Комментарии 123
А вы там десткое порно храните? Так задолбала эта истерия вокруг публичности и утечки «персональных данных».
Понимаете ли, дело вовсе не в утечках или порно. А в том, что изначально заявленные гарантии производителя относительно конфиденциальности данных не выполняются и оказываются просто пустым звуком. Вас бы разочаровало, если бы на видеотелефоне, который вы купили, было написано «абсолютно конфиденциально», а на самом деле, каждый раз, когда вы разговариваете с вашей девушкой о сексе и думаете, что вы защищены, сосед Вася на таком же телефоне, видит вас обоих и гнусно хихикает при этом?
Они предоставят ваши данные только по законному решению суда. Более того, я думаю вам стоит погуглить на предмет «СОРМ». Вы очень удивитесь.
Дело не в том, что предоставят даже, а в том, что они без проблем могут любые данные расшифровать и воспользоваться, что, соответственно, доступно и многим работникам компании.
Сотрудникам ФСБ и МВД доступны все данные, которые передаются через вашего интернет провайдера. И сдаётся мне они могут использовать их даже без решения суда. А вы переживаете из-за каких-то сотрудников dropbox, которые живут даже не на этом континенте :)
представляю как им интересно читать мой ssl трафик)
SSL не панацея :) Я думаю они волне могут догадаться использовать MitM.
ну и подписать свою поделку у CA еще.
В принципе замечание верное, но если внедрить на ПК нашей цели агента, то подписывать не придется. А при необходимости и текущей ситуации с безопасностью у большинства пользователей уверен, что это задача решаемая для органов. Так что SSL действительно не панаценя, но самая действенная защита на данный момент при правильном ее использовании.
а PGP?
Еще раз повторюсь
Пусть правительство имеет мои данные, если хочет. Только не нужно заявлять, что Dropbox безопасен аж по самый AES-256 при этом, если ключи шифрования доступны любому их сотруднику.
Понимаете ли, дело вовсе не в утечках или порно. А в том, что изначально заявленные гарантии производителя относительно конфиденциальности данных не выполняются и оказываются просто пустым звуком
Пусть правительство имеет мои данные, если хочет. Только не нужно заявлять, что Dropbox безопасен аж по самый AES-256 при этом, если ключи шифрования доступны любому их сотруднику.
Ну допустим, что видит вас не сосед Вася, а сотрудник ФСБ/МВД, да и то только по постановлению суда.
А что касается Дропбокса, так там вообще не наши спецслужбы, а американские.
А что касается Дропбокса, так там вообще не наши спецслужбы, а американские.
НЛО прилетело и опубликовало эту надпись здесь
напишите ещё комментарий, я поставлю вам ещё один плюс, а то за один нельзя несколько плюсов поставить :)
Вы так говорите «персональные данные» как будто это миф.
а если я там храню свои закрытые ключи? Выходит они все скомпрометированны, и нужно генерить новые
Мой детектор иронии в ремонте. Пожалуйста, верните мне веру в человечество и скажите, что ваш комментарий — шутка.
на самом деле не храню конечно. Но когда-то такая мысль приходила. Чтож вероятно truecrypt + dropbox самая лучшая связка
Все хотел узнать, да руки не доходили. Dropbox каждый раз будет заново синхронизировать _весь_ контейнер truecrypt'а после каждого его изменения?
Нет, там в основе, на сколько я знаю, rsync. Файлы индексируются блоками отправляются только изменившиеся.
Тут товарищ иное утверждает.
Придется самому проверять…
Придется самому проверять…
Тогда Вы сам себе злобный буратино :)
а с чего вы думали, что данные лежащие где-то не у вас в безопасности?
Что насчет Wuala(http://www.wuala.com/)?
Они заявляют. Что на деле мы увидим после первого скандала…
Но вообще в отличие от Dropbox они находятся в Швейцарии, насколько я понимаю. А там, возможно, сильная криптография разрешена и у них нет необходимости предоставлять доступ правительству к файлам пользователей.
Но вообще в отличие от Dropbox они находятся в Швейцарии, насколько я понимаю. А там, возможно, сильная криптография разрешена и у них нет необходимости предоставлять доступ правительству к файлам пользователей.
