Nieuw beveiligingsprobleem Dropbox roept vragen op

Afgelopen zondag kampte Dropbox enkele uren met een bug waardoor gebruikers zonder geldig wachtwoord konden inloggen. Het is binnen enkele maanden het tweede beveiligingsprobleem voor Dropbox, dat zichzelf juist als veilig profileert.

DropboxEen Dropbox-gebruiker ontdekte zondag dat het mogelijk was om zonder geldig wachtwoord in te loggen op Dropbox.com, waardoor bestanden van andere gebruikers konden worden bekeken. Het is niet duidelijk of dat in alle gevallen mogelijk was; Dropbox is daar enigszins cryptisch over. Wel geeft het bedrijf in een blogpost toe dat er een probleem met het authenticatiesysteem was, waardoor sommige gebruikers zonder het juiste wachtwoord kunnen hebben ingelogd.

De deur naar de Dropbox-accounts stond enkele uren open; zondagavond Nederlandse tijd werd een software-update uitgerold die het desbetreffende beveiligingslek introduceerde. Krap vier uur later werd het probleem ondekt, waarna Dropbox het lek naar eigen zeggen binnen vijf minuten dichtte. Het bedrijf verontschuldigt zich voor het beveiligingsprobleem - "Het had nooit mogen gebeuren", schrijft chief technical officer Arash Ferdowsi in de blogpost - en onderzoekt of er misbruik van is gemaakt. Ferdowsi stelt dat gebruikers die door het lek zijn getroffen, op de hoogte worden gesteld.

Gedurende de tijd dat toegang zonder wachtwoord mogelijk was, zou 'minder dan 1 procent' van de Dropbox-gebruikers hebben ingelogd. Het is nog onduidelijk hoeveel van hen dat hebben gedaan zonder het juiste wachtwoord te gebruiken.

Het is niet de eerste keer dat Dropbox met een beveiligingsprobleem kampt. In april bleek de Dropbox-clientsoftware een kwetsbaarheid te bevatten, al was die minder vergaand. Het bleek mogelijk om met enkel het host_id van een gebruiker toegang tot alle bestanden te verkrijgen. Dat host_id is niet openbaar toegankelijk; om het in handen te krijgen is toegang tot de computer van een gebruiker noodzakelijk. Toch had het voor malwaremakers interessant kunnen zijn om ongemerkt in te loggen op Dropbox-accounts; toegang bleef namelijk mogelijk als de malware werd ontdekt en verwijderd. Dropbox hield destijds vol dat het niet om een beveiligingsprobleem ging, maar beloofde wel een update uit te brengen om het probleem op te lossen. Van de update is echter nog altijd geen stable verschenen.

Een maand later ontstond ophef toen bleek dat medewerkers van Dropbox toegang hadden tot bestanden van gebruikers. Het bedrijf heeft altijd volgehouden dat medewerkers geen toegang hebben, maar toen Dropbox in zijn nieuwe gebruiksvoorwaarden schreef dat het bestanden van gebruikers decrypt en aan de overheid overhandigt wanneer dat vereist is, kon worden beredeneerd dat in ieder geval sommige medewerkers toegang tot bestanden van gebruikers moesten hebben.

Bij het decrypten ging het overigens enkel om de ingebouwde versleuteling van Dropbox zelf; het bedrijf verwijdert geen eventuele encryptiemechanismen die gebruikers hebben aangebracht. Slechts een klein deel van de personeelsleden van Dropbox is overigens in staat om bestanden te decrypten en in te zien, stelt het bedrijf.

Deze opeenstapeling van beveiligingsproblemen roept bij veel gebruikers vragen op over de beveiliging van hun bestanden. Gebruikers klagen op het Dropbox-weblog massaal over het beveiligingsprobleem, maar ook over het feit dat er geen algemene e-mail naar gebruikers is gestuurd waarin het beveiligingsprobleem wordt toegelicht. Het feit dat het probleem binnen vijf minuten kon worden opgelost, geeft bovendien aan dat het waarschijnlijk om een simpel lek ging, terwijl Dropbox zichzelf juist als een veilige opslagdienst profileert. "We gebruiken dezelfde beveiligingsmethoden als banken en het leger", schrijft het bedrijf zelfs op een supportpagina.

Tot nu toe ging het de start-up voor de wind. Het bedrijf had in januari 2010 in totaal 4 miljoen gebruikers, waarvan een onbekend deel een betaald abonnement heeft. Waarschijnlijk heeft het bedrijf nu echter nog veel meer gebruikers. Dropbox zou inmiddels 1 tot 2 miljard dollar waard zijn.

