silverfast1

0分

樓主

silverfast1

個人積分：0分

文章編號：27886684

dropbox在美國好像爆出欺騙用戶的安全性問題耶.......

原文出處

大意好像是說其實我們上傳的檔案其實沒有加密,而且dropbox都有我們的登入密碼在它們的server
所以如果有任何政府組織或公司(例如唱片公司)可以跟dropbox調我的檔案.....

我知道美國是有點遠.....但.... 我要"注意"嗎???

2011-05-14 8:20 #1

文章關鍵字

Dropbox 美國用戶問題

ulyssesric

366分

2樓

ulyssesric

個人積分：366分

文章編號：27887259

silverfast1 wrote:
原文出處大意好像是說...(恕刪)

如果你是欠稅大戶，市佔率威脅到美國本土企業的大老闆，
策劃人肉炸彈的恐怖份子，大毒梟，或是兒童性侵犯，
是的，你該緊張。

爸爸買不起

24分

3樓

爸爸買不起

個人積分：24分

文章編號：27887341

silverfast1 wrote:
原文出處大意好像是說...(恕刪)

其實不管有沒有這一回事

像是這種雲端的服務，你的資料基本上都是存在對方的server裡面

所以太隱私的東西，或是有企業機密的東西，自己就要斟酌一下，

這是資訊安全的常識。

願我進入方舟1986

15分

4樓

願我進入方舟1986

個人積分：15分

文章編號：29663551

其實我覺得那些老是回應：你應該有資訊安全常識、你又不是重要人物所以沒人要看你的機密文件的，真的都是廢話！
難道我們在這邊討論這些問題的人，不知道資料上傳到網路就會有風險嗎？
但是，現在是什麼時代？雲端的時代，我們大家都漸漸要走入雲端，所以，很多東西都得漸漸地放到雲端。
以前，我看到那些年輕人把他們的『私密』自拍照放在網路硬碟上，還說什麼加密碼就好、網路硬碟不會壞云云，我都覺得不可思議，我始終覺得不放心。
但是，隨著雲端時代的來臨，隨著蘋果的新產品沒有USB接頭，我知道這是個時代的趨勢，所以我也才開始接觸雲端硬碟，開始使用它。

到這個時候，誰都知道安全就是最需要在乎的問題，也是大家最想得到「保證」，最想探究真相的問題。

那麼這時候，任何一個「顯示其可能不夠安全」的證據、例子，都需要我門去討論和探究，那些什麼應該有網路安全常識、公司機密就不該放上來等，早就已經不在現在討論的範圍裡了好嗎？這些誰都知道！這些也是過時的事！如果我們還是這麼認為，那麼，就不要去想什麼雲端，就永遠不要走入雲端時代就好啊！
我絕對不是雲端推崇者、擁戴者，我只是覺得，既然大方向走到這一步，我們就該與時俱進，雲端的來臨，意味著你什麼東西都得放上去（看看Apple的新產品都幾乎只能用雲端就知道了），那到了這時候，我們能不能討論點實際的東西？討論一下他的安全性？
如果只要有人討論安全性，就被你打槍，用那些以前的觀念去打槍，那大家怎麼進步呢？

我真的很希望討論一個議題就專心討論，那些認為雲端永遠不夠安全、所以這問題根本不需討論的人，可以不要進來潑別人冷水了好嗎？至少我認為你在這裡說的是廢話-----我們只想討論Dropbox的安全性，不想管我中標（我不是重要人物）的機率是多少，也不想再回老路去說雲端根本不安全，因為當我們討論出來的結論如果真的是Dropbox不安全時，我們自然不會再去用他，也不勞您這個根本沒有探究問題真相的精神的人在這邊隨口放炮。

這邊提供幾個連結，大家可以參考下：
1.這是個比較技術性的文章，但是只要專心看，也可以看得懂，說的也有道理：
http://news.ipadown.com/1070

2.這是01網友親身經歷、似乎Dropbox上面的資料外洩，我會追蹤這個文章，如果他找不出其他的原因，我想，那Dropbox我會少用了。
http://www.mobile01.com/topicdetail.php?f=626&t=2272490

山上的黑狗

0分

5樓

山上的黑狗

個人積分：0分

文章編號：29664756

資訊安全實務上不會有絕對的安全這個東西
只有安全性夠不夠用的問題...而夠不夠就因人而異了
你會為了怕口袋裡的零錢被偷買個百萬級的保險箱來放嗎?

