
Dropbox небезопасен
Сам пользуюсь и многие посетителей данного блога поэтому спешу поделится новостью.
«В популярном инструменте для синхронизации файлов обнаружена уязвимость, позволяющая просматривать файлы всем желающим.
Обнаруженная ошибка, к сожалению, влияет на весь механизм работы Dropbox. Утилита использует простой конфигурационный файл для объединения различных устройств в единую синхронизированную среду. Этот файл называется config.db и представляет собой таблицу базы данных, которая содержит всего три поля: email, dropbox_path и host_id. Последнее поле не относится к определенному хосту и не меняется со временем. Злоумышленники, используя вредоносные программы, могут получить файл config.db и без особых проблем подключиться ко всем папкам пользователя. Dropbox не проверяет количество подключенных компьютеров, поэтому жертва может даже не заметить, что ее файлы украдены.
К сожалению, пока нет никаких средств защиты.»
Оригинал статьи www.xakep.ru/post/55390/
p.s. habrahabr.ru/blogs/infosecurity/117465/
«В популярном инструменте для синхронизации файлов обнаружена уязвимость, позволяющая просматривать файлы всем желающим.
Обнаруженная ошибка, к сожалению, влияет на весь механизм работы Dropbox. Утилита использует простой конфигурационный файл для объединения различных устройств в единую синхронизированную среду. Этот файл называется config.db и представляет собой таблицу базы данных, которая содержит всего три поля: email, dropbox_path и host_id. Последнее поле не относится к определенному хосту и не меняется со временем. Злоумышленники, используя вредоносные программы, могут получить файл config.db и без особых проблем подключиться ко всем папкам пользователя. Dropbox не проверяет количество подключенных компьютеров, поэтому жертва может даже не заметить, что ее файлы украдены.
К сожалению, пока нет никаких средств защиты.»
Оригинал статьи www.xakep.ru/post/55390/
p.s. habrahabr.ru/blogs/infosecurity/117465/
Комментарии (22)
В том же хроме (вроде и в остальных браузерах) все пароли можно посмотреть ко всем сайтам. В том числе и к тому же дропбоксу. И почему-то это никто не считает уявзимостью.
Я не особый знаток хакерства, но ведь была такая очень распространенная штука, когда автоматический бот через инет забирал у людей пароли от хостингов через дыру в FileZilla. А потом автоматически заходил на эти хостинги и добавлял к кодам сайтов свои строчки.
Точно также какой-нибудь юморист может получать доступ и к аккаунтам дропбокса и например удалять с них всю информацию, ну или что-нибудь похитрее.
Это маленький сигнал для тех, кто еще не установил файерволл.
Если ты пока не придумал, как можно использовать доступ к куче аккаунтов дропбокса, то это не значит, что кто-то другой не придумает.
Но это всё конечно ерунда, дыру наверняка скоро залатают.
Assembla.com 2 гига дают бесплатно, можно настраивать права доступа и никто кроме тебя и того кому дашь доступ ничего у тебя не скачают.
Кароче нафиг тот dropBox? :)
www.assembla.com/
beanstalkapp.com/
Сразу отвечу что художники быстро осваивают и пользуются.
Комить/апдейть.