Door Joost Schellevis

Redacteur

Feedback • 21-06-2011 11:11
93 • submitter: Backspace-NL

21-06-2011 • 11:11

93 Linkedin

Submitter: Backspace-NL

Lees meer

Dropbox reset gedeelde links om 'beveiligingsprobleem' Nieuws van 6 mei 2014
Dropbox reageert op ophef blokkeren inbreukmakende video in persoonlijke folder Nieuws van 31 maart 2014
'E-mailadressen Dropbox-accounts gelekt' Nieuws van 1 maart 2013
Dropbox onderzoekt mogelijk lek na spam aan gebruikers Nieuws van 18 juli 2012
Dropbox dwingt torrent-start-up Boxopus offline te gaan Nieuws van 27 juni 2012
Startup laat gebruikers torrents downloaden in Dropbox Nieuws van 24 juni 2012
Dropbox stopt met public folders voor nieuwe accounts Nieuws van 17 juni 2012
Nieuwe Dropbox-versie kan foto's en video automatisch uploaden Nieuws van 24 februari 2012
Hacker kraakt Hardware.info Nieuws van 25 oktober 2011
Dropbox haalt 250 miljoen dollar op bij investeerders Nieuws van 18 oktober 2011
Bitcasa belooft onbeperkte cloudopslag voor 10 dollar per maand Nieuws van 13 september 2011
Lek in VARA-site gaf toegang tot 19.000 e-mailadressen Nieuws van 15 juli 2011
Amerikaanse justitie rolt scarewarebendes op Nieuws van 23 juni 2011
'Dropbox misleidde gebruikers met claims over veiligheid' Nieuws van 16 mei 2011
Dropbox gaat kwetsbaarheid dichten Nieuws van 22 april 2011
Software Dropbox bevat kwetsbaarheid Nieuws van 8 april 2011
Meer producten en artikelen
Privacy Software Internet Beveiliging

Reacties (93)

-Moderatie-faq
93
91
67
12
1
17
Wijzig sortering
Rob Coops
21 juni 2011 11:30
Dropbox en alle andere online opslag is simpel weg niet veilig te krijgen. Het probleem is simpel weg dat op het moment zonder complexe authenticatie zo als certificaten, key exchange, sms berichten en een aantal stappen om in tel loggen je gewoon de beveiliging niet echt veilig kunt krijgen. Een wachtwoord is een leuk idee maar is relatief simpel te kraken door een brute force dan wel een social engineering dan wel keylogger achtige aanval.

Zelfs met een key excange, een certificaat, sms'jes en al die andere beveiligingsmaatregels zal een account mocht men dat echt willen gewoon te hacken zijn. Je moet op een gegeven moment een keuze maken wat is goed beveiligd en wanneer is het simpel weg overkill. Dropbox kiest voor een simpel gebruikersnaam, wachtwoord verhaal en dat is dus relatief simpel om te hacken. Natuurlijk maken ze zelf ook nog wel eens fouten en is het dus zo af en toe nog veel simpeler om een account te hacken iets wat niet goed is maar ook niet echt te voorkomen, fouten worden nu eenmaal zo af en toe wel eens gemaakt...

Als gebruiker moet je je af vragen wat je op zo'n account wilt opslaan. Wil je echt de foto's van je vriendin waar je vrouw nog niet van af weet of andere informatie die je liever niet publiek bekend maakt op zo'n relatief onveilige plaats zetten? Persoonlijk ben ik meer voor het gebruik van bijvoorbeeld een simpele maar veel al heel effectieve externe drive/usb stick/memory card met een truecrypt volume er op. Ook dat is te kraken maar heel erg veel lastiger dan een online opslag. De data is immers alleen beschikbaar als jij er voor kiest deze data ook op dat systeem beschikbaar te maken. De sleutel is zelfs als deze in verkeerde handen valt alleen bruikbaar op momenten dat jij de externe drive aansluit, en dat maakt het heel erg veel lastiger voor een aanvaller om onopgemerkt constant op jouw systeem aanwezig te zijn en te proberen zonder jouw medeweten de drive te unlocken en data er van te stelen...