如同誰能保證小偷不會到自己家到此一遊?
你所能做的就是讓小偷放棄偷你的東西，但你能付多少代價?
同理在網路上亦同

這個例子只是Dropbox疑似謊稱安全性
就像買了一把號稱如何如何厲害的大鎖結果卻是虛有其表而已
甚至連基本的防盜功能都沒有

即使是蘋果，他也不會說自己的東西沒有漏洞絕對安全
越獄就是個例子

哈哈阿翔

175分

6樓

哈哈阿翔

個人積分：175分

文章編號：29664934

願我進入方舟1986 wrote:
其實我覺得那些老是回...(恕刪)

你資料放在私人電腦裡面有辦法保證絕對不會被盜取嗎?

歡迎加入小惡魔聊天室

techih

40分

7樓

techih

個人積分：40分

文章編號：29667685

我猜若美國政府需要你的檔案，他可以直接進入你的windows拿。
只在乎你有沒有那個價值而已。

ulyssesric

366分

8樓

ulyssesric

個人積分：366分

文章編號：29668412

願我進入方舟1986 wrote:
其實我覺得那些老是回...(恕刪)

閣下是不是搞錯了一件事：大家來 01，是來打屁看八卦的，誰陪你搞這種學術性交流？閣下想要「深入討論」的議題那根本就是一整個學門，有無數學術雜誌專門為了這個學門成立新的發行，請問閣下的數論基礎到底是有多高明，可以大言不慚的說要「探討真相」？

告訴你，真相只有一個：汽車防盜鎖不是設計成讓小偷打不開，而是設計成讓小偷「很麻煩」。

我不曉得閣下對於密碼學的基礎有多深厚；密碼學只有一個「真理」：同一套密碼的強度，與它要保護的東西的價值成反比。如果你深入研究過密碼學，你就會領悟一件事：「絕對安全」對於密碼學這個學門來說是一個不可能到達的「光速」。任何密碼學加密理論、憑證理論、隨機金鑰理論、密文交換理論都是以同一個東西當做絕對標準：破解的『難度』。

我們平日所用的所有網路服務的密碼系統，根本不是以「安全性」為優先考量，而是以「讓使用者方便」為考量在設計：在不會讓使用者感到不方便的前提下，盡量提昇破解的難度。

事實上大部分網路服務都並沒有將資料做「加密」，只是用密碼來做「認證」。DropBox 等服務實際上有將資料做加密，但重點是，這個加密到底是怎麼加的？有沒有效？深入探討這個問題下去，就牽涉到密碼學的兩個主要流派：公鑰系統（Public Key）與對稱鑰系統（Symmetric Key）。簡單解釋一下：

所謂公鑰系統，就是資料加密與解密是用兩個不同的數字做運算。這兩個數字不是隨便找，而是必須由兩個幾十位數的質數以特定方式計算得出；一個數字可以將資料加密成密文（Cypher），一個數字可以將資料解密為明文（Clear）。這兩個數字一定是成對存在，前者稱為公鑰（Public Key），後者稱為私鑰（Private Key）。公鑰顧名思義是公開給所有人知道的。任何人要將一份文件加密交給你，首先取得你公開的公鑰，計算加密，將密文傳送給你，然後你再用只有你知道的私鑰解密。這就是公鑰系統的運作原理。

而對稱鑰系統則是剛好與公鑰系統相反。對稱鑰不管是加密還是解密，都是使用同一組數字。密文寄件者與收件者在事前就必須透過某種方法交換同一把金鑰的資訊，然後互傳密文。

這樣看起來似乎對稱鑰系統的安全性高出許多？其實並非如此。單純以密碼學數論的破解難度而言，對稱鑰系統與公鑰系統的「安全性」只和金鑰的長度與演算法有關，與一把或兩把鑰匙無關。對稱鑰系統真正的弱點有二，第一就是上面一段的藍字，也就是金鑰交換的過程。

由於發文者與收文者必須在事前採用同一套金鑰，如果金鑰在傳遞的過程被攔截竊取，那加密就毫無意義。金鑰交換的方法最早可以追溯到西元前的羅馬帝國，到了一次、二次大戰時都沒有太大改變；頂多就是部隊配發一本密碼手冊或是密碼機（請自行 Google「Enigma」），然後按照一定的規則（日期、時間）挑選用來加密的金鑰。到了近代，對稱金鑰的交換已經大不相同。現代對稱金鑰的交換通常會用另外一套加密憑證，也就是公鑰系統，來確保對稱金鑰的交換過程無法被竊取。這種作法破解的難度可以大幅提昇，因為用來交換金鑰的金鑰並不需要長時間存在，可以是一組固定金鑰以及隨機金鑰的組合。實際上現在很多高安全性商業應用（例如能源產業）都使用這種方式來做金鑰管理。有興趣的請自行 Google「橢圓曲線密碼學」。

