dropbox在美國好像爆出欺騙用戶的安全性問題耶....... (第2頁)

願我進入方舟1986

願我進入方舟1986
個人積分：15分
文章編號：29720630

15分

11樓

2011-08-02 23:01

ulyssesric wrote:
閣下是不是搞錯了一件...(恕刪)

雖然你前面積哩哇啦罵了一堆，不過我想告訴你實話：如果你在2樓就能講點這麼有內容的發文，我也不會嫌你講廢話+無聊打槍！
說真的，講話本來就該有內容一點，「網路上資訊不安全！」這不是十年以前就有的觀念嗎？近十年有沒有更新突破？這就是我希望討論的。科學都是日新月異，就好像醫學，可能五年才發表出來的新理論，今年就被重新驗證、最後可能會被推翻。這是為什麼我討厭一點實質性的內容都不給，就拿十年前的觀念大搖大擺隨便嗆別人。
我想：01自己沒說自己是個純打屁的地方。
如果來這裡的人已經這麼界定這討論區，那也只能讓它的程度繼續落下去。
And,為了你這麼專業的一段分享，我還是要謝謝你！
另外告訴你：不是要有什麼樣的程度才有資格要求聽有內容、有水準一點的東西，人人都有資格！

ulyssesric

ulyssesric
個人積分：366分
文章編號：29736294

366分

12樓

2011-08-03 15:42

願我進入方舟1986 wrote:
雖然你前面積哩哇啦罵了一堆，不過我想告訴你實話：如果你在2樓就能講點這麼有內容的發文，我也不會嫌你講廢話+無聊打槍！

不客氣；以上內容我一共花了兩小時打字整理，請付我講師鐘點費新台幣 4000 元或美金 140 元。這是我平常演講的半價了。請發私訊給我，我告訴你指定匯入帳戶號碼。或者你自行捐贈 4000 給聯合勸募協會，然後把收據寄給我也成。

我可是認真的，知識本來就是有價的，你以為我生下來就具備這些知識嗎？上面劈哩啪啦講的一大堆技術細節，如果你把所有細節通通拿掉，結論就是我在二樓寫的廢話。你一開始就接受二樓的廢話，我也不會計較；但是你想要更多資訊，我為什麼要白白告訴你這些知識的細節？連孔老夫子都說「自行束脩以上，吾未嘗無誨焉。」人人都有資格學習沒錯，但請交學費。

其他鄉民們，歡迎免費旁聽。這門課是專門為方舟同學開的。

cheris168

cheris168
個人積分：1937分
文章編號：29759771

1937分

13樓

2011-08-04 15:12

這樓肯定是戰文樓...這樓肯定是戰文樓

swpoker

swpoker
個人積分：7分
文章編號：29760367

7分

14樓

2011-08-04 15:39

以前在註冊會員的時候
不就會有 "你的密碼我們不會知道請放心" 的字樣嗎
其實這些都是寫給人家看的啦
安全便利跟成本就是互相衝突的
你要安全就是要犧牲點便利跟增加點成本
反之亦同
這也是為什麼企業會有私有雲這種概念出來
就是考量到安全等問題
但是以消費者來說
除非花錢(多少我就不知道)不然以免費來說,勢必是要有所取捨的
而且就算是花錢,也要有足夠的法律保障,萬一資料外洩或是遺失等,就告死那家公司
所以使用網路上的東西就跟自己去在電腦安裝程式都是有中毒的問題啦

麥克順

麥克順
個人積分：17分
文章編號：29760660

17分

15樓

2011-08-04 15:54

先謝過ulyssesric這篇很精彩的文章。
（根據名稱和圖像，我想ulyssesric也是另一個蘋果網站熱情有深度的大大）

願我進入方舟1986 wrote:
另外告訴你：不是要有什麼樣的程度才有資格要求聽有內容、有水準一點的東西，人人都有資格！...(恕刪)

那我是否也有資格要求您每一篇回文都提出有內容、有水準的東西呢？
您能保證做到嗎？
我相當贊成ulyssesric說的「知識是有價的」，
我們沒有繳學費給ulyssesric或網上的任何人，哪有資格要求對方呢？
若有幸看見「有內容、有水準、值得學習」的文章，也該抱持感謝的心態吧～

當年我透過BBS討論中，免費學到前輩許多的知識，
同樣的，我也花了幾年的時間，熱情分享自己的知識與經驗給其他的網友。
但千萬別以為這些「知識」是「自己應得」的，
這些知識背後，可能是當事人花費大量時間與金錢的經驗。

wasilinpapa

wasilinpapa
個人積分：5分
文章編號：29762582

5分

16樓

2011-08-04 17:23

silverfast1 wrote:
原文出處大意好像是說...(恕刪)