Een online drive is natuurlijk geen gek idee, denk bijvoorbeeld aan vakantie foto's en meer van dat soort data die je liever niet kwijt raakt maar waar van je ook niet wakker ligt als een ander er toevallig naar kijkt. Gebruik daarom dit soort drives en opslag voor dingen die je liever niet kwijt raakt en maar waar van je geen slapeloze nachten krijgt bij het idee dan een ander toevallig of expres deze bestanden heeft kunnen inzien.
EvilWhiteDragon
@Rob Coops21 juni 2011 11:47
Toch zijn er een aantal dingen waarmee Dropbox het m.i. wel makkelijker maakt om te hacken. E-mail als gebruikersnaam om te beginnen (die kan je dus eigenlijk altijd wel raden van je slachtoffer, als hacker zijnde). Verder nog het feit dat je alleen een host_id moet hebben om dan via de client automatisch in te kunnen loggen en deze is kennelijk niet erg moeilijk op te sporen.
Daar komt nog bij dat ze dat host_id foutje nog steeds niet opgelost hebben in een stable release en dat ze een enorme blunder als dit maken. Ook al is het maar voor 4 uur, dan nog is het een enorme fout en een die bij zo ongeveer elke test te voorschijn had moeten komen.
Vervolgens zijn ze m.i. nog laakbaar bezig door de klant niet te informeren over het lek. Niet of op zijn minst erg traag te informeren over het lek. Stel dat je daar redelijk gevoelige informatie had staan (dom, ja natuurlijk, maar het gebeurt wel) dan kan het veel uitmaken of je het "direct" hoort of dat je dagen later via e-mail geinformeerd wordt. De data die je er op had staan kan dan allang misbruikt zijn.
Ruud v A
@Rob Coops21 juni 2011 11:49
Waarom is een gebruikersnaam/wachtwoord niet voldoende veilig? Als je via een beveiligde verbinding inlogt, zal niemand je wachtwoord of gebruikersnaam af kunnen luisteren. De hele verbinding is dan in principe veilig. Dan zijn er nog twee kwetsbaarheden: de servers van Dropbox, die zoals blijkt niet altijd even veilig zijn, en je eigen pc. Als jij een keylogger op je pc hebt die je Dropboxwachtwoord steelt, is dat je eigen verantwoordelijkheid. Ik vind niet dat Dropbox daar minder veilig van wordt. Natuurlijk kun je zulke aanvallen voorkomen met SMS-authenticatie en dat soort dingen, maar met een goede virusscanner in principe ook.
HAL 9000
@Ruud v A21 juni 2011 14:49
Als je het userid al hebt (en in het geval van dropbox is dit blijkbaar je email, dus gekent), dan hoef je enkel nog maar het wachtwoord te 'raden'. dit kan via bruteforce, en kan versnelt worden via dictionaries en Rainbowtables. Echt super veilig is het dus niet (maar wss wel 'voldoende veilig' voor de toepassing waarvoor ze bedoelt is, zeker als je een voldoende compelx wachtwoord gebruikt).
Anoniem: 35352
@HAL 900021 juni 2011 17:30
Als ze bij Dropbox hun boeltje een beetje op orde hebben (rate limiting en/of blokkeren account na X pogingen) is brute force uiteraard geen optie. En "rainbow tables" zijn enkel nuttig als je het (zonder salt) gehashte wachtwoord al hebt.
The Van
@Rob Coops21 juni 2011 11:47
Key exchange en certificaten zijn ook niet de oplossing. In wezen niet anders dan een (versleuteld) wachtwoord.

Two factor authentication is veel beter: iets dat je weet (een token, een wachtwoord), en iets dan je hebt (een RFID, key generator, retina scan). Alleen die combinatie.
Spruit_elf
@Rob Coops21 juni 2011 12:33
Het is wel degelijk veilig te krijgen. Namelijk door je data te versleutelen voor je verstuurt.

Dit betekend echter wel dat je geen webinterface kan hebben (Theoretisch wel, maar ze zijn er nog niet) omdat dat in de praktijk betekend dat je de ontsleuteling serverside moet doen.

Verder betekend het dat je geen deduplication kan hebben met andere gebruikers (alleen met je zelf).

Er zijn services die dit aanbieden, maar die missen dus een aantal features die dropbox heeft, zoals het instantaan "uploaden" van bestanden die iemand anders ook al heeft en dus een webinterface. Zie bijvoorbeeld:
https://spideroak.com/engineering_matters#true_privacy
SeenD
@Rob Coops21 juni 2011 13:25
Ik ga er zelf vanuit alles wat ik op dropbox zet in principe publiekelijk is of kan worden.

