新闻链接：http://www.freebuf.com/news/12339.html
新闻时间：2013-09-06
新闻正文：安全专家最近发布了一个安全通报，该通报向中明示了他们是如何绕过基于云存储的DROPBOX的安全特性从而最终获得存取用户私人文件的过程。 Openwall的Dhiru Kholia和CodePainters的Przemysław Wegrzyn这样说道：虽然该网站有超过100万的用户在使用，可其在安全性至始至终就没有得到过评估分析。 他们说，他们有个目标就是想要dropbox成为一个开源系统，这样意味着我们每个人都可以去读它的代码，从中找安全问题来。（好想法啊！） 专家说，他们依然可以获得系统未授权的用户私人文件。事实上，在1年前他们黑过DROPBOX以后， DROPBOX也都加强过安全特性了。（这安全是咋做的？） DROPBOX所做的安全体系其目的本身是冲着企业用户去的，这包括数据加密和双因素认证在里面，坑爹的是，还是被Kholia和Wegrzyn绕过去了。 他们是如何做到的呢？起初，他们反编译了DROPBOX在用户客户端的软件，该软件是PYTHON写的。 尽管DROPBOX已经想方设法防止PYTHON被逆向。 从商业角度上来考虑，这就意味着需要玩python的云服务的，同时也有过类似安全防护的服务商们，是否也会遭遇同样的安全风险？ 专家研究还发现，DROPBOX使用双因素认证仅仅是为了阻止对网站的未授权访问。“在DROPBOX的客户端里可以看出来，他们的客户端API是不支持双因素认证的。而仅仅是通过一个主机ID值来获得目标用户的存取空间的访问。 可就在此前，DROPBOX还发表过一个声明，说不相信会有人可以在客户端上面找到任何漏洞! (自己打耳光吧！） Kholia和Wegrzyn希望大家都来帮助DROPBOX建立一个安全的系统，也希望DROPBOX可以接受开源的方式来加强安全。（可能吗，拭目以待吧）

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！