某些apple粉絲口中吹的胡說八道的雲端技術，其實安全性是堪慮的

這些人試圖告訴我們，因為我們不是有名的人所以資料不重要，所以無所謂，不知道這是什麼心態。

sickfoot

sickfoot
個人積分：358分
文章編號：29763409

358分

17樓

2011-08-04 18:03

嗯，看了你這麼想，我們認真的覺得應該這麼提醒你、關心你說：
你用的Android，很大量的資料都是在雲端，超危險的，安全性的問題很嚴重喔～～

wasilinpapa wrote:
某些apple粉絲口...(恕刪)

C'est La Vie! 法文「這就是人生啊！」

ulyssesric

ulyssesric
個人積分：366分
文章編號：29765834

366分

18樓

2011-08-04 20:39

cheris168 wrote:
這樓肯定是戰文樓.....(恕刪)

我承認我是被他惹火了，不過我不是火他炮我講廢話，而是他「我們要真相」那種台灣霉體式的發言方式。我不曉得那些把「真相」掛在嘴邊的人有沒有想過，在人類世界裡「真相」通常是妥協之下的產物。而且通常到最後會發現，你自己也和這個妥協的過程脫不了關係。

以網路安全這個領域來說，「資訊安全」和「密碼學」是兩回事。前者包含後者，同時還包含一個複雜到沒有任何數學模型能夠解釋的不確定因數：「人」。

一個秘密被洩漏的速度，與知道這個秘密的人數成正比。這件事別說五年、十年，就算五百年、一千年也不會改變。今天不管你用什麼服務，只要你忘了密碼還能夠被管理員「重置」，那就根本沒必要去討論他的系統到底安不安全。你的檔案不管用天文數字 Bit 的宇宙無敵金光閃閃加密演算法加密，但是只有超過一個人以上知道你的密碼，你的檔案機密外流的機率就和由另外那個人的道德水準高低成反比。還去探討「技術面的安全性」，有任何意義嗎？

當然，想用技術達到非常高度的安全性也不是不可能的事：

1. 首先，使用者必須挑選一對公私鑰，服務者同樣也有一對公私鑰。雙方都可以透過某些第三方服務取得對方公開的公鑰。

2. 建立連線時，需執行 Challenge -Response 的認證交握程序。一個基本的 Challenge -Response 認證程序大致如下：
- 其中一方（以下簡稱 A）先隨機產生一組數字，用對方的公鑰加密並傳送給另一方（以下簡稱 B）。
- B 用自己的私鑰將訊息解密，在訊息之後再加上另一組數字，兩組數字都用 A 的公鑰加密並傳送。
- A 用自己的私鑰將訊息解密，比對先前傳送的數字；然後再加另一組數字用 B 的公鑰加密傳送。
- B 用自己的私鑰將第二個訊息解密，比對第二組數字。
這個程序不只可以避免「利用網路上傳送認證密碼」這件事，同時是可以保障使用者避免因 DNS 攻擊而落入陷阱：請問你怎麼確定 www.dropbox.com 這個網址真的是指向「真正的 DropBox 公司」的伺服器，而不是詐騙集團在網路上架設釣魚網站後，發佈假 DNS 資料把 www.dropbox.com 這個網址指向釣魚主機的 IP？

3. 連線確認之後，A B 雙方將依循一個特定演算法產生一個連線密鑰（Connection Key）。通常是由 A B 雙方各自產生一個隨機數字、加上 A B 雙方由第三公正方發放的網路認證代碼，再用各自的私鑰與對方的公鑰運算、交換、然後再用公私鑰各自再運算一次。結果就是雙方都會得出同一組數字，且這組數字十分接近隨機數字。之後 A B 雙方的通訊將利用這個連線密鑰加密之後傳送。這個步驟是為了防止 A B 雙方被假造網卡 MAC 位址攻擊而導致連線重導；用白話來講，就是你通過認證後同一區網的壞人把你電腦搞掛，然後他自己的電腦網卡位址冒用你原先的硬體位址與 IP 位址，竊取你的連線。

4. 使用者端要上傳檔案到服務端之前，要先將檔案在使用者端利用一把檔案密鑰（Encryption Key）加密。為了避免暴力破解，每一個檔案、每次傳輸都需要更換一次金鑰。這是為了避免各位的檔案發生某港星事件。