Sommige belangrijke for my (work)eyes only dingen die encrypt ik met truecrypt, maar per definitie zet ik dat niet op dropbox. Dat neem ik op een veilige usb key mee, :P.
FrankHe
21 juni 2011 12:58
Dropbox is een mooi product maar net als Google docs en soortgelijke cloud diensten gaat de beveiliging ervan voor mijn gevoel nog even iets vaak niet helemaal lekker.

Wat dat betreft blijft het nodig om voor "echte" belangrijke dingen een server in eigen beheer neer, de NAS thuis is wat dat betreft prima voor bestanden van de vereniging, stichting en midden- en kleinbedrijf. Het was trouwens grappig om te zien dat deze oplossing goedkoper bleek uit te pakken dan de licentiekosten voor een handje vol betaalde Dropbox accounts.
Anoniem: 394009
@FrankHe21 juni 2011 13:04
Nogal wiedes als je jouw uren niet meetelt.
Snowin
21 juni 2011 11:52
net een e-mail gekregen van dropbox zelf over de bug:

We are writing because there was some activity in your Dropbox account that we'd like you to review. On June 19, 2011, there was a brief bug with our authentication system that could have allowed unauthorized access to accounts. You can read more about it at our blog post.

Based on a careful review of our records, we noticed that during the time the bug was in effect you:

•Logged into the Dropbox website

As a precautionary measure, we logged you out of the website.

toch netjes dat ze het aangeven en verontschuldigen, je gegevens waren misschien wel op straat, maar je kan veranderingen in belangrijke documenten tenminste terugdraaien en bekijken op de event log.
Caelorum
21 juni 2011 13:55
Kreeg vandaag netjes een e-mail van dropbox dat ik dus één van de getroffenen ben:
Gezien de actie die is ondernomen heb ik er persoonlijk niet zo problemen mee. Ik leefde toch al niet in de illusie dat het veilig was :)
Hi *************,

We are writing because there was some activity in your Dropbox account that we'd like you to review. On June 19, 2011, there was a brief bug with our authentication system that could have allowed unauthorized access to accounts. You can read more about it at our blog post.

Based on a careful review of our records, we noticed that during the time the bug was in effect you:
  • Linked the desktop application to your Dropbox
As a precautionary measure, we disabled any apps.
[...]

[Reactie gewijzigd door Caelorum op 21 juni 2011 13:56]

bokkow
21 juni 2011 11:15
1% van 25.000.000 is nog altijd 250.000, best schokkend dit terwijl ik Dropbox aan iedereen probeer te slijten..
Torrentus
@bokkow21 juni 2011 11:44
Ja, maar van die 250.000 personen die inlogten, logte waarschijnlijk 99% alsnog in met de correcte gegevens. Dan blijven er dus misschien 1000-2500 personen over die met verkeerde gegevens inlogte. Daarvan is waarschijnlijk wederom maar een klein percentage van deze personen dit bewust aan het doen geweest, dan kom je uit op ongeveer 100 personen. Al met al een serieus lek, maar gelukkig zonder al te grote gevolgen.

Het gat in 5 minuten dichten is erg netjes!
n00bs
@bokkow21 juni 2011 11:33
Ik gebruik het dus niet, omdat ik nog steeds geen vertrouwen heb in een externe dienstverlener die dit gratis aanbiedt.

Overigens ook zeer vervelend omdat op werk ook steeds meer medewerkers deze "dienst" gebruiken ipv vertrouwde shares met goede backupfaciliteiten. Mensen plempen vertrouwelijke documenten ergens op een server waarvan niemand weet wat er exact gebeurt met die documenten. Dat alleen al vind ik onveilig.
bokkow
@n00bs21 juni 2011 11:50
Dat is dus het systeem achter Dropbox, dit is niet gratis, je kunt 2GB krijgen gratis, door mensen uit te nodigen krijg je er telkens 250MB bij (schitterende marketing, klanten zelf potentiële klanten laten winnen) maar wanneer je een serieuze gebruiker bent loop je al snel tegen het plafond van 2GB aan.
Op dat punt kun je dus een betaald account nemen met opslag tot 100GB. De kosten van al die 2GB accounts is dus doorgecalculeerd in de prijs die de betalende mensen afrekenen. Het is dus een betaalde dienst met bijbehorende verwachtingen betreffende beveiliging. Je kunt er alleen als gratis-account-user niet echt aanspraak op maken (oftewel: klagen, iets met een gegeven paard enzo).