да это и так было понятно.
Они хранят ваши файлы в амазон s3 без всякого шифрования.
Они хранят ваши файлы в амазон s3 без всякого шифрования.
Ну, заявляют они как раз наоборот…
И я думаю, скорее всего, они шифруют файлы на Amazon. Но своими ключами, а не пользовательскими.
И я думаю, скорее всего, они шифруют файлы на Amazon. Но своими ключами, а не пользовательскими.
врядли они файлы перешифровывают
скорее всего у них есть копия ключей пользователя
скорее всего у них есть копия ключей пользователя
шифровать файлы пользовательскими ключами — с дедупликацией можно распрощаться — а оно им не надо
однозначно, что либо используется шифрование амазона либо свое(в чем я сомневаюсь), но шифровать пользовательскими ключами нереально. Тогда одинаковые файлы будут сотнями хранится.
Для дедубликации совсем не обязательно хранить файлы в незашифрованном виде. Достаточно хранить соответствие между хешами оригиналов и зашифрованными файлами.
Мне очень интересно, как вы представляли себе процесс, при котором Dropbox шифрует файлы у себя на сервере вашим ключом.
Да просто. Хеширует на вашей машине, затем передает зашифрованный файл и посчитанный хеш оригинального файла на сервер.
Логично. Но о том, что dropbox этого не делает, несложно догадаться по отсутствию в настройках какой-либо возможности ввести свой секретный ключ.
Но это ведь в общем случае не означает, что он не генерирует ключ самостоятельно.
А как в таком случае файлы доступны через веб-интерфейс?
Если вы пролистаете дискуссию чуть вверх, вы увидите, что мы начали с того, что Dropbox все же шифрует файлы на Amazon своим ключом. далее imil поинтересовался, как бы я себе представлял процесс шифрования файлов на своем сервере, но ключом пользователя. Я ответил, как бы я себе это представлял.
И как бы это помешало им в случае необходимости расшифровать файлы «вашим» же ключом.
«Ваш» ключ в том предположении на сервер не передавался.
Хеширует на вашей машине, затем передает зашифрованный файл и посчитанный хеш оригинального файла на сервер
В таком случае, я могу только повторить вопрос xforce: а как тогда веб-интерфейс, по вашему, работает?
Я прошу прощения, но… вы умеете отличать условное наклонение от изъявительного?
Прошу прощения, но… мы обсуждаем как работает дропбокс или новый секретный сервис для параноиков, которого не существуют?
Мне показалось. я все понятно объяснил. Тут пользователь задает гипотетический вопрос — как бы я себе представил, что дропбокс шифрует файлы у себя на сервере ключом пользователя. Речь не шла о том, как и что есть в действительности. Речь шла о теоретической возможности такого явления, о том, как я себе это представляю. И с этого момента началась эта ветка. И вы уже третий, кто, не прочитав все до конца, задает странные вопросы.
Но тогда это уже не «ваш», а «его» ключ.
А когда вы новый компьютер подключаете, как этот ключ туда попадет?
Уже второй косяк броськоробки за неделю. Я прям слышу как толпы народу сваливают на шугарсинк/вуала/etc…
В топиках о других сервисах уже был разговор о том, что в почти каждом Terms of Service указано о том, что владелец ресурса по требованию суда или органов исполнительной власти (в зависимости от законодательства) может предоставить всё содержимое ваших пространств.
В Wuala тоже?
All files in Wuala, including their metadata (file name, description, comments, thumbnail images, etc.), (hereinafter summarised as «data») are encrypted such that they can neither be read by LaCie nor by any third party, unless their owner explicitly shares them with any third party or has made them public.
LaCie has the right to store data as far as technically possible and to pass it on to third parties
Может, я чего-то не понимаю, но кто заставляет хранить нешифрованные данные на облаке? Боитесь за свои данные — храните их шифрованными. Или БросьКоробку запрещает?
а чем Вы таким занимаетесь, что наши спецслужбы добьются решения американского суда, чтобы увидеть Ваши файлы, хранимые в дропбокс?
