服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用Dropbox的员工有哪些安全风险?
Intereting Posts
Windows Web Server 2008中的防火墙pipe理 Comodo SAN正确使用SSL,关键在哪里 Nginxconfiguration托pipe一个Web应用程序和一个静态网站 在Windows上使用多less交换? Lotus Notes正在报告:“RRV存储桶已损坏”。 当试图打开一个NSF数据库 通过HTTP透明地caching大文件 如何使用名称超过19个字符的New-ADServiceAccount? Get-AzureSubscription $ subscriptionName -ExtendedDetails返回空白证书 Active Directory中的域名logging指向.0 IP地址,是否可以安全删除? ActiveMQ – “不能发送,频道已经失败”每2秒? ELB与其空闲连接超时设置一样慢 无法login到邮件帐户(Courier) – 用户名或密码不正确? 将PEAR从1.9.0升级到1.9.1失败 为什么REGSVR32找不到一个明显的DLL? 如何在Ubuntu 12.04服务器上远程访问Jenkins?

使用Dropbox的员工有哪些安全风险?

在公司范围内使用Dropbox文件共享/版本/备份时是否需要考虑特定的安全问题?是否有特定的选项或设置来build议限制风险?

这取决于你的业务和你的偏执水平。 使用VPN连接发放笔记本电脑更安全,但价格更昂贵。

真的很快…

一些风险:

  • 在雇佣关系终止之前,前员工有可能获得业务数据。 如果你不想让一些心怀不满的员工在被解雇后能够接触到事物,那么你作为企业必须掌控账户。
  • 这些服务将绕过您所拥有的任何自动文档保留机制,这为您添加了另一个手动覆盖文档保留的区域

build议:

  • 确保您可以生成您自己的encryption密钥(s)用于存储数据,并且密钥(s)不与服务提供商共享
  • 确保您的数据在发送到服务的存储库之前进行了encryption
  • 如果您打算让个人拥有自己的账户,那么请为您的公司提供一个单一的联系点。 通过这个人(或几个人作为代理人)协调所有帐户。 或者确保提供商支持您可以以某种方式将员工分组的员工账户。

我会在这里仔细踩。 Dropbox可以扩展到另一台电脑的硬盘。

该扩展比USB密钥更糟糕,因为一台PC上的感染可以比使用USB密钥更容易地使用该共享进入所有其他PC。 病毒/特洛伊木马/僵尸程序作者并不是以Dropbox为目标的,但是如果他们决定这么做的话,那么你已经从安全的networking上的公司控制的个人计算机到不安全的networking上的不安全的计算机的虚拟解锁的门。 就像使用正常的操作一样,不能只是通过那扇门看电脑上的其他东西 – 只能看到保pipe箱内的物品,只能在该区域创build新物品,但假设Dropbox应用程序本身不会受到影响。

此外,Dropbox声称有很大的安全性,但实际上你能certificate什么? 有可能有人可以从一个完全不同的电脑远程偷偷摸摸的窗口,并试图将感染的文件和程序放到工作电脑上。

显然有一个协​​议dropbox本身用来与客户进行通信 – 是否encryption? 缓冲区溢出是否免疫? 中间人攻击? 嗅探? 重播攻击? 是否有可能使用标准协议将文件放置在标准的Dropbox区域之外, 如果该协议有缓冲区溢出,是否有可能妥协的方式,以允许完全访问机器? networking上的共享机器?

我不认为这个风险很高,但所造成的损失可以是广泛的,所以这是一个需要仔细考虑的问题。

-亚当

妄想????

伙计..离开networking..慢慢地..用你的双手远离键盘..现在就去!

文件共享基于云的“消费者”解决scheme,如Dropbox,不适用于商业或公司。 微软表示,最好Skydrive出来说,这些types的产品不是,也不应该用于商业目的。

成千上万的原因不是为什么人们应该这样做。

除了安全风险之外,最大的合法性原因(并且指定第三方可以访问机密文件的使用条款,因此不应该存储在基于消费者的服务上的任何保密信息。像Dropbox这样的服务。 让我问一下这些文件存储在哪里? 那些服务器在哪里? 您可以放心,以最低的投标人,呼吁所谓的数据出口规则和法律…你应该有一个小的文件“美国政府可能被认为是一个风险或潜在的风险,美国的安全”如公共集合地点,学校,健身房,密码或用户名,如思科帐户,您可以下载出口限制软件等)的电子布局小到保密文件,您违反了该法律。 你去监狱,你们不要去..我现在相信,那是由FTC和国土安全部门来处理的。

