了新闻之后,你认为你有工作吗?作为一名 CTO,我可以向你保证,在我的生活中,我什至不会听到背后的借口......我什至永远不会采访任何技术人员,他们通过自己的行动或决定在任何规模的网络上造成数据泄露。是的,我们都会犯错,这就是为什么你在 IT 方面的工作是尽可能地消除任何风险,无论大小。不要打开虫洞,为爱丽丝尖叫......)这对公关来说是一场灾难......对于一家企业,(如果竞争对手发现并泄露了您的身份......(喘气)你做了什么......并且雇用某人的责任增加,因为他们允许公开承认并声明他们不是 PCI,SOX 的文件共享服务, 国际标准化组织,
嗯..这由你决定......是否值得从事职业?丢失公司或客户数据值得吗?
对我来说......它不是......消费者使用消费品,而不是企业......时期。