[Reactie gewijzigd door bokkow op 21 juni 2011 11:52]

drdelta
@bokkow21 juni 2011 13:16
Het plafond voor een gratis account is inmiddels 16GB meen ik, omdat je voor iedere nieuwe gebruiker 250MB extra bij jou account krijgt.
Caelorum
@drdelta21 juni 2011 13:50
8GB voor gewone accounts met een 'verdubbelaar' voor educatieve accounts (lees studenten)
JoostyBoy
@bokkow21 juni 2011 13:20
Eigenlijk krijg je bij aanmelden al 2GB gratis, dat je kunt verhogen tot 8GB door mensen uit te nodigen. 250MB per geworven klant.
Ik gebruik Dropbox sinds een half jaar, ideaal. Ik had er zelfs voor over om de installatiebeperking van school te omzeilen om het te installeren :X Jammer van de beveiligingslek. Ik gebruik het gratis, dus mag niet klagen. En er staan toch niet veel vertrouwelijke documenten op :)
Anoniem: 399807
@JoostyBoy22 juni 2011 08:26
Niet veel maar wel een paar? En wat staat er in die documenten? Gaan die alleen over jouw of ook over derden?
En kunnen die derden schade lijden als die documenten gekaapt worden?
JoostyBoy
@Anoniem: 39980723 juni 2011 14:02
De documenten bevatten voornamelijk dingen van en voor school en commissies. Publieke 'privé' foto's en de rest waar nodig (o.a. derden) staat een password op de documenten. :)
roooii
@n00bs21 juni 2011 13:52
Ik gebruik het dus niet, omdat ik nog steeds geen vertrouwen heb in een externe dienstverlener die dit gratis aanbiedt.
Ben ik het helemaal mee eens.

Regelmatig een discussie bij ons op het werk. Een collega van me beweert dat de data die je thuis hebt staan net zo makkelijk gejat kan worden. Op zich wel waar, maar wat is de kans dat er op je thuisadres wordt ingebroken? Een grote instantie met veel gegevens is vele malen interessanter. Facebook, dropbox, google docs?

Ik geef liever mijn bestanden zelf aan iemand, dan dat een bedrijf als dropbox dit voor mij doet.

De laatste tijd zijn hackers wel erg veel in het nieuws. Niet omdat hacken meer in is dan anders, maar hier komt wel naar voren dat er nog veel te veel gaten in software zitten. Dan voorkom ik liever dat een hacker er met de gegevens van bijv. een dropbox vandoor gaat.
Mellow Jack
@n00bs21 juni 2011 11:50
Het is toch ook wel een beetje commonsense? Wij maken hier dan geen gebruik van maar gebruiken bijv Yousendit wel dagelijks. Onze gebruikers zijn alleen wel zo slim om alleen publiekelijke bestanden hiermee te versturen (zoals bijv Designs, Presentaties enz)

Naar mijn mening zou een bedrijf zijn medewerkers dan ook moeten opvoeden bij het gebruik van dit soort diensten

Staat los van het feit dat dit wel een erg kwalijke zaak is... Eigenlijk zou de complete login functionaliteit uitgeschakeld moeten worden op het moment dat dit opgemerkt wordt (alhoewel ik de ins en outs niet weet) Edit: Ooh laat maar zitten, het is na 4 uur opgelost dus dan is het niet nodig om de login te deactiveren

[Reactie gewijzigd door Mellow Jack op 21 juni 2011 11:51]

Marzman
@Mellow Jack21 juni 2011 12:36
Het is na 4 uur ontdekt, en na 4 uur en 5 minuten opgelost.
tijnvw
@Mellow Jack21 juni 2011 17:15
Ik vind het goed dat dit nieuws zo (terecht!) breed uitgemeten wordt. Weet iedereen waar hij aan toe is.

Misschien is het naief dat ik eerst uitging van de (op internet altijd betrekkelijke) veiligheid, maar dit is voor mij een reden om een NAS te gaan aanschaffen.
Anoniem: 320263
@n00bs21 juni 2011 11:52
Op zich heeft het gratis zijn er niets mee te maken. Freemium is een businessmodel zoals een ander, en zeker goed voor startende IT bedrijven die snel een grote naambekendheid en userbase willen.

En wat bedoel je met vertrouwde shares? als je gewone netwerkshares bedoelt, is dropbox nog iets helemaal anders, het grote voordeel is net dat het gewoon over internet werkt, waar je ook bent ter wereld. En natuurlijk het syncen, en offiline toegang tot je bestanden.
Anoniem: 264902
@n00bs21 juni 2011 12:14
Mensen plempen vertrouwelijke documenten ergens op een server waarvan niemand weet wat er exact gebeurt met die documenten. Dat alleen al vind ik onveilig.

