Dropbox-Sicherheit ist (wieder einmal) Benutzerssache

Dropbox-Sicherheit ist und bleibt Benutzersache — ein weiteres Beispiel dafür hat IT-Sicherheitsexperte Derek Newton in seinem Weblog veröffentlicht. Heise Online zusammenfassend und in deutscher Sprache dazu:

[…] Bei Untersuchungen des Windows-Clients stieß Newton auf eine schwerwiegende Sicherheitslücke, die die Handhabung der Zugangsdaten des Dropbox-Accounts betrifft. Diese Daten muss man nur einmal während der Installation eingeben; sie werden dann in der Datei config.db auf der lokalen Festplatte im Verzeichnis %APPDATA%Dropbox gespeichert. Laut Newton ist die Datei nicht an das System gebunden und lässt sich folglich auf jedes andere System übertragen. Ein Trojaner könnte also die config.db an sich reißen und sich Zugang zu den in Dropbox gespeicherten Dateien verschaffen. Diese Zugriffe seien nicht als zusätzliche Geräte zu erkennen, da dieses neue, unberechtigte System als das ursprüngliche Gerät erscheint. Ein Ändern des Passworts durch den ursprünglichen Nutzer habe keine Auswirkung, da die in der Konfigurationsdatei gespeicherte ID weiterhin gültig bleibt und Dropbox die Login-Daten nicht erneut abfragt. […]

Worin liegt nun also das Problem? Der Zugriff auf ein Dropbox-Benutzerkonto ist nicht von einem Passwort abhängig, sondern jeder mit Zugriff auf die erwähnte config.db-Datei hat Zugriff — selbst wenn das Passwort für ein Dropbox-Benutzerkonto geändert wurde. Wie wenig Wert Dropbox auf Sicherheit legt, zeigt in diesem Zusammenhang auch, dass die config.db-Datei für alle Benutzer, unter Mac OS X beispielsweise auch für Gäste, frei zugänglich ist … 🙄

Aus Sicht der Sicherheit stört mich persönlich ausserdem an Dropbox, dass keine lokale Verschlüsselung der eigenen Daten möglich ist und dass sich der «Schutz» des Benutzerkontos bei Dropbox auf ein simples Passwort beschränkt, anders als beispielsweise bei Google.

10 Comments

  1. da
    9. April 2011

    Wobei man sich hier genauer vor Augen halten sollte, was eigentlich das Problem ist. Es ist nämlich nur sehr beschränkt ein Problem, was wirklich Dropbox lösen kann.
    Es ist nun mal so, was solche Anmelde-Informationen gespeichert werden müssen und auch geklaut werden können. Wenn man nicht jedes mal manuell ein Passwort eingeben will, geht es nun mal grundsätzlich kaum anders.

    Wie auch im Dropbox-Forum schön geschrieben ist:
    „this ‘flaw’ exists with any service that uses cookies for authentication (practically every web service :)“

    Reply
    • Lukas
      10. April 2011

      Klar – Cookies sind auch ein Problem, allerdings ist das schon laaaaaaaaaaaaaange bekkant 😉
      Das eigentliche Problem liesse sich durch ein paar Sicherungsmechanismen wie Security Identifier, Revisionscheck etc. problemlos lösen.

    • Martin (MacMacken)
      10. April 2011

      @da:

      Wobei man sich hier genauer vor Augen halten sollte, was eigentlich das Problem ist. Es ist nämlich nur sehr beschränkt ein Problem, was wirklich Dropbox lösen kann.

      Im Gegenteil, das Problem ist lösbar — siehe dazu auch den Kommentar von Lukas.

      Es ist nun mal so, was solche Anmelde-Informationen gespeichert werden müssen und auch geklaut werden können. Wenn man nicht jedes mal manuell ein Passwort eingeben will, geht es nun mal grundsätzlich kaum anders.

      Dropbox könnte — optional zumindest — eine sicherere Methode für die Benutzeranmeldung anbieten. Und wenn man das Passwort eines Dropbox-Benutzerkontos ändert, sollte dieses bei jeder Dropbox-Installation mit entsprechendem Zugriff abgefragt werden, was bislang aber leider nicht geschieht.

      Wie auch im Dropbox-Forum schön geschrieben ist:
      “this ‘flaw’ exists with any service that uses cookies for authentication (practically every web service 🙂 ”

      Dropbox selbst und auch viele Dropbox-Benutzer neigen leider dazu, ihren «geliebten» Speicherdienst in Schutz zu nehmen anstatt Sicherheit für die eigenen Daten zu fordern. Verständlich, aber dennoch bedauerlich!

    • da
      10. April 2011

      Stimmt, verbessern könnte man sicherlich etwas, wie das Passwort mit in das Token einbeziehen.
      Aber 100% sicher wird es dadurch auch nicht (wenn man den derzeitigen Komfort behalten will).

      Aber ich hoffe auch, dass sich da noch etwas verbessert.

    • Martin (MacMacken)
      10. April 2011

      @da:

      Aber 100% sicher wird es dadurch auch nicht (wenn man den derzeitigen Komfort behalten will).

      Um Deinen Cookie-Vergleich zu verwenden: Wenn man das Passwort ändert, ist durchaus erwünscht, dass eine automatische Anmeldung per Cookie nicht mehr funktioniert. Bei Dropbox ist aber genau das der Fall — unabhängig vom geänderten Passwort funktioniert die Anmeldung weiterhin per «Cookie» (in Anführungszeichen, weil Dropbox auf App-Ebene nicht mit Cookies arbeitet).

    • Martin (MacMacken)
      10. April 2011

      @da:

      Inzwischen habe ich im Dropbox-Forum unter http://forums.dropbox.com/topic.php?id=36146 nachgelesen — peinlich, wie es offensichtlich Dropbox-Fanboys gibt, die sich nicht um die Sicherheit ihrer Daten kümmert. Und bedenklich, wie Dropbox-Vertreter das Problem negieren … 👿

  2. Johannes
    10. April 2011

    Hi,

    wie finde ich heraus, welches bei mir der Ordner %APPDATA% ist?

    Johannes

    Reply
    • Martin (MacMacken)
      10. April 2011

      Auf dem Mac handelt es sich üblicherweise um den .dropbox-Ordner im Benutzerverzeichnis. Im «Finder» gelangst Du via Gehe zu / Gehe zum Ordner … und ~/.dropbox dorthin.

    • Johannes
      10. April 2011

      Danke.
      Johannes

  3. (Dropbox) Wenn Passwort ändern nicht reicht
    1. November 2011

    […] Thema ist nicht neu, es wird schon seit einiger Zeit darüber diskutiert. Dafür aber weiterhin sehr aktuell und […]

    Reply

Leave a Reply