萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 隱藏在Google 雲存儲中的第三方漏洞

隱藏在Google 雲存儲中的第三方漏洞

  1998年,我在Exodus Communications幫忙建立了最早期的現代化雲計算服務,從那時起,就一直有個想法在我的腦海裡回蕩:美國政府對憲法第四修正案的诠釋會影響到企業采用雲計算的意願。謝天謝地,這種問題並沒有發生。但現在新的Google雲存儲服務條款可能會導致新的法律爭端,影響到所有人使用雲儲存的意願。

  想知道為什麼會這樣,就要先了解法院是如何解釋美國憲法第四修正案:“任何公民人身、住宅、文件和財產不受無理搜查和查封,沒有合理事實的依據,不能簽發搜查令和逮捕令……”

  該解釋還提供了,在什麼情況下不合理的搜查可以被稱為“合理”,並且合乎憲法的作法。也就是可以在下列情況下簽署授權:“除有正當理由,經宣誓或代誓宣言,並詳載搜索之地點、拘捕之人或收押之物外”。

  這也就意味著,執法單位在進行侵入式搜索時必須先取得授權,如果不這樣做,他們所找到的證物將不被法院受理。不過如果該對象可以被直接看到,或是當對象同意被搜查時則無需授權。

  當搜索需要授權時就會交給法院處理,在發現有“合理的隱私期望”時,執法單位就需要授權。這是早在1967年,雲計算技術出現之前,關於電話亭被用來竊聽的問題引發廣泛爭議時決定的,而這也是Google所面臨問題的根源。

  法院所謂的“合理的隱私期望”是說,你會合理地期望自己的東西是屬於私人的,而同時社會本身的客觀認定也會覺得這些內容合理地屬於私人。也就是說,你會認為這是私人的東西,而其他人也是如此認為。不要忘了這個條件,因為這和Google的作法有直接關系。

  對於美國憲法第四修正案所作出的第三方原則(Third-Party Doctrine)的解釋,可以說是現代雲計算技術噩耗。這個解釋是說,如果你的數據由第三方代管,那它就不屬於第四修正案的保護范圍。這就嚴重了。這裡最典型的例子是:警察不需要取得授權就可以知道你打了什麼電話,因為通話記錄的數據在服務供應商手上。你的電話內容是屬於私人的,但是你打電話這件事並不是。

  讓我們將這個理論擴展到雲計算中。在過去,Dropbox和微軟的SkyDrive將獲得你上傳到雲端的文件的版權和知識產權。這是合理而且正常的做法。如果你具備雲端保存的內容的版權,你也就可以主張你有合理的隱私期望,你的雲端文件還是受到憲法第四修正案的保護,即便這些內容保存在第三方的雲服務設施內。

  但是Google新推出的服務條款則打破了這項共識。讓我們看看這些服務條款的差異。(感謝CNET收集這些鏈接!)

copyright © 萬盛學電腦網 all rights reserved