Dat is een probleem van inadequaat personeel, niet van een of andere website of service.
Bladerider
@Anoniem: 26490221 juni 2011 21:13
Niet van het personeel, maar van de systeem beheerder ;)
En überhaupt toelaten dat werknemers dingen installeren lijkt me de grootste fout.

Ontopic:

Dropbox is in mijn ogen een prima programma.
Zelf gebruik ik het hoofdzakelijk om simpel iets te delen met mijn boekhouder, of om offertes die ik thuis maak meteen op de pc op de zaak te zetten.
Gewoon lekker simpel en effectief!

Dropbox zal net als elk ander software pakket beveiliging issues hebben.
Dat zal toch altijd het probleem blijven van ''internet''. (in de breedste zin van het woord)
Een pc met willekeurige software is super veilig, tot dat je internet aansluit.
(of tot dat iemand fysiek toegang heeft tot de pc)
Vertrouwelijke documenten zou ik dan ook niet online zetten in wat voor ''cloud'' form dan ook.
Ze lossen de problemen wel snel op, dat scheelt.
Ze steken het ook niet onder stoelen of banken, dat is netjes.
(dat doen andere bedrijven wel anders)
Als ze bij Dropbox nu ook nog van de fouten leren, is het imo een geweldig proggie.
guitarzphreak
@Bladerider22 juni 2011 15:00
En überhaupt toelaten dat werknemers dingen installeren lijkt me de grootste fout.
Dit is de grootste fout van veel systeembeheerders. Medewerkers gaan zich in allerlij bochten wringen om het toch op hun manier te doen.
Of je moet mensen zelf de keuze geven, of duidelijke en eenduidige regels opstellen .. "we gebruiken weTransfer voor online bestanden doorgeven".

Daarnaast is "Eigen systeem, eigen verantwoordelijkheid" een regel die voortreffelijk werkt bij mensen die enigzins weten wat ze doen. (dan werk ik wel bij een webbedrijf .. dus het kennisniveau qua computers is daar dus ook iets hoger.. maar iedereen die bestanden heen en weer moet krijgen moet hier enigzins verstand van krijgen of een introductie krijgen)

[Reactie gewijzigd door guitarzphreak op 22 juni 2011 15:01]

ebia
@n00bs21 juni 2011 12:16
Ik ben heel benieuwd of de betalende gebruiken van Dropbox niet dezelfde problemen hebben ervaren? Het product is technisch gezien immers hetzelfde...
ZpAz
@bokkow21 juni 2011 11:16
Inderdaad, hier ook, vind het wel fijn werken, alleen jammer dat het twee van zulke fouten heeft in zulke korte tijd. Het is gewoon handig in gebruik.
mae-t.net
@bokkow21 juni 2011 12:40
Iets aan iemand slijten, impliceert commercieel of ander belang. Anders is slijten niet precies het woord met de juiste nuance. Als je op enige manier bij dropbox betrokken bent, ben ik heel benieuwd naar je insider-commentaar!
fommes
21 juni 2011 11:57
Misschien een idee om optioneel, IP authenticatie toe te voegen, dat je zelf de IP adressen toe kan voegen die je toegang wilt geven tot je dropbox.

Zo kan je bijvoorbeeld je werk en thuis ip adres whitelisten, mocht je tijdelijk van een andere locatie erbij willen kan je die ook tijdelijk toegang geven (bijv 1 uur of 30 minuten).

