Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cloud-Speicher: Fraunhofer-Forscher…

Spideroak

  1. Thema

Neues Thema Ansicht wechseln


  1. Spideroak

    Autor: tenso 15.05.12 - 06:49

    Spideroak sagen, dass sie es besser machen weil alle Daten lokal verschlüsselt werden. https://spideroak.com/engineering_matters
    Schade, dass das Fraunhofer die nicht getestet hat.



    1 mal bearbeitet, zuletzt am 15.05.12 06:49 durch tenso.

  2. Re: Spideroak

    Autor: Vollstrecker 15.05.12 - 07:36

    Zumindest die Zwangsclouds hätten sie gleich mit testen sollen.

    Google Cloud und Skydrive.

  3. Re: Spideroak

    Autor: laZee 15.05.12 - 08:17

    Wie witzig. Niemand zwingt jemanden, die zu nutzen.

  4. Re: Spideroak

    Autor: laZee 15.05.12 - 08:19

    IMHO funktioniert Spideroak genau wie Wuala. Und Wuala wurde getestet. Hab noch nicht die gesamte Studie gelesen, nur den Artikel, aber was da bisher an Wuala kritisiert wurde, war nur das properitäre Protokoll, die fehlende E-Mailverifikation und die Möglichkeit herauszufinden, ob jemand eine bestimmte Datei besitzt.

    Als einziges echtes Problem sehe ich da das properitäre Protokoll. Wenn SpiderOak da ein echtes SSL hat (was bei der heutigen CA-Problematik auch schon wieder nicht richtig sicher ist), dann sollte es besser sein als Wuala.

  5. Re: Spideroak

    Autor: lube 15.05.12 - 08:33

    tenso schrieb:
    --------------------------------------------------------------------------------
    > Spideroak sagen, dass sie es besser machen weil alle Daten lokal
    > verschlüsselt werden. spideroak.com
    > Schade, dass das Fraunhofer die nicht getestet hat.


    Was bringt mir das wenn die behaupten sie verschlüsseln ich den Source code aber nicht seh?

    Security by obscurity. Nein danke.

  6. Box.com

    Autor: Trollfeeder 15.05.12 - 08:44

    Wenn schon denn richtig. Ist zwar nicht billig, aber scheinbar die sichersten wenn man sich die Kundschaft ansieht.^^
    Hab zwar nur den kostenlosen Zugang, aber ich wollte auch nicht meine Geschäftsgeheimnisse dort speichern.^^

    --------------------------------------------------------------------------------
    Meine Erziehung mag nicht vollständig sein. Dennoch betrachte ich sie als abgeschlossen.
    ----------------------------------------

  7. Re: Spideroak

    Autor: laZee 15.05.12 - 09:01

    Guter Punkt. Und selbst wenn sie verschlüsseln, solange das Ding nicht Open Source ist, könnten sie auch jederzeit meinen geheimen Schlüssel übertragen.

    Und wenn es dann Open Source ist - wieviele compilen es sich selbst? 0.01%.

    Im Endeffekt kannst du das alles knicken. Es läuft auf Vertrauen zum Anbieter hinaus.

  8. Re: Spideroak

    Autor: Vollstrecker 15.05.12 - 10:12

    Das nicht, aber jeder der ein Google Konto oder Windows8 Konto hat, ist auch bei der entsprechenden Cloud angemeldet. Wozu also einen u.U. kostenpflichtigen dritt Anbieter suchen und nutzen?

  9. Re: Spideroak

    Autor: laZee 15.05.12 - 10:16

    Weil das Anmelden bei einem Drittanbieter nicht die große Hürde ist. Und im Endeffekt zählt das Ergebnis. Wenn Dropbox trotz der Integration von GDrive in die Google-Welt einfach immernoch besser und einfacher ist, benutze ich kein GDrive.

    Die sind alle gleich kostenpflichtig. Jeder bietet dir etwas Gratis-Space und jeder nimmt für mehr Space Geld.

  10. Re: Spideroak

    Autor: wunschpunch9 16.05.12 - 11:19

    SpiderOak verwendet z.B. nicht die deterministische/konvergente Verschlüsselung, die von den Fraunhofern kritisiert wird.

    Siehe auch: https://spideroak.com/blog/20100827150530-why-spideroak-doesnt-de-duplicate-data-across-users-and-why-it-should-worry-you-if-we-did

  11. Re: Spideroak

    Autor: laZee 16.05.12 - 11:31

    > SpiderOak verwendet z.B. nicht die deterministische/konvergente
    > Verschlüsselung, die von den Fraunhofern kritisiert wird.

    Jo, das war soweit klar. Sie kritisieren aber (unabhängig davon) auch den Übertragungsweg bei manchen Anbietern, der nicht (standardisiertes) SSL ist sondern irgendwas properitäres. Und merken dort an, dass properitäre Lösungen im Vergleich zu alteingesessenen, jahrelang getesteten, offenen Mechanismen wahrscheinlich fehlerhafter sind.

