בארה"ב, שלושת הראשונים אסורים על פי התנאים של O365 (בהנחה שהחלונות אינם בקוד פתוח). אם תנסה להפיץ סרטים דרך ה-OneDrive שלך, צפה שהם יוסרו.Computantis אמר:כמו בכל הכלים וכלי הנשק, ברגע שלמיקרוסופט יש את היכולת הזו, הם יכולים להשתמש בה גם עבור:
- חומר מוגן בזכויות יוצרים
- פורנו לילדים
- קוד המקור של Windows
- חומר פאלון גונג במרכזי הנתונים הסינים שלהם (מכיוון שמדובר ב"תוכנה זדונית נפשית" לפי הממשל המקומי הרווח)
- השתמש בדמיון שלך...
לחץ להרחבה...
ו"אנחנו הולכים למחוק תוכנות זדוניות" זה משהו שרוב המשתמשים הולכים להיות בעד.
אם אתה מתכוון להפיץ חומרים כאלה, אל תשתמש במיקרוסופט כדי לעשות זאת.
אם אתה מתנגד במדינה סמכותית, אל תשתמש גם במתקנים שיש לממשלה גישה אליהם.
x14 אמר:נראה כאילו MS העניקה לעצמה סמכות לסרוק/לקרוא כל קובץ בענן MS גם אם הוא מוגן בסיסמה. וכן, הם עשויים לפרוץ או לפצח סיסמאות לפי שיקול דעתם.
כמו כן, הם רשאים למחוק באופן סופי כל קובץ ללא הודעה או פנייה בהתבסס על פרשנות המדיניות שלהם.
יש שיגידו שזה מעיד על חוסר דאגה לפרטיות ואבטחת נתוני המשתמש.לחץ להרחבה...
מלבד אחסון וירוסים בניגוד לתנאי השירות של SharePoint, זה לא חדשות לאף מנהל O365.
זה אופציונאלי תכונה שעסקים קונים כחלק מהרישיונות שלהם. MS לא מעניקה לעצמה שום סמכות, זו תכונת מוצר שחברות משלמות עליה.
Computantis אמר:כמו בכל הכלים וכלי הנשק, ברגע שלמיקרוסופט יש את היכולת הזו, הם יכולים להשתמש בה גם עבור:
- חומר מוגן בזכויות יוצרים
- פורנו לילדים
- קוד המקור של Windows
- חומר פאלון גונג במרכזי הנתונים הסינים שלהם (מכיוון שמדובר ב"תוכנה זדונית נפשית" לפי הממשל המקומי הרווח)
- השתמש בדמיון שלך...
לחץ להרחבה...
למה אתה מתכוון "יכול"?
הם כן. זה ממש מופיע בתנאי השירות של SharePoint.
עריכה: הוכה על ידי alansh42, שיש לו הרבה יותר סבלנות להסביר איך החומר הזה עובד ממני.
זה יהיה מעניין שסקריפט Powershell יהיה כהלכה (עבור powershell) כסיסמה, כמו שבובי טבלס היה עושה
פשוט OTP את קובץ ה-zip, ושלח את ה-OTP עם הקובץ. שתי מחרוזות אקראיות לחלוטין של ביטים ש-MS לא יכולה לראות בפנים אלא אם כן הם קורים ל-XOR אותם.
זה נשמע כמו דבר טוב. אם הייתי ב-infosec, הייתי משתמש בשטח השרת שלי במקום בענן. אחרי הכל, הענן הוא רק מחשב של מישהו אחר.
דן גודין אמר:
דרך אחת היא לחלץ סיסמאות אפשריות מגופי האימייל או שם הקובץ עצמו.
לחץ להרחבה...
אנשים עושים את זה? בשתי הפעמים שהייתי צריך לתקשר באמצעות דואר אלקטרוני כדי ליצור חשבון חדש, המשתמש אמר לי את שם המשתמש המועדף עליו כתובת הדוא"ל שלהם A לכתובת המייל שלי A ושלחתי את סיסמת ברירת המחדל מכתובת הדוא"ל שלי ב' לכתובת המייל שלהם ב. (זה יכול להשתנות מאוחר יותר.)
אם מישהו אחר שם את ידו על חילופי הדוא"ל, הוא יוכל לפענח בקלות ולשחרר את התוכנה הזדונית.
אני חושב שדרך הפעולה הנכונה היא לפצל מפתח הצפנה וקובץ מוצפן לאמצעי תקשורת שונים: לשמור שליחת אימייל קבצים מוצפנים המכילים תוכנות זדוניות, אך השתמשו במפתח הצפנה באנטרופיה גבוהה ושתפו אותו עם כספת סיסמאות כמו bitwarden. זה הופך דליפה פוטנציאלית של חילופי הדואר האלקטרוני ללא מזיק לחלוטין.
נציג של גוגל אמר שהחברה לא סורקת קובצי zip מוגני סיסמה, אם כי Gmail כן מסמן אותם כאשר משתמשים מקבלים קובץ כזה. חשבון העבודה שלי המנוהל על ידי Google Workspace גם מנע ממני לשלוח zip מוגן בסיסמה.
לחץ להרחבה...