OK，「認識密碼學」簡易課程就上到這裡。

啦哩拉雜講了一大堆，所以我想說對稱鑰系統非常安全，是嗎？也不盡然。技術的問題容易客服，但是技術以外的問題就不是密碼學這個學問能克服的了。對稱鑰系統真正的弱點之二：「人」。

如同前面講過，對稱鑰系統是發文『者』與收文『者』都共有同一把金鑰。請問你如何確保那個『者』不會收了某某人好處把金鑰洩漏出去？

你或許會問，既然這樣那為什麼不直接用公鑰系統就好了？幹嘛要這麼大費周章非用對稱鑰不可？理由很簡單：因為使用者都是笨蛋。如果你沒辦法接受的話，我就用比較婉轉的方式來講：因為大部分使用者都不具備使用公鑰系統的條件。

我用一個例子來比喻：有兩個社區，都號稱門鎖超級堅固、全世界沒有哪個鎖匠小偷能侵入，然後兩個社區都各自請了不同的保全公司。

在 A 社區裡，你要回家要先去找警衛，警衛核對過你的身分後放你進去，然後用你的鑰匙開門。警衛同時也有一把全社區都可以用的萬能鑰，萬一發生了什麼事，警衛可以開門進去。

在 B 社區裡，你搬進去以前保全公司就要你挑選一把全宇宙獨一無二的鑰匙，你家的房門除了你的鑰匙以外沒有任何人或任何東西能打開。但是如果你搞丟了鑰匙，你就會被反鎖在你家門外，直到世界末日。

請問你要住在哪個社區？

公鑰系統有公鑰系統的好處，你用公鑰系統加密，除了你的私鑰以外，沒有人能看到檔案的內容物。但是相對的，公鑰系統使用者對於金鑰管理就是需要特別費心。有多費心？我只問你一件事：請問你看得懂 Mac 作業系統 Keychain Access 的「憑證」裡面那些有字天書在寫什麼嗎？ DropBox 終究只是一個面對消費者的商業服務，如果每一個 DropBox 使用者都需要先搞懂那些有字天書、至少要知道那些無釐頭字縮寫（Initcaps）是啥，你認為有多少人會去用這個服務？

所以你現在知道這是怎麼回事了。DropBox 確實有加密，但是這個加密只是讓破解的難度增加，而不可能確保全世界只有你一個人能讀取。就如同現存所有消費市場上的網路服務一樣。用一般人能聽的懂得比喻來形容：像 01 這種網站，密碼安全等級就相當於百貨公司超市寄物處；DropBox 的安全等級就相當於火車站寄物處。想要更高的安全等級，你就必須去找更專業的網路服務者，或是自己架自己的企業雲。

現在我反問你：如果你要寄存十萬元現鈔或是兩克拉鑽石，請問你會去找火車站寄物處，還是去找銀行保險櫃？

最後，請容我引述一段目前資訊安全界對 DropBox 事件最具經典、最常被人引用的評論來作結：

Nathaniel Borenstein said...

The real problem here is that nearly everyone has unrealistic assumptions and beliefs about what is secure, and what it means to be secure. The fact is, unless the encryption is being done under your control, as close to you as possible, and unless only the encrypted form is being transmitted to the cloud provider, your security and privacy will never be absolute. The sooner and more clearly people are educated about this, in my opinion, the better.

What Dropbox provides is more than adequate for most users. Those with a more stringent need for privacy—most often because they are breaking either a just or unjust law—need to take responsibility for their own privacy, not count on a remote, third party service to provide it.

歡迎來到這個世界的「真實」，不管你有沒有做好準備承受。如果你因此就決定捨棄 DropBox 這個方便的工具，那也是你家的事，就像艾米許人也有他們自己的理由拒絕現代文明一樣。

kelvin1989

5分

9樓

kelvin1989

個人積分：5分

文章編號：29671357

再怎麼機密的東西都會有被踢爆的可能性...
會跟自己有非常切身利益有關的事情,就
自己斟酌罷~~@@

bubble

46分

10樓

bubble

個人積分：46分

文章編號：29720406

看完ulyssesric的文章之後才能好好的呼吸,因為很慎重仔細的在看

謝謝您願意花點心思跟我們做點說明,讓我長了點知識,
謝謝! 100分

dropbox在美國好像爆出欺騙用戶的安全性問題耶.......

小惡魔新聞台

小惡魔廣編特輯

dropbox在美國好像爆出欺騙用戶的安全性問題耶.......

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！