该扩展比 USB 密钥更糟糕,因为一台 PC 上的感染可以比使用 USB 密钥更容易地传播到使用该共享的所有其他 PC。病毒/特洛伊木马/机器人编写者(还)不针对保管箱,但如果他们决定这样做,那么您将获得从安全网络上的公司控制的 PC 到不安全网络上的不安全计算机的虚拟解锁门。照原样,使用正常操作,一个人不能只是穿过那扇门,然后在计算机上查看其他东西 - 只能看到保管箱中的项目,并且只能在该区域创建新项目,但这是假设保管箱应用程序本身不能受到损害。
此外,Dropbox 声称有很大的安全性,但您实际上可以证明什么?有人可能会从完全不同的 PC 远程潜入该窗口,并尝试将受感染的文档和程序放到工作 PC 上。
这取决于您的业务和您的偏执程度。为笔记本电脑配备 VPN 连接会更安全,尽管成本更高。
真快...
一些风险:
建议:
我会在这里非常小心。Dropbox 启用对另一台计算机硬盘驱动器的扩展。
该扩展比 USB 密钥更糟糕,因为一台 PC 上的感染可以比使用 USB 密钥更容易地传播到使用该共享的所有其他 PC。病毒/特洛伊木马/机器人编写者(还)不针对保管箱,但如果他们决定这样做,那么您将获得从安全网络上的公司控制的 PC 到不安全网络上的不安全计算机的虚拟解锁门。照原样,使用正常操作,一个人不能只是穿过那扇门,然后在计算机上查看其他东西 - 只能看到保管箱中的项目,并且只能在该区域创建新项目,但这是假设保管箱应用程序本身不能受到损害。
此外,Dropbox 声称有很大的安全性,但您实际上可以证明什么?有人可能会从完全不同的 PC 远程潜入该窗口,并尝试将受感染的文档和程序放到工作 PC 上。
显然有一个协议保管箱本身用于与其客户进行通信 - 它是否加密?它不受缓冲区溢出的影响吗?中间人攻击?嗅探?重放攻击?是否可以使用标准协议将文件放置在标准保管箱区域之内甚至之外?如果协议有缓冲区溢出,是否有可能以允许完全访问机器的方式对其进行妥协?机器上的网络共享?
我认为风险不是很高,但造成的损害可能很大,因此必须仔细考虑。
-亚当
妄想症???
伙计.. 远离网络.. 慢慢地.. 把手从键盘上移开.. 立即行动!!!
文件共享基于云的“消费者”解决方案(如 Dropbox)不适用于企业或公司。微软在 Skydrive 出来时说最好,并说这些类型的产品不是,也不应该用于商业目的。
有数以千计的理由为什么不比应该的理由更重要。
安全风险之外的最大法律原因(以及使用条款,其中指定第 3 方可以访问机密文件,因此任何机密都不应存储在基于消费者的此类服务中......永远......)Dropbox 等服务的事实就是这样。让我问这个..这些文件存储在哪里?这些服务器位于哪里?您可以放心,以最低的出价者,调用称为数据导出规则和法律的东西......如果您有一个小文件,“美国政府可能认为对美国安全构成风险或潜在风险”(可能是从电气布局到公共聚会场所、学校、健身房、密码或用户名到思科帐户(您可以在其中下载出口受限软件等)直至机密文件,您都违反了该法律。你进监狱,你不过去。我现在相信,这是由 FTC 和国土安全部处理的。
数据库使用条款(基本上)指定,如果它安装在商务 PC 上,(Dropbox 假定该人,因为安装在商务 PC 上的人通过点击 TOU 来保证他们是)“授权”个人正在这样做对于整个公司......期间......(第一部分 ion Dropbox.com/terms)
阻止我在我的服务器和工作环境之外使用它的原因仅仅是道德......你有一个像 Skydrive 这样的消费产品,用大写的字母写着“没有业务......不要!因为他们不想拿客户的数据冒险一个业务级别,因为他们知道这是一个风险!然后是 Flippin Dropbox,他在合同中使用了法律词汇,例如“东西”这个词,他把整个“安全事情”搞得一团糟,表现得好像没什么大不了的(你想要失去利润并分享那么有价值的股票?可能不会......)......
这是一件大事.. 越多的安全组织请求你和我遵循简单的做法,像 dropbox 这样的大公司就会出现更多的钱......为了利润,表现得好像没什么大不了的......
如果您的企业存储了一小部分单个信用卡号以及姓名和到期日期怎么办?现在说安装 Dropbox 客户端的 PC 是通过 Dropbox 安全漏洞“进入……”的……跟着我?Visa / Amex等..有政府支持的巨大银行公司(因为支付卡行业(PCI)标准是这样说的......那就是......)你会好的......得到这个......你可能想坐下来......每次事件高达 500,000.00 美元……足以让中小型企业退出他们所从事的业务……
解决它的唯一方法是使用 PCI 认证的加密产品在本地加密该数据,然后再将其发送到保管箱,购买所有远程设备的许可,下载所需的文件,并在使用前对其进行解密它..(不,听起来一点也不好玩……)(或者加密服务器网络上的数据,以及网关上的客户端……)
有了这一切,每位用户只需不到 20 美元(基本版约 11 美元),您就可以获得 Office365 E 系列计划,该计划通过了 HIPAA、SOX、ISO 和 PCI 认证。(Dropbox,隐藏在其中的页面中明确指出“在这个时候”,他们不是......)
所以问问你自己,尽管你的想法很小……这真的值得冒险吗?并且您是否想与我认为轻描淡写或轻描淡写地使用其产品相关的风险的公司开展业务......
如果您从事技术工作并且确实被击中并且您确实允许保管箱,那么您的职业生涯是否值得冒险?在你的名字在臀位旁边并且你做了新闻之后,你认为你可以就业吗?作为首席技术官,我可以向你保证,在我的生命中,我什至不会听到它背后的借口。我什至永远不会采访技术领域的任何人,他们通过自己的行为或决定在任何规模的网络上造成数据泄露。是的,我们都会犯错,这就是为什么你在 IT 部门的工作是尽你所能消除任何风险,无论大小。不要打开虫洞并为爱丽丝尖叫……)这对公关来说是一场灾难……对于企业,(如果竞争对手发现并泄露了您的身份……(喘气)您做了什么……并且增加了雇用某人的责任,因为他们允许公开承认并声明他们不是 PCI、SOX 的文件共享服务, 国际标准化组织,
嗯..这由你来决定...值得从事职业吗?损失您的公司或客户数据值得吗?
对我来说……这不是……消费者使用消费品,而不是企业……时期。
更新(1,5 年后):Dropbox 现在声称他们通过 SSL 协议传输数据并将其存储在 AES-256-Containers 中,他们无法自行访问(没有密码)。
Dropbox 最近承认,他们不使用 SSL 在移动客户端与其服务器之间传输文件元数据。出于性能原因,他们故意这样做。他们没有在他们的网站上任何地方声明他们这样做。你可以在这里读到它:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
我认为他们正在开发一个供公司内部使用的版本,具有更高的安全性,但与此同时,文件在他们的服务器上没有加密,所以你必须信任他们。
除此之外,我看不到 Dropbox 特有的其他安全风险(如信息泄露)。
很多事情将取决于贵公司的现行政策。如果它就像我工作的地方——我所做的所有开发都属于医院,而不是我——那么我会担心它会成为公司智力资产“走散”的简单手段。
有很多文档管理系统可以让您设置只能在内部访问或通过可监控连接访问的内容。