Dropbox是一個(gè)廣泛使用的基于云的存儲(chǔ)平臺(tái)。由于對(duì)用戶數(shù)據(jù)隱私的懷疑，Dropbox現(xiàn)在成為了安全研究人員的目標(biāo)。今年8月，兩位研究人員在USENIX安全會(huì)議上發(fā)布了一份白皮書，描述了攻擊Dropbox和獲取用戶數(shù)據(jù)的方法。盡管實(shí)際研究的優(yōu)勢(shì)值得討論，但它提出了企業(yè)應(yīng)該采取什么措施來保護(hù)云中數(shù)據(jù)的完整性和安全性的問題。

雖然Dropbox知道這項(xiàng)研究，但它并不認(rèn)為這是一個(gè)需要立即關(guān)注的安全風(fēng)險(xiǎn)。Dropbox發(fā)言人在給eWEEK的一封電子郵件中指出，Dropbox感謝安全研究人員和所有幫助確保Dropbox安全的人所做的貢獻(xiàn)。也就是說，Dropbox目前并不認(rèn)為在USENIX會(huì)議上進(jìn)行的研究表明Dropbox客戶端存在漏洞。

這位發(fā)言人說：“在這里概述的情況下，需要首先銷毀用戶的計(jì)算機(jī)，這樣整個(gè)計(jì)算機(jī)(而不僅僅是用戶的Dropbox)就容易受到全面攻擊?！?

雖然Dropbox沒有引起人們對(duì)云存儲(chǔ)安全性的警覺，但其他人卻是。密碼云高級(jí)總監(jiān)Willy Leichter告訴eWEEK，云存儲(chǔ)安全模型的問題超過了Dropbox認(rèn)證方法中發(fā)現(xiàn)的錯(cuò)誤。

Leicht表示：“基于云的文件共享網(wǎng)站繞過了大多數(shù)公司的安全措施，但企業(yè)仍然需要能夠檢查離開網(wǎng)絡(luò)的信息，并防止敏感或受監(jiān)管的數(shù)據(jù)丟失給未經(jīng)授權(quán)的外部人員?！?

Wave Systems首席執(zhí)行官Steven Sprague告訴eWEEK，他認(rèn)為根本問題在于Dropbox可以為所有客戶讀取所有文件。

Sprague說：“如果密鑰歸Dropbox所有，那么它們被加密和存儲(chǔ)的事實(shí)毫無價(jià)值?！?

NetIQ解決方案戰(zhàn)略總監(jiān)Geoff Webb也認(rèn)為，加密密鑰的所有權(quán)是關(guān)鍵考慮因素。韋伯告訴eWEEK，用戶犯的一個(gè)大謬論是，僅僅因?yàn)橄馜ropbox這樣的公司對(duì)數(shù)據(jù)進(jìn)行加密，就可以認(rèn)為它是絕對(duì)安全的。

韋伯說：“因此，雖然可以確保上傳到Dropbox的數(shù)據(jù)是加密的，但誰能訪問密鑰本身還不確定，如果密鑰泄露，加密的數(shù)據(jù)將不再受到保護(hù)。”

對(duì)于Dropbox和任何試圖提供安全在線云服務(wù)的人來說，挑戰(zhàn)在于可用性和安全性往往是對(duì)立的。開源云存儲(chǔ)提供商ownCloud的產(chǎn)品副總裁馬特理查茲(Matt Richards)告訴eWEEK，重要的是要記住安全性是相對(duì)的：最安全的系統(tǒng)是沒有人能訪問的系統(tǒng)。在他看來，這與Dropbox體驗(yàn)相反，后者與易用性有關(guān)。