Evito di commentare i primi punti, che di tecnico hanno poco.
Quote:
Originariamente inviato da Perseverance
Terzo: adesso il sistema di autenticazione dipende da 2 sistemi, se uno si rompe l'altro viene meno; se non posso ricevere messaggi per qualche motivo non posso accedere a dropbox. Se la società di servizi SMS decide che il mio operatore non lo vuol più gestire xkè gli costa troppo non posso accedere a dropbox. Va bene, succederà una volta forse no, ci saranno avvisi come no..ma intanto romperebbe le scatole. Ma il concetto è che il mio login dipende anche da qualcun'altro, di me mi posso fidare ma degli altri no.
|
Dropbox, cosi come Google, ti da un codice che puoi utilizzare per recuperare l'account in caso che il cellulare non funzioni.
Quote:
Originariamente inviato da Perseverance
Quarto: il sistema degli SMS può essere cmq implementato senza per forza obbligare a usarlo per la conferma del login. E' sufficiente mandare un SMS:
"Hey qualcuno ha effettuato l'accesso al tuo account dal seguente indirizzo IP xx.yy.zz.ww, sei stato tu?!
Se no rispondi al messaggio con 1234 per bloccare temporaneamente il tuo account!"
Dove mi hanno chiesto di progettare sistemi di controllo e autenticazione io ho sempre fatto così. Il login dipende SOLO e SOLTANTO dal server, l'utente viene solo informato e gli viene data la possibilità di agire tempestivamente.
|
Scusa ma il sistema che stai descrivendo di sicuro non ha proprio nulla.
Per bypassarlo e' sufficiente entrare nell'account in un momento in cui l'utente non ha visibilita' del suo telefinino (fallo alle 4 del mattino e al 99% l'utente sta dormendo, e quando si svegliera' al mattino si trovera' la sorpresina)
Quote:
Originariamente inviato da Perseverance
E' concettualmente sbagliatissimo legare il login a 2 sistemi differenti che devono essere verificati entrambi. Se tutto funziona va bene, xò è quando le cose non funzionano che ci sono i malcontenti e le rogne.
|
Tu lo chiami sbagliatissimo, io (e Google, Dropbox, Amazon e moltre altre compagnie) lo chiamiamo sicuro.
E di poco funzionale c'e' poco. Io ho viaggiato per 3 mesi in Asia
senza il mio cellulare e con questo sistema abilitato sia su Google che su Facebook, e indovina un po'? Nessun problema.
Quote:
Originariamente inviato da Perseverance
Quinto:
Obbligare gli utenti a usare StR0Ng_Pa$$w()r|> minimo di 10 caratteri, con massimo 1 tentativo di accesso ogni 120 secondi basato sull'username e non sull'IP.
|
Effettivo contro gli attacchi brute force, inutile contro altri attacchi (giusto per dirne uno: keyloggers).
Piccola nota, il brute force e' l'attacco meno pericoloso per quanto riguarda i servizi online.
Quote:
Originariamente inviato da Perseverance
Sesto:
Implementare un servizio SMS costa! Costa anche a DropBox che alla fine costa agli utenti xkè aumentano i prezzi o aumentano la pubblicità. Forse sbaglio ma mi sembra di ricordare che dropbox aveva dei prezzi mensili, trimestrali, semestrali e annuali, ora sono solo i classici 10$ al mese senza alternativa se non la fatturazione annua. I prezzi erano più bassi 
|
Eh certo, i prezzi di dropbox sono aumentati perche' ora ti mandano un sms da 0.6centesimi ogni volta che ti logghi da un nuovo compouter
Il prezzo degli sms e' irrisorio.
Quote:
Originariamente inviato da Perseverance
Non sto facendo una crociata contro dropbox ma secondo me tanti di voi sono un po' troppo presi da questa moda di caricare in rete i file e perdono di vista il controllo della situazione, e pensano che sia tutto facile, dovuto, immediato, a portata di click. Si è vero è così ma finché le cose funzionano. Ma poi chi mi garantisce la sicurezza di ciò che carico? Che infrastrutture hanno?
Tanto si sà per cosa vengono usati questi servizi, dai! Sono strapieni di AVI, MKV, MP4, RAR...certo certo sono i video e le foto delle vacanze. Facciamo finta che ci credo. Cmq fra questi "filmini\foto delle vacanze" prima o poi forse ci caricherete anche roba di lavoro (magari su altro account xkè "non volete mescolare troppo la roba) o roba cmq importante xkè vi torna comodo in qualche modo. Poi arriva il giorno che succede il fattaccio...e puff...i dati spariscono, e voi lì dietro col contratto in mano armati di "io ho pagato voglio la mia roba" già vi vedo coi forconi in mano
Allora recentemente (xkè più indietro nel tempo ci sarebbe troppo da discutere) altri, chiamiamoli per quello che sono, cyberlocker disgraziatamente hanno "perso" moltissimi "filmini e foto delle vacanze" caricato dalle persone; 3 a caso: uploaded.to, putlocker.com, sharpfile.com nel giro di una settimana hanno quasi rasato al suolo il proprio database. Il primo xkè han fatto casino ad aggiornare i server, il secondo idem ma con in più la rottura di qualche server, il terzo per la rottura dello storage.
Hai pagato, sì, hai perso i dati, sì, non li hai da nessun'altra parte, sì, non ci puoi fare niente xkè nel contratto sono definite "cause di forza maggiore", si,....e ora? puppa |
Ognuno con i propri dati ci fa cio' che vuole, personalmente trovo dropbox utilissimo. Ho viaggiato in Asia per 3 mesi, e grazie a dropbox "inviavo" a casa le mie foto ogni sera, cosi se anche avessi perso pc e macchina fotografica le mie foto sarebbero state al sicuro.
Ed ora che mi son fermato in Australia sempre grazie a dropbox ho a disposizione tutti i miei file pur non avendo qua il mio hard disk.
E riguardo alla sicurezza non ho nulla di cui preoccuparmi. Ho 2 copie complete dei miei dati (piu' una parziale), di cui una (quella di dropbox) che contiene anche i file cancellati nei 3 mesi passati. E si sincronizzano automaticamente, senza che io debba muovere un dito.
Se anche dropbox dovesse saltare (cosa abbastanza... improbabile, essendo basato su Amazon S3) avrei ugualmente un'altra copia (avere dropbox mica significa dover cancellare i file locali). E se vogliamo parlare di probabilita' e' molto piu' facile che perda la mia copia locale.
E se parliamo di sicurezza dei dati contenuti... ovviamente e' meglio evitare di mettere su dropbox dei dati sensibili (a meno che non si prendano delle precauzioni, tipo cifrare i dati con gpg o qualcosa di simile)