原子番号26

35月/110

「セキュリティポリシー改訂で露見したDropboxのウソ」へのDropboxの中の人の反応


セキュリティポリシー改訂で露見したDropboxのウソ
http://d.hatena.ne.jp/yomoyomo/20110425/dropbox

を追ってたら

http://www.boingboing.net/2011/04/21/dropboxs-new-securit.html
にDropboxのCTO(=chief technology officer)[最高技術責任者]からのコメントが載せられていたので紹介します。 結論は一番最後に書いてます。

まずはじめに明確にしておきたいのは、サービス利用規約に述べられているプライバシーについての意図です。
私たちはヘルプページの中で「Dropboxの従業員はユーザーのファイルにアクセスできません。」と述べていますが、この文で勘違いさせる意図はありませんでした。(従業員のユーザーファイルへのアクセスはアクセスコントロールと厳重な禁止規約によって防いでいます。)
私たちはこれらの表現が「誰が暗号解除キーを持っているか?」や「どのような方法でデータへのアクセスを防いでいるか?」を示唆しているとは思いません。

つまり、これらの表現にはどのような機構でアクセスを防いでいるか詳細さが足らなかったことがはっきりしました。
ですのでセキュリティについて詳しくヘルプページを改定しました。

もう一つ明確にしておきたいのが、私たちは「暗号解除キーを所持していない」とは一度も述べていないことです。何年にもわたりまさにこの話題についていくつかのポストを私たちはしています。私たちはDropboxのユーザーコミュニティとオープンに付き合っていきたいのです。 vis JWZ(英語)

そして紹介されている過去のポストが以下のものです。

ドロップボックスのファイルは外部の誰にもみられません。Dropboxの従業員はプログラムのデバッグ時やサポートの時にファイル名などのメタデータのみ見ることができます。私たちは技術的にファイルの暗号を解除し読むことはできますが、それは他のすべてのオンラインサービスでも同じことです。(例えばGmailなど)

Posted 2 years ago

from http://forums.dropbox.com/topic.php?id=7421&replies=14#post-47812

ユーザーのファイルを読めるって明言してますね。
今回の騒動でDropboxが危険だから大事なデータおかないってんならGmailで重要なデータ送るのも駄目ですね。

(Spideroakという鍵の生成をユーザー側で行い、ユーザーデータは決して提供側にはアクセスできない事を売りとするサービスについての話をうけて)
そのモデルでもあなたのパスワードはファイル名やファイルのメタデータを解読するためにサーバーに送られます。
あなたがログインしファイル名やデータを復号化するときに、spideroak はあなたのパスワードから簡単にキーを引き出して保存することができるでしょう。彼らのサーバーであなたのファイル名を含んだデータが出力されることなどが、彼らが本当に望めばあなたのファイルへのアクセス権を持つことの証拠です。

データが復号化されない100%安全な唯一の方法はサーバーにアップロードする前に自分で暗号化してしまうことです。

つまり、私たちもセキュリティに付いては非常に真剣に考えています。 すべてのファイル情報とファイルは暗号化して保存し、ファイル名とメタデータはSSLを使って転送しています。

Posted 1 year ago

from http://forums.dropbox.com/topic.php?id=9479&replies=10#post-59511

鍵の生成をユーザー側で行ってもウェブインターフェースを付ける限りは完全にプロバイダ側にアクセス権をなくすのは無理というわけですね。

(「本当にスタッフを含めて誰も読めないの!?」という質問を受けて)
その通りです。

ただ、すべてのファイルはDBチームの持つ暗号キーで暗号化されているので、彼らが本当に望めば読まれてしまう可能性はのこります。 そうしなければウェブインターフェースを提供するのが不可能になるんです。非常に重要なファイルはTrueCryptなどのサードパーティの暗号化ソフトで暗号化しておいてください。 そうすれば決して誰もそのファイルを読むことができません。 あなたがパスワードを教えない限りは。

全てはあなたがDBチームの鍵を持つ数人をどれだけ信用するかによります。彼らが発見される危険を犯してあなたのデータを盗み見ようとするかどうかについて。

Posted 1 year ago

from http://forums.dropbox.com/topic.php?id=13907&replies=6#post-96927

「その通り」って言っちゃてるのはどうかと思うけども、「鍵を持ってる人は読める」ってここでも明言してます。

結論

Dropboxの中の人はウソをついていない。

ただちょっと誤解されやすい発言をたまにする。

それはさておいて、セキュリティの話題がこれだけ盛り上がるぐらいやっぱり便利なDropboxに250MBのボーナス付きで登録しませんか?

このリンクから登録してもらえると管理人もボーナスが250MBもらえます。
この記事を読んでる人は既に全員がDropboxユーザーな気もしますが、そういう事は気にしないことにします。