Zo voorkom je dat mensen op een andere locatie bij je bestanden komen, en kan je het makkelijk zelf beheren.
Korben
@fommes21 juni 2011 12:47
Dat is nogal veel werk, thuis-IP-adressen willen nogal eens veranderen, en dan zul je iedere keer moeten inloggen op Dropbox om je nieuwe IP te whitelisten. Dat zou de veiligheid wel opschroeven, maar er is altijd een afweging te maken tussen veiligheid en gebruikersgemak, en Dropbox is nou juist zo'n succes omdat het altijd en makkelijk werkt.
Anoniem: 394009
@Korben21 juni 2011 13:02
Desnoods geef je een range op van je provider en je werk. Dan kunnen anderen van dezelfde provider of collega's er welliswaar ook in, maar je sluit in elk geval die hacker uit Rusland of China buiten.
Anoniem: 35352
@Anoniem: 39400921 juni 2011 17:34
Alleen niet zo handig voor de medewerkers die net vanuit het hotel hun presentatie voor die potentiële klant in Moskou willen ophalen natuurlijk... ;)
Anoniem: 280324
21 juni 2011 12:01
Wal bale dat Dropbox weer beveiligingsissues heeft. Ik maakt al bijna 2 jaar gebruik van dropbox en is super praktisch en gebruiksvriendelijk.
Dat er dit soort issues spelen vind ik heel slecht en triest. Wat er in het nieuws staat over dat ze gewoon me bestanden kunnen bekijken vind ik een erge zaak. Zou niet mogen, óók niet door overheid. Gewoon encrypten, lijkt me geen probleem. Ik hoop dat ze bij dropbox hier goed mee omgaan en dat er niet meerdere van dit soort issues komen.
Korben
@Anoniem: 28032421 juni 2011 12:49
Gewoon encrypten, lijkt me geen probleem.
Lijkt me wel degelijk een probleem. Als je Dropbox installeert op een ander systeem wil je toch wel bij je bestanden kunnen, en dat zonder rare trucs uit te halen. Dropbox zal dus toch de key die gebruikt is voor de versleuteling moeten opslaan, al is het alleen al om die uit te kunnen delen aan je andere clients. Als ze die key hebben kunnen ze zonder al te veel moeite je bestanden ontcijferen.
skatebiker
21 juni 2011 11:24
Voor mij geen cloud dus.
Veel te onbetrouwbaar. Zet data liever op een eigen HD heb ik het zelf in de hand. Makkelijker, sneller, goedkoper, veiliger en geen internet nodig.
ILUsion
@skatebiker21 juni 2011 12:35
Maar dan mis je ook een deel van de feature: de handigheid aan Dropbox is juist dat het via internet toegankelijk is. Als je werk in je Dropbox (of elke vergelijkbare dienst) staat, kan je op je werk aan de documenten, aanpassingen maken, thuiskomen en gewoon direct verderwerken op datzelfde document. Ook samenwerken met mensen aan een project gaat er schitterend mee: iedereen kan op elk moment aan de laatste versie, dus veel minder gedoe met bestanden "document_laatsteVersie", "document_finaleVersie", "document_AllerlaatsteVersie", "document_laatsteVersie_laatsteVersie" etc. Al helemaal een soep als die verspreid staan over verschillende USB-sticks (van verschillende personen). Bovendien zit er een heel simpele versiecontrole op, iets wat je op een eigen harde schijf enkel met de nodige kennis voor elkaar krijgt.

Voor veiligheid heb je in eigen beheer nog steeds alle controle, maar je mist dan ook de handige features die veel mensen wel gebruiken.

Het is trouwens ook niet zo dat je continu internet nodig hebt: de bestanden staan gewoon op je harde schijf en je kan op een lokaal netwerk ook onderling synchroniseren (veel sneller dan over het internet; maar ik weet niet in hoeverre je daarvoor ook internet nodig hebt om het allemaal op gang te trekken). Bijkomend pluspunt voor mensen met een smartphone, vindi k persoonlijk dat je daarop ook aan je bestanden kan en je smartphone dus als een veredelde USB-stick kan gebruiken op computers zonder internet.
Anoniem: 411855
@ILUsion22 juni 2011 03:18
Vind het zo grappig he,die cloud zooi. Alsof iedereen de wereld over moet om de voordelen te zien van de cloud.Als je een bedrijfsnetwerk zou hebben kun je thuis ook met je documentje verder gaan en kun je ook inloggen vanaf elke locatie. Jij hebt het dan over met meerdere mensen aan één project werken, met één bestand (en dat zonder versiebeheer), dat is vragen om problemen. Zonder versiebeheer is het veiliger voor de data dat het op meerdere locaties staat want als de ene niet weet wat de andere aan het doen is kunnen ineens jou wijzigingen verdwenen zijn. Je vertrouwt wel heel erg op iets wat een ander heeft gebouwd en daar rust het grote gevaar. Iedere 'oetlul' kan er gebruik van maken en er eventueel toegang tot krijgen. Backups zijn er niet. Gaat het bedrijf over de kop en dan? Mensen worden er lui van van al dat 'gemak', men merkt pas op dat er problemen zijn wanneer men geen toegang meer heeft. Het is naief je zo over te geven aan zo'n dienst. Het is misschien een aardig medium om bestanden te delen maar niet om op te werken.
anvar
21 juni 2011 11:22
Een degelijk dropbox alternatief zonder beveiligingsproblemen: sugarsync...
Rubinski
@anvar21 juni 2011 11:28
Of Microsoft SkyDrive? nieuws: Microsoft geeft Skydrive html 5-ondersteuning
25GB opslagruimte in plaats van de maximale 10 bij Dropbox (free account)
jorrit1992
@Rubinski21 juni 2011 12:25
Ik denk dat veel gebruikers (- waaronder ikzelf -) eigenlijk enkel documenten op hun DropBox laten synchroniseren, de grootte van de opslagruimte is om die reden niet van zulk groot belang. Daarbij krijgen studenten 'up to' 16GB door referenties, met 500MB per referentie (gratis).

Ernstig dat zo'n groot bedrijf met zoveel klanten zo'n (simpele) fout maakt met authenticatie. Ik vraag me af wat de feitelijke schade die hierdoor veroorzaakt is, is.
Sniffert
@anvar21 juni 2011 11:30
Ja, of kijk eens naar SpiderOak. Veilige login waarbij je data versleuteld wordt.
sys64738
@anvar21 juni 2011 11:35
Hmmm, interessant spul.

Nergens in de algemene voorwaarden van Dropbox staat dat ze zo'n 2 keer per jaar een ernstig security lek zullen hebben, die dingen gebeuren helaas gewoon. Wat ik wil zeggen is dat SugarSync morgen aan de beurt zou kunnen zijn. Maar tot het tegendeel bewezen is, zijn ze veiliger dan Dropbox.

Snap sowieso niet dat Dropbox zijn spullen zo slecht test voordat ze met een versie live gaan. Met een regressie-scriptje tackel je dit soort problemen toch direct en gaan alle alarmbellen af?
Prosje
@anvar21 juni 2011 11:30
Dank voor de suggestie. Dat ziet er inderdaad goed uit en 5GB gratis, ipv 2GB bij Dropbox.
De automatische backup functionaliteit ziet er ook veelbelovend uit !
Remcoder
@anvar21 juni 2011 11:32
Of gewoon zelf iets hosten. Kun je zelf volledig de veiligheid in de hand houden.
teek2
21 juni 2011 11:42
Wuala: 1 euro 60 per maand (19 euro/jaar), 10 GB (of meer), "encryption on the device" = geen afluisteraars en Wuala mensen kunnen er zelf niet eens bij.

Er is een gratis versie, 1 GB maar zonder dropbox-achtige sync.

Verder heel vergelijkbaar.

[Reactie gewijzigd door teek2 op 21 juni 2011 11:43]

Neo_TGP
@teek221 juni 2011 11:56
Dropbox hield eerst ook altijd vol dat ze de data niet in konden zien.. Dit bleek later ook toch het geval te zijn... Dus ik vertrouw dit soort partijen niet zo direct op hun woord.

Het liefst zou ik een app hebben die precies hetzelfde werkt als Dropbox, maar waarvan ik de backend op mijn eigen server kan draaien..
C-dude
@Neo_TGP21 juni 2011 13:18
iFolder om er maar 1 te noemen.
http://www.kablink.org/ifolder
kaaschips
@teek221 juni 2011 11:47
Inderdaad, bij Wuala wordt de data encrypted voor het de computer verlaat. Als je je wachtwoord kwijt ben, ben je ook echt al je data kwijt omdat zij het inderdaad niet beheren, zo zegt Wuala.

En voor de betaalde oplossingen is het nog goedkoper dan Dropbox ook.
bwynants
@teek221 juni 2011 11:52
>Er is een gratis versie, 1 GB maar zonder dropbox-achtige sync

wat ben je er dan mee? Das nu net waarom ik dropbox gebruik!
Crim
@bwynants21 juni 2011 12:59
Als je schijfruimte beschikbaar stelt voor "trading" ben je automatisch PRO gebruiker en krijg je toegang tot alle geavanceerde functies (en extra schijfruimte). Vooral de backup en groups zijn handig.

Hier staat trouwens een lijst met codes voor 17Gb extra online opslag http://pastebin.com/xVNzZw5q

[Reactie gewijzigd door Crim op 21 juni 2011 13:12]

al-ahlex
@teek221 juni 2011 12:27
Er zit wel degelijk sync in tegenwoordig. Je hebt de keuze tussen een W: schijf (enkel bruikbaar wanneer je online bent dus), of asynchroon synchen van bepaalde lokale folders.

Ik heb de sync wat getest, en het leek allemaal maar goed te werken, maar nog niet zo robuust als Dropbox.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee