Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Dropbox érdekesség

2011.04.11. 22:21 | buherator | 5 komment

A napokban már a Slashdotot is megjárta Derek Newton felfedezése, miszerint a Dropbox kliensek pusztán egy SQLite adatbázisban tárolt paramétert használnak autentikációra, amely egy fiókhoz tartozó összes kliensnél azonos. Tehát ha valaki hozzáfér a felhasználói könyvtáramban lévő config.db-hez, akkor tudtom és beleegyezésem nélkül turkálhat a fájljaim között. 

Persze ha jobban belegondolunk a dologba, ha egy rosszindulatú támadó hozzáfér a könyvtáram tartalmához, akkor valahogy nyilván hozzáfér a Dropbox-omhoz is, a privát SSH kulcsaimmal egyetemben, ezzel a szolgáltató nem nagyon tud mit kezdeni, ha nem szeretné jelszóablakokkal nyüstölni a felhasználóit. 

Ami viszont a kommentek közötti felvetések alapján aggasztó lehet (legalábbis az almapárti felhasználókra nézve), hogy az OS X-re írt kliens szoftver bárki számára olvashatóvá teszi a configurációs adatbázis fájlját, így egy érvényes OS X hozzáféréssel rendelkező támadó az összes többi felhasználó Dropbox-át lerabolhatja. 

A megoldás persze egyszerű: chmod, de azért jó ha mindezt észben tartjuk!

Címkék: os x dropbox

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

buherator · http://buhera.blog.hu 2011.04.11. 23:14:19

@hornos: Attól függ mit titkosítasz, és mikor, de ez a megoldás eleve a felhasználók marginális részének nyújt vigaszt.

nikopol · http://nikopol.blog.hu 2011.04.11. 23:33:35

@buherator: mindenesetre a chmod most nekem is jól jött, jó hogy írtad

|Z| 2011.04.12. 08:19:57

Szerintem ez a megoldás még mindig jobb mintha olyan sztringet tároltak volna, amiből visszafejthető a jelszó. Nem tartom kizártnak hogy más szoftverek úgy csinálják.

Hogy miért gáz: mert a legtöbb felhasználónak az a gmail/facebook/netbank jelszava is egyben....

Aron bacsi 2011.04.12. 10:19:00

Ledumpoltam a "config" táblát, valóban benne van egy kliens auth tanúsítvány (külön a cer és külön a jelszó nélküli (!) RSA titkos kulcs). Innentől kezdve OpenSSL a barátunk, amivel valóban össze lehet rakni akárkinek az adatai alapján az authentikációs tanúsítványát (p12-ként). Az érvényességi idő: 1970-01-01 és - nálam - 2030-10-28, utána meg kell újítanom a regisztrációmat. ;-)

A kérdés, hogy ez dolog mennyire új? Úgy értem, hogy pl. Linux-ok esetében több helyen láttam már, hogy SSH-n keresztül a háttérben automatikusan lefutó alkalmazások jelszó nélküli kulcsokat használva be tudnak lépni más gépekre (pl. full-backup scp-zése másik vasra). Tehát, ilyet mások is használnak...