מעניין כי אני די בטוח שכשעבדתי ב-Spam Use and Delivery עבור Google לפני יותר מעשור עשינו את זה. למעשה פוסט אקראי בפורום מ-2014 מאשר שזה נעשה בשלב מסוים לפחות. https://forum.eset.com/topic/3004-goolge-gmail-scans-password-protected-archive-files/
אבל בכנות, אנשים מתייחסים לזה כסוג של פלישה מסיבית לפרטיות, אבל התוכן לעולם לא נשמר. הם פשוט עוברים גיבוב (או נסרקים) ואז נמחקים. איך זה באמת יותר גרוע מסריקת מיילים לאיתור וירוסים באופן כללי? אם אתה רוצה לשמור על ה-zip פרטי או מאובטח, לא היית שולח את הסיסמה לצדו באימייל ומצפה לאבטחה, נכון? כל התוכנית הזו מובסת רק על ידי שליחת הסיסמה בדוא"ל שני.
זה שימש כדי למנוע מאנשים שאינם יודעים קרוא וכתוב טכנולוגיים לקבל וירוסים ומנצלים שנשלחו אליהם כדי לגרש מהם כסף. הייתי טוען שההחלפה שווה לחלוטין את ה"פלישה".
הם לא רוצים לארח פריטים לא חוקיים או תוכנות זדוניות. אם אתה לא חושב שהם יעמדו במדיניות הפרטיות שלהם או שאתה רוצה משהו מעבר לזה (כמו אל תיתן לרשויות אכיפת החוק גם אם יש להם צו) תצטרך לחפש במקום אחר.hizonner אמר:הבעיה כאן היא לא שמיקרוסופט אכן סורקת בצורה הספציפית הזו. זה שמיקרוסופט יכולה לסרוק כל דבר. כל עיצוב אחסון בענן שמאפשר לספק השירות לראות את הנתונים שלך הוא עיצוב גרוע.לא רק שזה מכפיל באופן מסיבי את מספר האנשים שיכולים לעשות שימוש לרעה בנתונים שלך, ולא רק שזה מונע ממך אפילו לקבל כל סיכוי לדעת מי האנשים האלה באמת, אבל אולי לא תהיה מרוצה מה"שירות המוסף" הבא שהם בוחרים לספק.
מיקרוסופט צריכה לספק הצפנה מקצה לקצה. ואז כל משתמש צריך לשלב את ההצפנה שלו מקצה לקצה בנוסף לזה, כי לסמוך על ההצפנה של ספק השירות שלך זה טיפשי.
לחץ להרחבה...
חברות רבות משתמשות ב-O365 עבור המסמכים הפרטיים שלהן. אם מיקרוסופט מפרה את מדיניות הפרטיות שלה, הם עומדים בפני כמה תביעות משפטיות גדולות מאוד.
hizonner אמר:הבעיה כאן היא לא שמיקרוסופט אכן סורקת בצורה הספציפית הזו. זה שמיקרוסופט יכולה לסרוק כל דבר. כל עיצוב אחסון בענן שמאפשר לספק השירות לראות את הנתונים שלך הוא עיצוב גרוע.לא רק שזה מכפיל באופן מסיבי את מספר האנשים שיכולים לעשות שימוש לרעה בנתונים שלך, ולא רק שזה מונע ממך אפילו לקבל כל סיכוי לדעת מי האנשים האלה באמת, אבל אולי לא תהיה מרוצה מה"שירות המוסף" הבא שהם בוחרים לספק.
מיקרוסופט צריכה לספק הצפנה מקצה לקצה. ואז כל משתמש צריך לשלב את ההצפנה שלו מקצה לקצה בנוסף לזה, כי לסמוך על ההצפנה של ספק השירות שלך זה טיפשי.
לחץ להרחבה...
האם מישהו רוצה להסביר לאדם הזה מה הם SharePoint ו-Defender עבור Office 365?
אני מתכוון שזה צוין רק שלוש פעמים בשרשור הזה, אז אולי הם פספסו את זה.
כמעט שכחתי מהגנת סיסמת ZIP מדור קודם. אין ספק שרוב מארכיוני ה-ZIP הפופולריים הם כברירת מחדל לגרסת ה-AES המאובטחת... נחשו שלא.
לא היה כתוב ש-MS תסרוק את המייל ותשתמש בדברים בו כדי לפצח את ה-pw? שלח 2 מיילים אני מניח. אלא אם הוא מתחיל לקשר אימיילים נפרדים.noone.of.import אמר:"הולכת להפוך לבעיה גדולה עבור אנשים כמוני שצריכים לשלוח לעמיתיהם דוגמאות תוכנות זדוניות"פשוט OTP את קובץ ה-zip, ושלח את ה-OTP עם הקובץ. שתי מחרוזות אקראיות לחלוטין של ביטים ש-MS לא יכולה לראות בפנים אלא אם כן הם קורים ל-XOR אותם.
לחץ להרחבה...
יהיה מצחיק אם הסריקה היא באגי ואיכשהו תישמר דברים מפוענחים או pw וזה דלף.
בכל מקרה.. למה ששיטת ההצפנה תעשה כל הבדל אם ה-pw נמצא באימייל ו-ms משתמשת בתוכן של האימייל כדי לנחש את ה-pw? זה בעצם להכריח את זה, לא?
בתור מישהו שמופגז בקובצי zip "מוגנים" (sic) כל הזמן, כאילו זה עושה משהו לאבטחת מידע, אני יכול רק לקוות הגילוי הזה הוא רק עוד צעד אחד לקראת שהמצעד כולו הולך לאותו מקום בגן העדן הקיברנטי שבו יש עכשיו פרוטוקולי האצבע וההתחברות לִישׁוֹן….
האם רק פעולת עקיפת בקרות הגישה בחשאי אינה אסורה במפורש בחוק אחד לפחות?
זה יהיה שירות מצוין אם המשתמשים היו מודיעים על היכולת ותינתן להם היכולת לשלוט בהתנהגות בחשבונות שלהם. לעשות את זה בערמומיות מרגיש לא נכון.