以上的程序可以確保雙方不會受到大部分已知的資安攻擊影響而洩密，同時服務端完全不曉得你的檔案密鑰，所以管理者完全無法窺視。安全性可謂滴水不漏....才怪。

以上的程序在密碼學的理論上來講，複雜度已經是銅牆鐵壁等級了，但是一般使用者要付出怎樣的代價？我們來算一下。在以上的程序中，使用者端一共要管理：
- 認證公鑰
- 認證私鑰
- 每次連線產生的隨機連線密鑰
- 每個檔案、每次上傳都不同的檔案密鑰

這些「金鑰」可不是什麼 8-10 個英數字組合；每把鑰匙都是少說 256 bit 以上的數字。也就是大約七十位的十進位數。背誦七十位數字有多難？各位不妨可以先從背誦圓周率開始試起。如果你有好幾台電腦，然後要你在每台電腦上都輸入一遍，請問你會為了你寶貴的隱私權乖乖照辦嗎？

還是你要把這些金鑰都存在一個 USB 隨身碟裡面、然後下班忘了把隨身碟從電腦上拔下來、結果第二天你發現你公司大樓新聘請的倒垃圾工人與你的銀行存款同時不翼而飛？

使用者要方便，所以就有了妥協。

上面的安全連線可以捨棄一些學理上的安全性以達到方便的目的：
1. 使用者挑選一組 8-10 個英數字組合的主鑰（Master Key）
2. 由這個 Master Key 加上使用者網路認證代碼，計算出認證公私鑰。
3. 由這個 Master Key 加上檔案的一些 Meta 資訊（例如檔案建立時間和存取時間），計算出個別檔案密鑰。

這樣做的優點很明顯：你只需記一組 Master Key。
這樣做缺點也很明顯：你只能靠一組 Master Key。

換句話說，如果你的 Master Key 外洩，或者更慘的，你忘了你的 Master Key，你就可以和你的隱私權/檔案說掰掰了。Master Key 有多容易外洩？請問各位鄉民：你們有多少人是用你的生日、老婆/老公/小孩的生日當提款卡密碼的？再請問各位鄉民：你們有多少人是直接把 DropBox 密碼記在 GoodReader App 裡的？

繞了一大圈，搞了一個宇宙無敵金光閃閃加密檔案傳輸協定，到最後整件事最大的漏洞，就是你自己。

各位鄉民，這就是方舟同學要的「不願面對的真相」的最終奧義：資訊安全，就是從你自己開始做起的自省。

一般消費者在面對 DropBox 等服務的時候，必須建立的一個正確觀念就是：「不要預設他很安全/很不安全」。使用此類服務，自己該有的自我保護請先做到：注意病毒木馬、不開來路不明的信件鏈結、定時更換密碼、不要重複用密碼、不要用別人隨便猜就能猜到的密碼、機敏檔案不要放在不確定安全性的空間、真的要放也要用其他機制加密....吧啦吧啦，全是老生常談，而且是真正具備正確資訊安全觀念的老生常談。

人類的社會太複雜、太複雜，複雜到根本不可能用數學模型來理解。技術不能解決的問題，就用非技術的手段解決。這就是為什麼信用卡公司要通知你刷卡消費，銀行要你秀兩張有照片的證件。如果你真的不幸碰到資料外洩、那就請依循人類社會的古老傳統：報警吧！

以上是補課加開場，同樣的，各位鄉民歡迎免費旁聽。

iamhsu

iamhsu
個人積分：13分
文章編號：29771502

13分

19樓

2011-08-05 0:49

哇...真的是聽君一席話...勝讀十年書丫...

知識真的無價...感覺託了大大的福...才搭順風車上到了這麼有內容的課程...

很多東西就是術業有專攻...這麼不容易複雜的東西...

經由大大分析整理起來...加上簡單易懂的舉例....

真的是達人等級的也...

路人甲經過也得到了學習...

呵...真心的感謝

分享的大大..辛苦囉

謝謝

cheris168

cheris168
個人積分：1937分
文章編號：29812529

1937分

20樓

2011-08-07 5:09

無名小站市值3,000萬美元、Twitter市值80億美元...

Dropbox市值居然高達100億美元,
Pandora 和LinkedIn上市之後的估值都能達到了21.6億和86.3億美金。
Dropbox這家只有 65位員工的創業公司應該比前面這兩家更加值錢,
請思考一下 dropbox擁有2,500萬用戶, 而其中大多是付費, 並且每天上傳文件達到2億, 一般這樣愈來愈巨大的公司是很注重客戶隱私的, 我相信它。