2012年10月17日 星期三

爆料

前天聽了中華電信的雲端推廣會,發現有提到雲端儲存的box服務,感覺似乎是雲端資料櫃,幾個月前朋友有用過告訴我可以同步資料,因為已經使用Dropbox所以就不是很感興趣,前一陣子想到就試用了一下,蒐集了資料看有沒有利用的價值,首先沒有公開的api,要用程式自動執行想必又要分析噁心的html網頁,華碩的webstorage有公開的api(只是授權管很緊),再來就是除了登入頁面之外,內容頁面完全沒有使用ssl,所以當下就放棄了;晚上閒來無事就玩了一下雲端資料櫃的windows client,果然如猜測的,同步檔案時未使用加密連線傳輸內容,client也未自行加密或壓縮,修改檔案也使用完整傳輸也就是說如果在不安全的網路情況下使用,同步的資料是能完整的被還原的(如果使用差異更新,只有變動的部份會傳送)





底下是測試的截圖,測試的是一個純文字檔,內容為oops與oopsss




WEB介面未使用SSL


強烈建議不要在未加密的線路上使用這個服務,尤其是公共環境的wifi

補救方式:可在檔案放入同步資料夾前,先利用winrar或7-zip建立加密的壓縮檔(簡易),或使用AES或GPG加密檔案(高安全性)

如果您的管理政策想要阻擋內部網路使用這個服務可以封鎖sync.hamicloud.net與u.sync.hamicloud.net這兩個主機名稱。