    Die konvergente Verschlüsselung setzt ja vorher an, auf Client-Seite. Das Problem, dass sich dadurch die Existenz von einer spezifischen Datei herausfinden lässt, ist IMHO aber nicht so wild. In gewissen Szenarien wahrscheinlich schon. Nur denke ich irgendwie auch, dass man das durch wenig/kein Sharing "abschalten" kann?

    Das IMHO eigentliche Problem ist doch, dass es nicht OpenSource ist. SpiderOak & Co können viel behaupten. Die können noch so gut clientseitig konvergent verschlüsseln. Wenn deren Client innerhalb des (bspw. SSL-)verschlüsselten Datenstroms auch noch deinen geheimen Key mitschickt, merkt das keine Sau. Das kannst du dann auch nicht raussniffen um zu schauen obs stimmt.

    Und selbst wenn es OpenSource wäre, hätte man auch nur dann die Sicherheit, wenn man a) den gesamten Code liest und versteht und b) es anschließend selbst compiled und c) den Prozess bei JEDER neuen Version wiederholt.

    Das tut niemand. Ich erinnere an die jahrelang offenstehende OpenSSL-Lücke. Auch Linuxer holen sich die Kompilate aus ihren Repositorys, nur ein extrem kleiner Prozentsatz compiled das doch selbst. Und lesen tut den Code eh kaum einer. Man dreht sich im Kreis.

  12. Re: Spideroak

    Autor: wunschpunch9 16.05.12 - 12:30

    Open-Source wäre sicherlich auch gut, das stimmt.

    Bei der Konkurrenz gibts ein paar Beispiele, was man alles bei konvergenter Verschlüsselung (Wuala) noch sehen kann:

    http://www.heise.de/security/news/foren/S-Re-Wuala-s-encryption-for-dummies/forum-228668/msg-21839874/read/

    Also entweder du stürzt dich auf EIN Dokument und schaust, wer das so hat.

    Oder du gleichst eine ganze Sammlung von Dokumenten mit einem Benutzer ab, z.B. um Profile zu erstellen.

    Es gibt auch viele Abhängingkeiten "wer Datei A hat, macht bestimmt auch XY" oder "der hat bestimmt auch Datei B"

    Wer hat die gecrackte Version von XY?

    Und alles, was sich in verträglicher Zeit iterieren (Pins/kurze Passwörter/Adressen/Namen) lässt, kann in ansonsten bekannten Dokumenten ebenfalls gefunden werden.



    1 mal bearbeitet, zuletzt am 16.05.12 12:34 durch wunschpunch9.

  13. Re: Spideroak

    Autor: laZee 16.05.12 - 12:52

    > Also entweder du stürzt dich auf EIN Dokument und schaust, wer das so hat.
    > [...]
    > Wer hat die gecrackte Version von XY?

    Okay, das geht natürlich nur von "innen". Aber stimmt, das Verkaufsargument bei clientseitiger Verschlüsselung ist ja, dass der Dienstanbieter eben nicht in die Daten schauen kann. Das wird somit quasi zunichte gemacht.

    Den Aspekt "von innen" hab ich bisher vernachlässigt. Guter Hinweis.

  14. Re: Spideroak

    Autor: wunschpunch9 16.05.12 - 13:05

    Von "innen" oder durch jemanden, der den Dienst aufmachen kann (Cracker), oder durch jemanden, der sich per Gesetz Zugang dazu verschafft.

    Oder aber (wie bei Dropbox) durch einen Fehler des Dienstanbieters (die hatten ja mal son Tag der offenen Tür) :)

  15. Re: Spideroak

    Autor: laZee 16.05.12 - 13:25

    > Oder aber (wie bei Dropbox) durch einen Fehler des Dienstanbieters (die
    > hatten ja mal son Tag der offenen Tür) :)

    Mit einer der Gründe, warum ich Dropbox gekündigt habe :).

  16. Re: Spideroak

    Autor: ND 08.05.14 - 14:13

    Ich verwende arXshare. Es macht auch die Verschlüsselung am Client und ist wesentlich schlanker als Spideroak, weil es nur PHP braucht, keine Datenbank, keine Module in Apache. Für private ist es gratis: http://www.arxshare.com

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. RSG Group GmbH, Berlin
  2. Ingenics AG, München, Hamburg, Stuttgart, Ulm
  3. CYBEROBICS, Berlin
  4. Eurowings Aviation GmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 80,90€ + Versand
  2. 294€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
Nuki Smart Lock 2.0 im Test
Tolles Aufsatzschloss hat Software-Schwächen

Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
Ein Test von Ingo Pakalski