我是一个Dropbox迷。Dropbox是一个很好的工具、极不错的产品，很明显它背后有一个富有激情的开发团队支撑着。

　日前，Dropbox发布了其安全服务项目的一个更新版本。他们在声明中表示，如果政府要求，他们将向政府提供用户的未加密信息。

　　这并不是我所关注的问题。

　　我所关注是我一直试图想弄明白的问题，Dropbox已经做出的一些诸如“你的文件如何被加密”、“任何人都不可以访问用户文件”此类的坚定的声明。如以下声明：

　　● 所有文件数据的传输都发生在一个加密的通道中（SSL）；

　　● 存储在Dropbox服务器上的文件都进行了加密处理（AES-256 ）；

　　● Dropbox工程师禁止访问用户文件。当对某帐户进行维护时，他们也仅被允许访问文件的元数据（如文件名、文件大小等，文件内容禁止访问）。

　　声明到此为止，对于那些想进一步了解的人，恐怕只能徒劳而返了。这些声明中对Dropbox在适当的地方采取了哪些安全措施并没有进一步的说明，同时对如何进行加密以防止非法访问用户文件的实现过程也没有说明。这时我们只能听他们说什么就是什么了。

　　此种空洞的声明总让我感到不安。

　　然而对于他们能够代表政府对用户数据解密的声明，则与他们之前公开发表的声明背道而弛。因为他们曾声明Dropbox的工程师禁止访问用户的文件。

　　这个声明也表明了Dropbox从未制定过关于禁止工程师访问用户数据的机制，也没有一个可以确保用户文件的隐私性得到保护的加密系统，同时也没有仅允许用户本人解密文件的实时系统。最终结果却是，Dropbox只是单纯地把键值存储在他们的服务器上，Dropbox中任何获得许可的人或者任何想方设法攻击入 Dropbox服务器的人都能够访问其中的用户文件。

　　即使像Google这样有着一系列严格的安全措施和处理过程的公司中都会有一些工程师滥用特权泄露用户数据的事，对于如Dropbox这样还处于创业期、其安全措施还不完善的公司，若出现此种情况将会发生什么呢？确实让人很担心。

　　Dropbox需要搞清楚，在他们的产品中都提供了哪些用户隐私保护。不单单要防止政府，而更要防止来自公司内部因被贿赂、被勒索、甚至为了暗地挣点额外收入而泄露用户数据的工程师们。

　　Dropbox需要设立一个中立的第三方部门，来专门负责围绕保护用户数据和隐私的安全处理过程的严格执行。如果他们并没遵照他们自己的市场声明，他们需要详细指出他们的服务在哪里出现了纰漏及导致此现象的安全隐患的所在。

　　除非Dropbox能证明他们可以从运算法则上保护你的键值，并仅允许你访问自己的文件，否则他们需要重新审视他们公开的声明，并明确声明Dropbox存储应该属于半公开存储，并非试图向用户推销骗人的“万灵油”。