DB的使用条款规定(基本上),如果它安装在商业PC上(Dropbox假设那个人是因为安装在商业PC上的人保证他们是通过点击TOU的),那么“授权”的个人正在这样做对于整个公司..期间…(第一部分ion Dropbox.com/terms)

什么阻止了我在服务器和工作环境之外使用这个工作环境简直就是道德规范……你有一个像Skydrive这样的消费产品,在大写字母中写着“没有业务……不要!因为他们不想冒用户的数据一个商业级别,因为他们知道这是一个风险!然后Flippin Dropbox谁使用他们的合同,如“东西”,谁帕蒂蛋糕整个“安全的东西”,并performance为没有什么大不了失去利润和股份有价值吗?可能不是…)….

这是一个大问题..更多的安全组织请求你和我遵循简单的做法,更大的comps像保险箱出来和金钱..为了利润,就像没有什么大不了的…

如果您的企业存储了一小部分信用卡号码和名称和到期date,该怎么办? 现在说,DropBox客户端安装在PC上的电脑是通过Dropbox安全膛线进入的“呃…进入..”…跟着我? Visa / Amex等..巨大的银行公司与政府的支持(因为支付卡行业(PCI)标准这么说..那是谁…)会罚你..得到这个…你可能想坐下来..一个惊人的$ 500,000.00 PER INCIDENT …这是足以把一个中小企业的业务,他们在….

解决此问题的唯一方法是使用PCIauthentication的encryption产品在本地对数据进行encryption,然后进入保pipe箱,为所有远程设备购买许可证,下载所需的文件并解密,然后才能使用它..(不,听起来不是没有兴趣…)(或encryption您的服务器networking上的数据,并在网关客户端…)

有了这一切,用户不到20美元(基本约11美元),你可以得到一个Office365 E系列计划,这是HIPAA,SOX,ISO和PCIauthentication..(Dropbox,隐藏在那里页面明确指出“在这个时候“,他们不是……)

所以问问自己,尽pipe在你的脑海里小…是否真的值得冒险呢? 你是否想和我认为的公司做生意,轻轻一点,或者说轻,与使用他们的产品相关的风险….

如果你在科技领域,你的职业生涯是否值得冒风险? 你的名字靠后,你觉得你可以被雇佣吗? 作为一名首席技术官,我可以向你保证,而不是在我的生活中,我甚至不会听到背后的借口。我甚至不会采访任何技术上的人,他们通过自己的行为或决定,在任何规模的networking上造成了一堆数据。是的,我们都犯错误,这就是为什么你的IT工作是为了消除任何风险,尽可能的大或小..不要打开虫洞和尖叫爱丽丝…)这是一个灾难的公关.. (如果一个竞争对手发现并泄露了你是谁(喘气)你做了什么..和增加雇用的责任,因为他们允许文件共享服务谁公开承认,并表示他们不是PCI,SOX ,ISO,HIPAA或PCIauthentication

那么这是给你的决定…这是值得的职业? 是否值得丢失你的公司或客户的数据?

对我来说,这不是…消费者使用消费品,而不是企业…期间。

更新(1.5年之后):Dropbox现在宣称他们通过SSL协议传输数据,并将其存储在AES-256-Containers中,无法访问(无密码)。

Dropbox最近承认,他们不使用SSL在移动客户端和服务器之间传输文件元数据。 他们故意这样做,出于性能的原因。 他们没有在网站上的任何地方表明他们这样做。 你可以在这里阅读:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

我认为他们正在为内部使用的公司提供一个版本,而且安全性更高,但同时这些文件在服务器上没有encryption,所以你必须信任它们。

除此之外,我看不到Dropbox特有的其他安全风险(如信息泄漏)。

很多将取决于贵公司的政策。 如果它像我工作的地方那样 – 我所有的发展都属于医院,而不是我 – 那么我会担心这是公司知识资产“stream连忘返”的简单方法。

有大量的文件pipe理系统可以让你设置一些只能在内部或通过可监视的连接访问的东西。