Dropbox是一个广泛使用的基于云的存储平台,由于对用户数据隐私的质疑,Dropbox现在已成为安全研究人员审查的目标。八月份在USENIX安全会议上的一对研究人员发布了一份白皮书,其中描述了攻击Dropbox和获取用户数据的方法。尽管实际研究的优点值得商,,但它提出了有关企业应该采取什么措施来保护云中数据的完整性和安全性的问题。
尽管Dropbox知道了这项研究,但并未将其视为需要立即关注的安全风险。Dropbox发言人在给eWEEK的电子邮件中指出,Dropbox感谢安全研究人员和所有帮助确保Dropbox安全的人的贡献。就是说,Dropbox当前不认为在USENIX会议上进行的研究表明Dropbox客户端存在漏洞。
发言人说:“在此处概述的情况下,首先需要对用户的计算机进行破坏,以使整个计算机(而不仅仅是用户的Dropbox)容易受到全面攻击。”
尽管Dropbox并未引起人们对云存储安全性的警钟,但其他人却在。CipherCloud的高级主管Willy Leichter 告诉eWEEK,云存储安全模型存在的问题超出了Dropbox身份验证方法中发现的错误。
莱希特说:“基于云的文件共享站点绕过大多数公司安全性,但是企业仍然需要能够检查离开其网络的信息,并防止敏感或受监管的数据丢失给未经授权的外部人员。”
Wave Systems首席执行官Steven Sprague 告诉eWEEK,他认为根本的问题是Dropbox可以为所有客户读取所有文件。
斯普拉格说:“如果密钥归Dropbox所有,那么将它们加密存储的事实就毫无价值。”
NetIQ解决方案战略总监Geoff Webb 同意,加密密钥的所有权是关键考虑因素。Webb告诉eWEEK,用户犯下的一大谬论是,仅因为像Dropbox这样的公司就对数据进行加密,就可以认为它绝对安全。
Webb说:“因此,尽管可以确保上载到Dropbox的数据是加密的,但不能确定谁可以访问密钥本身,并且如果密钥被泄露,加密的数据将不再受到保护。”
对于Dropbox以及对试图提供安全的在线云服务的任何人来说,挑战都是易用性和安全性往往是对立的。开源云存储供应商ownCloud产品副总裁Matt Richards 告诉eWEEK,重要的是要记住安全性是相对的:最安全的系统是没人能访问的系统。在他看来,这与Dropbox体验相反,后者与易用性有关。