Если Вы так опасаетесь того, что Ваши файлы посмотрят и что то там найдут — заливайте криптованные (PGP например). А вообще это не проблема дропбокса, это проблема законодательства, а владельцы подобных сервисов обязаны подчиняться этим законам.
А кто им мешает кодировать так, чтобы ключем являлось нечто, имеющееся исключительно у пользователя-владельца?
Собственно ничего, предложите это им! Я привык заботиться о своей безопасности сам, а не доверять слепо кому либо. Поговорка: Хочешь сделать что то хорошо — сделай сам. И тут она как нельзя кстати.
Ничего им не мешает, но как тогда они предоставят что-то по решению суда, если у них не будет ключа?
Если по-хорошему, то надо шифровать файлы двумя ключами: ключом пользователя и ключом хранилища. Тогда проблем не будет подобных, но это все только фантазии, не более.
Если по-хорошему, то надо шифровать файлы двумя ключами: ключом пользователя и ключом хранилища. Тогда проблем не будет подобных, но это все только фантазии, не более.
Я полагаю, именно законодательство и мешает.
Их бизнес-модель мешает.
Такой сервис будет стоит на пару порядков дороже и не будет столь удобен.
Оно им надо?
Такой сервис будет стоит на пару порядков дороже и не будет столь удобен.
Оно им надо?
Больше не буду хранить там ~/.ssh/*
О! Опять вброс про Dropbox. Да вообще пофигу, пусть они этому правительству предоставят все-все мои файлы и попробуют их достать из шифрованных архивов или truecrypt-контейнеров.
Кто-то не любит dropbox прямо =) Пусть хоть, альтернативу предложит. А то даже не понятно чей заказ.
Кто-то не любит dropbox прямо =) Пусть хоть, альтернативу предложит. А то даже не понятно чей заказ.
truecrypt-контейнеры в контейнерах в..., а внутри образ на 600мб из /dev/urandom
wuala — альтернатива, заявляется, что все криптуется у вас на машине и отправляется уже зашифрованным
wuala — альтернатива, заявляется, что все криптуется у вас на машине и отправляется уже зашифрованным
НЛО прилетело и опубликовало эту надпись здесь
Еще раз повторюсь — проблема не в том, что правительство что-то там узнает, а в том, что заявления производителей ПО не соответствуют действительности.
контейнеры truecrypt не синхронизируются также как и все остальные ваши файлы — при каждом изменении они заливаются полностью заново. в таких случаях, имхо, лучше tahoe-lafs поднять (вот и альтернатива)
Неделя ненависти к dropbox. Что за антипиар сервиса?
Хех, а кто-то думал что у каждого юзера свой ключ который есть только у владельца аккаунта?
Truecrypt, GPG, и еще несколько решений. Dropbox вроде умеет делать бинарные диффы.
Truecrypt, GPG, и еще несколько решений. Dropbox вроде умеет делать бинарные диффы.
Шизофреники
Используйте TrueCrypt.
Dropbox будет синхронизировать только измененные части файла.
Dropbox будет синхронизировать только измененные части файла.
For Our Advanced Users:
While not officially supported, some users have reported success mounting truecrypt volumes in their Dropbox. Truecrypt allows you to create your own private volume complete with your own private keys.
www.dropbox.com/help/28
Тадам
While not officially supported, some users have reported success mounting truecrypt volumes in their Dropbox. Truecrypt allows you to create your own private volume complete with your own private keys.
www.dropbox.com/help/28
Тадам
encfs, truecrypt, gnupg замечательно работают поверх дропбокса. А то, что любые [незащищенные] данные, которые покидают личный компьютер, могут быть доступны третьим лицам вне зависимости от лицензионного соглашения «получателя» — это уже давно известный факт.
Если я пользуюсь дропбоксом или гмэйлом для передачи файлов, то я их предварительно упаковываю под паролем.
