Kevin

Я не работал с дропом, поэтому деталей не знаю. Но могу предположить, что если ссылка открывается не в клиенте дропбокса, а в браузере, то там возможно синхронизируются куки с вашим другим браузером (сейчас естьтакие технологии) просто автоматически отправляются ваши куки, в которых данные с вашей последней авторизацией. То есть если вы в браузере последний раз заходили в дропбокс и не вышли, то любая открытая ссылка будет открываться, как будто ее открыли под вашим аккаунтом. Решение этой проблемы (если в этом все дело, конечно) состоит удалений куки из браузера.
Но не исключено, что тут замешаны и баги самого дропа.

Вобщем-то вы попали в точку, то есть это самый (ну один из самых - это точно) "расшаренный" сайт по безопасности веб-приложений, там есть много всяких проектов, которые тем или иным образом касаются безопасности именно веба.
Но в вашем случае вам нужно посмотреть этот проект по пентесту веб-приложений на уязвимости (то есть по обнаружению). В том проекте есть гайд в pdf формате (относительно свежий), где все очень хорошо и удобно расписано, там описываются все виды уязвимостей, как их искать (описываются и черный, и серый ящики), как их потом можно будет раскрутить, ссылки на дополнительные статьи и конечно же инструменты/сервисы для автоматизации и помощи в обнаружении тех уязвимостей.
Так же там на сайте есть статьи (иногда даже проекты отдельные) по некоторым видам уязвимостей, тоже интересно будет почитать.
Из CGI-сканнеров можно выделить Acunetix Web Vulnerability Scanner (но платный, собака, хотя торрент в помощь), так же можете посмотреть ZAP от участников того самого OWSAP'a.
Насчет сервисов: если про онлайн сканнеры, то, как правило методики работы не разглашаются (особенно, если коммерческий), вот у опен сорсных сканнеров всегда есть мануаллы по принципам их работы, но хочу заметить такие сканнеры обычно выявляют тривиальные уязвимости и изучение их работы очень много не даст по пентесту веб-приложений. Если вы имели ввиду сервисы, как команды специалистов, которые проводят аудит, то они, естественно тоже этого не разглашают, но есть организации (как описанная выше - OWASP), которые созданы как раз для того, чтобы делиться информацией и описывать всевозможные методики и хитрости по обнаружению и эксплуатации уязвимостей, помимо подобных организаций можно много полезного узнать на соответствующих форумах (RDot.org, например).

Для компьютера я написал простой мессенджер на Java по TCP соединению, там шифрование было по ключу, который программа брала на отдельном сервере, где этот ключ ежечасно обновлялся (а про сервер знали единицы), а сообщения проходили не через сервер-посредник, а сервером назначался хост одного из людей, которые начинали писать - но это чисто индивидуальное решение для небольшой группы (или двух) людей
А вообще еще есть хороший: Silent Text

Для начала термины:
ФСТЭК - Федеральная служба по техническому и экспортному контролю (ссылка)
НДВ - недекларированные возможности: функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
С точки зрения ФСТЭК сертифицированные межсетевые экраны бывают пяти классов от МЭ1 до МЭ5 (вот здесь есть хорошая таблица по характеристикам уровней), при этом, чем выше класс, тем жёстче требования (ссылка на документ с требованиями).
Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: документ. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме.
ИСПДн - Информационная система персональных данных. Класс ИСПДн определяет тип такой системы, классификация ИСПДн приведена в этом документе, еще здесь можно найти краткое описание классов ИСПДн.
Теперь сгруппируем эту информацию:
Для примера возьмем этот перечень межсетевых экранов, в таблице видем три графы: "Класс МЭ" - это класс межсетевого экрана, который назначен (определенным органом РФ) в соответствии с определенными параметрами самого МЭ, то есть это то, на что способен МЭ (грубо говоря), далее есть графа - "Уровень НДВ", это уровень определяющий примерную вероятность того, что МЭ можно будет обмануть/обойти/взломать, вобщем надежность МЭ, затем идет графа "Класс ИСПДн" - это класс информационной системы персональных данных, для которой подходит данный МЭ.
То есть эти три критерия невзаимосвязаны напрямую (возможно, косвенно по некоторым аспектам), и каждый критерий (Класс МЭ, Уровень НДВБ, Класс ИСПДн) определяется в соответствии с правилами, которые есть в документах, данных выше.