Dropbox是一个广泛使用的基于云的存储平台。由于对用户数据隐私的怀疑,Dropbox现在成为了安全研究人员的目标。今年8月,两位研究人员在USENIX安全会议上发布了一份白皮书,描述了攻击Dropbox和获取用户数据的方法。尽管实际研究的优势值得讨论,但它提出了企业应该采取什么措施来保护云中数据的完整性和安全性的问题。
虽然Dropbox知道这项研究,但它并不认为这是一个需要立即关注的安全风险。Dropbox发言人在给eWEEK的一封电子邮件中指出,Dropbox感谢安全研究人员和所有帮助确保Dropbox安全的人所做的贡献。也就是说,Dropbox目前并不认为在USENIX会议上进行的研究表明Dropbox客户端存在漏洞。
这位发言人说:“在这里概述的情况下,需要首先销毁用户的计算机,这样整个计算机(而不仅仅是用户的Dropbox)就容易受到全面攻击。”
虽然Dropbox没有引起人们对云存储安全性的警觉,但其他人却是。密码云高级总监Willy Leichter告诉eWEEK,云存储安全模型的问题超过了Dropbox认证方法中发现的错误。
Leicht表示:“基于云的文件共享网站绕过了大多数公司的安全措施,但企业仍然需要能够检查离开网络的信息,并防止敏感或受监管的数据丢失给未经授权的外部人员。”
Wave Systems首席执行官Steven Sprague告诉eWEEK,他认为根本问题在于Dropbox可以为所有客户读取所有文件。
Sprague说:“如果密钥归Dropbox所有,那么它们被加密和存储的事实毫无价值。”
NetIQ解决方案战略总监Geoff Webb也认为,加密密钥的所有权是关键考虑因素。韦伯告诉eWEEK,用户犯的一个大谬论是,仅仅因为像Dropbox这样的公司对数据进行加密,就可以认为它是绝对安全的。
韦伯说:“因此,虽然可以确保上传到Dropbox的数据是加密的,但谁能访问密钥本身还不确定,如果密钥泄露,加密的数据将不再受到保护。”
对于Dropbox和任何试图提供安全在线云服务的人来说,挑战在于可用性和安全性往往是对立的。开源云存储提供商ownCloud的产品副总裁马特理查兹(Matt Richards)告诉eWEEK,重要的是要记住安全性是相对的:最安全的系统是没有人能访问的系统。在他看来,这与Dropbox体验相反,后者与易用性有关。