Это позволяет избежать по крайней мере, двух неприятных вещей — просмотр ваших файлов клерком из дропбокса/гмыла и защищает от просмотра файлов самим гуглом — все мы знаем про их сканирование файлов якобы «антивирусом» (которй, зараза, ещё и мои же exe-шники даже самому себе не пропускает)
Это позволяет избежать по крайней мере, двух неприятных вещей — просмотр ваших файлов клерком из дропбокса/гмыла и защищает от просмотра файлов самим гуглом — все мы знаем про их сканирование файлов якобы «антивирусом» (которй, зараза, ещё и мои же exe-шники даже самому себе не пропускает)
Капитан, капитан, улыбнитесь…
Помоему по меньшей мере странно выкладывать файлы на чужой, не принадлежащий вам и не контролируемый вами сервис и при этом быть уверенным в том, что они будут доступны исключительно вам.
Помоему по меньшей мере странно выкладывать файлы на чужой, не принадлежащий вам и не контролируемый вами сервис и при этом быть уверенным в том, что они будут доступны исключительно вам.
Есть очень простой способ решения всех таких проблем. Перестать заниматься такими вещами, за которые могут взять за жопу. И вас перестанут беспокоить такие вещи.
Вас никогда девушка не просила найти ей редкую песню, которую вы не можете честно купить в ближайшем магазине, в рунете не продают, а пейпала нет?
А фильмы вы все честно покупаете?
Не надо кривить душой.
А за жопу могут взять любого, было бы желание. Законы потому такие и пишут, чтобы все были под колпаком.
А фильмы вы все честно покупаете?
Не надо кривить душой.
А за жопу могут взять любого, было бы желание. Законы потому такие и пишут, чтобы все были под колпаком.
Судя по нынешним трендам скоро меня смогут посадить за фотографию меня же голого в грудничковом возрасте.
Слушайте, ну вы как малые дети. Тема просто высосана из пальца и очень сильно похожа на анти-пиар. Это вполне очевидно, что компания работает в правовом поле государства, в котором она находится/зарегистрирована. И вы отдаёте себе в этом отчёт, когда начинаете использовать подобные сервисы или вы там храните свою чёрную бухгалтерию?
Ну вы блин даете. Вполне очевидно, что 99,99% организаций предоставит всю информацию про вас по требованию суда. Или вы думали что они ради вас закон будут нарушать?
А по поводу «aren't able to access» — как вы это себе технически представляете? Если у дропбокса нет доступа к вашим файлам, то как вы их можете скачать через веб-интерфейс? А на соседний компьютер они тоже магическим образом попадают?
В лучшем случае «aren't able to access» означает, что у рядовых сотрудников нет прав доступа к файлам, а есть только у начальства.
А по поводу «aren't able to access» — как вы это себе технически представляете? Если у дропбокса нет доступа к вашим файлам, то как вы их можете скачать через веб-интерфейс? А на соседний компьютер они тоже магическим образом попадают?
В лучшем случае «aren't able to access» означает, что у рядовых сотрудников нет прав доступа к файлам, а есть только у начальства.
Скажите, знающие люди. Если я дулаю сервис, и я СОЗНАТЕЛЬНО закладываю в него шифрование паролем пользователя (который не храню), будет ли это нарушать российское законодательство?
Какая-то странная истерия по поводу приватности.
Всем здравомыслящим людям давно понятно что «приватности» как таковой — давно не существует. Мало того, сильно сомневаюсь что она существовала когда-либо.
Вывод: если Вы хотите сохранить какую-либо информацию доступной только определенному кругу лиц, передавайте ее лично.
Телефоны (ауди и видео звонки), передача данных через интернет давно не гарантируют то, что информация не станет доступна третьему лицу.
Всем здравомыслящим людям давно понятно что «приватности» как таковой — давно не существует. Мало того, сильно сомневаюсь что она существовала когда-либо.
Вывод: если Вы хотите сохранить какую-либо информацию доступной только определенному кругу лиц, передавайте ее лично.
Телефоны (ауди и видео звонки), передача данных через интернет давно не гарантируют то, что информация не станет доступна третьему лицу.
Ой ладно там дропбокс по решению суда.
Я как представлю сколько сайтов хранит пароли нешифрованными или просто хешированными в md5 без соли так дурно делается.
Я как представлю сколько сайтов хранит пароли нешифрованными или просто хешированными в md5 без соли так дурно делается.
Меня кстати другой вопрос интересует — удаляет ли дропбокс на своем сервере файлы после того как я удалил их у себя.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DropBox предоставит расшифрованные копии ваших файлов правительству по запросу