heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Lesetipp
  4. Dropbox ist "ziemlich sicher"

Dropbox ist "ziemlich sicher"

Lesetipp 10.11.2012 07:00 Uhr Ronald Eikenberg

Zwei Sicherheitsexperten von EADS haben dem Dropbox-Client auf den Zahn gefühlt – und sind fast zufrieden.

Die beiden Sicherheitsexperten Florian Ledoux und Nicolas Ruff aus der IT-Abteilung von EADS haben einen kritischen Blick auf Dropbox geworfen und ihre Ergebnisse kürzlich auf der Security-Koferenz hack.lu vorgestellt. Sie erklärten, mit welchen Tricks die Entwickler den in Python geschriebenen Desktop-Client verschlüsselt haben, wie er seine Konfiguration sichert und natürlich auch wie der Datenaustausch funktioniert.

Größere Schwachstellen entdeckten die beiden nicht. "Dropbox ist inzwischen ziemlich sicher", erklärte Nicolas Ruff gegenüber heise Security. Das war freilich nicht immer so. Ein kleineres Sicherheitsproblem kam aber dann doch ans Tageslicht: Der Client prüft ein bestimmtes Zertifikat nicht, wenn er mit anderen Clients im lokalen Netz spricht. Dadurch kann man zum Beispiel den Client eines anderen Netzwerknutzers blockieren.

Die Schwachstelle lässt sich laut den Forschern aber auch zur Überwachung nutzen: Ein Unternehmen könnte etwa überprüfen, ob geheime Firmendokumente das Gebäude durch die Dropbox verlassen (Data Leakage Prevention). Die Sicherheitsexperten haben Dropbox vor der Präsentation über ihre Entdeckung informiert – unter Umständen wurde die Lücke also in der aktuellen Version des Clients bereits geschlossen.

  • A critical Analysis of Dropbox Software Security (PDF)

(rei)

Mehr zum Thema

  • Dropbox
  • Sicherheit

Forum bei heise online: Penetration Tests

Teile diesen Beitrag

https://heise.de/-1746596 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Sonicwall SMA-100

Qnap

WordPress Jupiter Theme

VMware

Anzeige
  • Mehr Flexibilität durch Infrastructure as Code
  • Zuverlässiger Zugriff dank Zero Trust
  • Wie IT zu nachhaltigem Wirtschaften beitragen kann
  • MediaMarkt: Der bessere Geschäftskunden-Service
  • Sicher entwickeln im Open-Source-Universum
  • Fujitsu Data & Storage Days 02.06. – 20.07.2022
  • SANS eröffnet Cyber-Ressource Center
  • Kundenservice mit künstlicher Intelligenz
  • Wann lohnt es sich, die IT-Security auszulagern?
  • Weniger Umweltbelastung durch die IT
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

11 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. Re: WeTransfer und gefährliche Ratschläge
    Wenn ein E-Mail Absender vorgibt, noreply@wetransfer.com zu sein, gibt es zwei Header, in denen er das tun kann. Eines davon ist der From:…

    Forum:  Diverses

    daniel.ranft hat keinen Avatar
    von daniel.ranft; vor 7 Stunden
  2. Re: sudo apt-get update: Signatur abgelaufen
    Hallo Joe, vielen Dank für die Anleitung! Es hat geklappt. Viele Grüße, Michael

    Forum:  Desinfect

    Michael Stammberger hat keinen Avatar
    von Michael Stammberger; vor 10 Stunden
  3. Re: Nvidia Lüfter aus -> Grafikkarte steigt aus
    Ich wollte noch ein kleines Update schreiben. Die Karte kostet zwar nicht den Gegenwert eines normalen Arbeitsplatzrechners, sondern "nur" ca.

    Forum:  Desinfect

    maal1 hat keinen Avatar
    von maal1; Mittwoch, 11:42
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • 944644
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien