Безопасность — Dropbox – Dropbox

No authentication

A small number of API calls do not require authentication, as they require a specific parameter value previously provided by Dropbox, and return limited information.

Pkce builds on oauth 2.0 for added security

There are a two major actions taking place here:

The most common and secure OAuth flow is the authorization code flow. Unfortunately, that process relies on apps providing a client_secret in the final request for an access token. For certain types of apps, that makes leaking the secret an inherent, unavoidable risk, which is why they instead needed to rely on an implicit flow. These apps include, but are not limited to mobile apps, single-page apps (SPA) in JavaScript, and serverless apps.

Because these are public clients, there’s no way for them to guarantee the security of the secret used for the token exchange. Using the implicit flow solves for that, but with the added risk of exposing the access token in the redirect URI at the end of the authorization flow, which makes the flow vulnerable to different types of network and malicious app interceptions.

This tradeoff was acceptable (and necessary) back when apps couldn’t make cross-domain requests—making it impossible to complete an authorization code flow. However, now that CORS is widely supported, there’s no need for that historical compromise; apps can make direct post requests to the token endpoint.

Without the cross-origin problem, public clients can take advantage of the authorization code flow by using PKCE, which works by substituting the static client secret with a string that is dynamically generated. By doing so, the PKCE flow eliminates leaky secrets while allowing the authorization server to verify that the app requesting the access token is the same one that initiated the OAuth flow.

Let’s take a look at how PKCE makes that possible.

Replacing implicit flow with pkce flow

Thanks to a clever design, some string manipulation, and a couple extra parameters added to your request, apps that are public clients (mobile, SPAs, serverless, etc.) can take advantage of the enhanced security offered by the authorization code flow by using PKCE. If your app can’t guarantee the security of your client secret, then you should be using PKCE!

Using a PKCE flow is (another) great reason to build with our official Dropbox SDKs, where PKCE is already built in.

Due to the better design and overall security, we strongly recommend replacing your legacy implicit flows with PKCE. Not sure which authorization flow is best suited for your needs? Check out our OAuth Guide for more detailed information.

As always, we’re available to help! You can post your questions on our developer forum or submit a ticket for more direct support.

Build with Dropbox today at www.vhod-v-lichnyj-kabinet.ru/developers.

Team authentication

This type uses an access token for a specific team and app pair, in order to operate on that team, to the extent allowed by that app’s permissions. Applications that authorize team scopes to use the Business API will receive a team access token.

Testing the pkce flow

Understanding pkce implementation

Building on top of the authorization code flow, there are three new parameters used by PKCE: code_verifier, code_challenge, and code_challenge_method. Let’s define them before adding more context around the overall flow.

The code_verifier is a cryptographically random string generated by your app. This dynamically created string is used to correlate the final access token request with the initial authorization request. In other words, the code_verifier is how the Dropbox authorization server ensures that the access token is issued to the same app that requested authorization.

The code_challenge is derived from the code_verifier using one of the two possible transformations: plain and S256. Plain can only be used when S256 is not possible. For the majority of use cases, the code_challenge will be a base 64 encoding of an SHA256 hash made with the client_verifier. This string gets decrypted server-side and is used to verify that the requests are coming from the same client.

The code_challenge_method tells the server which function was used to transform the code_verifier (plain or S256). It will default to plain if left empty.

These new parameters are used to supplement the authorization code flow to create a powerful system of checks that allow the server to verify that the authorization request and token request both come from the same client.

When a user kicks off a PKCE authorization flow in your app, here’s what takes place: 

  1. Client (your app) creates the code_verifier. (RFC 7636, Section 4.1)
  2. Client creates the code_challenge by transforming the code_verifier using S256 encryption. (RFC 7636, Section 4.2)
  3. Client sends the code_challenge and code_challenge_method with the initial authorization request. (RFC 7636, Section 4.3)
  4. Server responds with an authorization_code. (RFC 7636, Section 4.4)
  5. Client sends authorization_code and code_verifier to the token endpoint. (RFC 7636, Section 4.5)
  6. Server transforms the code_verifier using the code_challenge_method from the initial authorization request and checks the result against the code_challenge. If the value of both strings match, then the server has verified that the requests came from the same client and will issue an access_token. (RFC 7636, Section 4.6)

Now that we understand the flow, let’s see what it looks like in practice.

Включите двухэтапную проверку

Эта функция повышает безопасность вашего аккаунта. После ее включения Dropbox попросит пользователя, когда тот будет заходить в систему или подключать новое устройство, ввести 6-значный код безопасности или использовать USB-ключ безопасности. Что касается ключей безопасности, Dropbox поддерживает протокол FIDO Universal 2nd Factor (U2F).

Выберите уникальный и надежный пароль

Подберите сложный пароль, которым вы не пользуетесь в других службах. Протестируйте его с помощью нашего специального индикатора надежности, когда будете создавать аккаунт или сбрасывать старый пароль. Подробнее…

Европейские требования к данным

У Dropbox имеется сертификат программы Privacy Shield по защите конфиденциальности, соглашения между ЕС и США и между Швейцарией и США. Хранение данных в Европе доступно для пользователей Dropbox Business с 15 и более местами. Подробную информацию можно узнать, связавшись с отделом продаж.

Организации, учрежденные в ЕС и обрабатывающие персональные данные лиц, базирующихся в ЕС, обязаны обеспечить соблюдение Генерального регламента о защите персональных данных (ГРЗД). Наш юридический отдел, отдел безопасности и отдел доверительных операций тщательно изучили ГРЗД и предприняли все необходимые меры для выявления изменений, которые надлежит внести.

Похожее:  Ошибка при входе в приложение банка «ВТБ»

Как защитить свой аккаунт dropbox с помощью двухэтапной аутентификации

Теперь вы можете защитить ваш аккаунт используя двухэтапную аутентификацию, это означает, что злоумышленнику понадобиться больше, чем просто знать ваш пароль от аккаунта



Вы можете получать шестизначный код через sms-сообщения (Dropbox поддерживает международный телефонный формат), или если у вас есть смартфон (Android, BlackBerry, iOS или Windows Phone), вы можете загрузить специальное приложение Аутентификатор (ссылка для iOS), и с помощью него генерировать специальные временные коды.

Для того чтобы начать, перейдите по специальной ссылке в настройки вашего Dropbox-аккаунта. В шапке страницы вы увидите следующее уведомление, свидетельствующее об успешной активации двухэтапной аутентификации:

Success! You can now try enabling two-step verification. Look under the «Account sign in» section of this page.

Внизу, в блоке «Account sign in», появится новая опция «Two-step verification». По умолчанию данная опция отключена, но приступить к её настройке можно при помощи ссылки «change»:

По соображениям безопасности, вам будет предложено ввести повторно пароль от вашего аккаунта, для подтверждения вашего выбора включить двухэтапную аутентификацию:

Далее вам придется выбрать между двумя вариантами авторизации:

В моём случае выбор пал на «Use a mobile app» — использование мобильного приложения, т. к. данный вид авторизации легко начать использовать при имеющемся на iPhone приложении

Google Authenticator


После сканирования QR-кода, всё автоматически свяжется с вашим приложением Google Authenticator:

После этого шага необходимо сгенерировать шестизначный код и использовать его на последнем шаге включения двухэтапной аутентификации.

Рекомендуем так же прочитать эти ранее опубликованные статьи про DropBox:

1. Подробный обзор сервиса Dropbox
2. Получите бесплатно еще 768 Mb для Вашего Dropbox
3. Применения сервиса DropBox
4. Selective Sync и многое другое в новом Dropbox
5. Dropbox — экономии трафика и нестандартные способы использования
6. Dropbox — как бесплатный хостинг при помощи DropPages
7. Подборка хороший дополнений для работы с Dropbox
8. Как сохранить видео с YouTube прямо в свой Dropbox
9. Почему Dropbox наиболее популярный сервис синхронизации и хранения файлов
10. Как автоматизировать действия с файлами в Dropbox


Безопасность — Dropbox - Dropbox

С сервисом


вы уже знакомились на нашем сайте. Про разные

применения сервиса DropBox

мы уже рассказывали, а также упоминали про

нестандартные способы использования

этого замечательного сервиса. Сегодня хочу поделится с читателями сайта Вебтун как можно использовать Dropbox в качестве хостинга для простых сайтов.

Если я вас заинтересовал, то в продолжении статьи вы узнаете как хостить простой сайт на Dropbox c помощью сервиса DropPages.

Сервис DropPages (droppages.com) появился относительно недавно, его идея заключается в том, что в итоге вы сможете получить свой сайт по адресу your_name.droppages.com, при этом файлы сайта будут лежать на сервисе Dropbox.

Реализовать это не сложно. Прежде всего у вас должен быть аккаунт на Dropbox и разумеется установлено приложение сервиса на вашем компьютере (как это сделать подробно описывалось ранее). Далее следует зайти в папку Dropbox-а создать в ней новую папку “название_сайта.droppages.com”,

после этого нужно расшарить её (правой кнопкой по папке “Dropbox -> Share This Folder…”) с server1@droppages.com

и через некоторое время получаем подтверждение по почте. После этого уже можно зайти по ссылке “

Похожее:  Как переводить деньги с телефона Ростелеком


” и любоваться своим сайтом.

Принцип заключается в том что на Dropbox всегда можно было загрузить html файл, расшарить его и получилась бы своя страничка, кажется все тоже самое кроме домена второго уровня. Но не всё так тривиально.

Структура нашего сайта на droppages делится на три папки: Content, Public и Templates.
В Content хранится содержание сайта в текстовых файлах. В папке Public хранятся js- и css-файлы. И последняя папка Templates cодержит html-шаблоны страниц. Если вы хотите то можно использовать уже готовые шаблоны которые доступны на сайте,

к сожалению выбор пока очень маленький и имеется всего 2 шаблона.

Таким образом что мы получаем? Все файлы вашего сайта будут лежать в папке на вашем компьютере, которая постоянно синхронизируется с dropbox, а это значит что бэкап всегда под рукой. Вам нет необходимости лишний раз запускать фтп клиент для подключения к хостингу. Нет необходимости запоминать логин и пароль.

Разработчики сервиса DropPages так же намекают что можно приобрести свой домен например на iWantMyName.com и настроить его под DropPages. Чтобы настроить домен вручную, вам необходимо создать CNAME запись, чтобы указывала на server1.droppages.com.

Опасайтесь фишинга и вредоносного по

Злоумышленники могут попытаться украсть важные данные, притворяясь сотрудниками Dropbox или другой службы, которой вы доверяете. Опасайтесь незнакомых электронных адресов, сайтов и ссылок, с помощью которых у вас пытаются выманить пароль или другую важную информацию. Если вы увидели какие-то подозрительные данные, размещенные в Dropbox, сообщите об этом нам. Подробнее…

Политика конфиденциальности

Вы являетесь единственным владельцем своих данных. Будь то ваша личная или рабочая информация — мы защищаем ее конфиденциальность. В нашей Политике конфиденциальности подробно описывается, когда мы собираем ваши данные и что предпринимаем для их защиты.

Придумывайте уникальные пароли для каждого используемого вами ресурса

Самый надежный способ – придумать отдельные уникальные пароли для каждого используемого вами ресурса и никому их не говорить. Если вы когда-нибудь использовали один и тот же пароль для нескольких сайтов, следует сменить его и создать для каждого сайта новый отдельный пароль.

Существуют различные инструменты (например, Dropbox Passwords), которые помогают создавать надежные пароли для разных сайтов и защищать ваши аккаунты.

Принципы обработки государственных запросов

Мы публикуем Отчет о доступе к информации, в котором рассказывается, как часто мы получаем государственные запросы о данных, а также излагаются наши принципы обработки государственных запросов, которыми мы руководствуемся, получая такие запросы.

Просматривайте события в своем аккаунте

На вкладке Безопасность можно просмотреть список подсоединенных устройств, текущие веб-сеансы и сторонние приложения, которые имеют доступ к аккаунту. Что-то показалось вам подозрительным? Вы можете мгновенно запретить доступ. На странице События можно отслеживать изменения, произведенные с папками и файлами, в том числе случаи, когда папки и файлы редактируются или удаляются, и случаи, связанные с участниками общих папок.

Советы по созданию надежных паролей

Хороший пароль — это когда вам легко запомнить, а другим трудно подобрать. Редко употребляемые слова — отличная идея, но их должно быть несколько. Можно также использовать следующие приемы:

  • Необычные варианты прописных и строчных букв (например, «паРОль»)
  • Необычный вариант написания (например, «парррроль»)
  • Необычные персональные словечки
  • Необычные цифры и символы (обратите внимание: символ «$» вместо буквы «s» или «0» вместо «o» — это обычная практика, она не очень подходит в качестве меры безопасности).
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *