In 5 Minuten zum Wuala-König (viele, viele Gigabyte inside)
von caschy | 134 Kommentare
Datt is mal ne knackige Überschrift, woll? Der langjährige Leser weiss: ich versuche alles im Auge zu behalten. Und so habe ich nicht nur die Dropbox auf dem Schirm, sondern auch SugarSync, Wuala und wie sie alle heißen. Und wenn ich mal nicht aufpassen, dann gibt es Leser wie DonHæberle, die gute Tipps geben. Deswegen sollten alle, die Wuala nutzen – oder mal nutzen wollen, folgende Mail an mich gut lesen und verstehen 🙂 Es gibt viele Codes und viele kostenlose Gigabytes in der…. sorry…. Cloud 😉
Wuala offeriert ja gelegentlich sog. Promotioncodes, mit denen man sich entweder Rabatte oder zusätzlichen kostenlosen Speicherplatz aneignen kann. Im April kam noch der Code PC-MAGAZIN dazu, mit dem man sich 2 GB zusätzlich sichern konnte. Doch das ist nicht alles. In einem Forum fand ich Codes für insgesamt 14 GB(!) zusätzlichen, kostenlosen Speicherplatz:
* I-KNOW-DOMINIK : 1 GB
* I-KNOW-CAROLA : 1 GB
* I-KNOW-FABIUS : 1 GB
* I-KNOW-LUZIUS : 1 GB
* I-KNOW-THOMAS : 1 GB
* I-KNOW-JONAS : 1 GB
* I-KNOW-MARCEL : 1 GB
* I-KNOW-MARIUS : 1 GB
* I-KNOW-DARIO : 1 GB
* CONNECT-WITH-SUPPORT : 1 GB
* COMPUTER-HOY : 2 GB
* PC-MAGAZIN : 2 GB
Mit dem einen Gigabyte, was man bei der Anmeldung ohnehin schon bekommt, hat man damit schon ohne Speichertausch, Freundewerbung oder Zusatzkosten ein Kontingent von 15 GB!
Doch das Beste kommt natürlich zum Schluß: Nach dem man alle 14 GB per Code freigeschaltet hat, wird man automatisch zum Pro-User und erhält die Zusatzfeatures wie
· Backup- und Versionsverwaltung
· Sync
· Zeitreise und Versionierung wird zwar ebenfalls noch als Pro-Feature aufgeführt, dürfte aber unter die Backup- und Versionsverwaltung fallen
Man könnte da schon fast ein schlechtes Gewissen bekommen, von wegen „Ausnutzung“ und so. Aber der Staff meint:
„Wenn du einen Promocode findest, darfst du ihn auch verwenden. Wir sind da nicht so streng, doch es gibt keine Garantie, dass er noch in Betrieb ist.“
Dank Java und Webzugriff ist man selbst als Linux-Fuzzy wie ich nicht ausgeschlossen und dank der 128 Bit AES-Verschlüsselung schon auf dem lokalen Rechner dürften auch die letzten Sicherheitsbedenken gegenüber den Schweizern langsam fallen.
Wird geladen ...
Ja, wenn die das einbauen, dann ist das Teil fast perfekt. Sicherlich wird der uploadoverhead größer sein, als bei einer nicht verschl. Datei, aber besser als diese Komplett neu hochladen zu müssen. Andere Anbieter haben das ja auch hinbekommen – siehe spideroak.com
„Die Verschlüsselung ist auch schlüssiger und vor allem konsequent durchgezogen.“
Auf die „Verschlüsselung“ bei Wuala würd ich nicht viel geben, die existiert eher auf dem Papier
Du kannst also die verschlüsselten Daten im Klartext lesen?
@cheoops: Prinzipiell kann man Dropbox schon unter KDE zum laufen bekommen, siehe
http://www.piotrkrzyzek.com/ow-to-use-dropbox-with-kde-in-kubuntu-kdropbox/
Schön, jetzt hab ich 117 GB Wuala Speicher…
Damit meinte ich, dass ich
a) grundsätzlich misstrauisch bin, wenn ein Programm eine tolle Verschlüsselung verspricht, aber dne Quelltext nicht offen legt
b) Das Wuala Konzept nur auf dem Papier existiert; dies hat verschiedene Gründe
a) Die Dateien landen eigentlich auf den Wuala Servern und dann irgendwann in der Cloud
b) Werden die Dateien nach dem Upload wohl nicht verschlüsselt (kann dafür ein einfaches Szenario nennen, wenn jmd interessiert ist)
@Christoph: Erzähl mal bitte von Deinem Szenario. Außerdem, wenn Wuala die Daten auf ihren Servern speichert, wieso habe ich dann inzwischen 50GB Daten von Wuala auf meinem Server liegen? Tendenz steigend!
Gegen ein grundsätzliches Misstrauen ist nichts einzuwenden. Aber solche haltlosen Behauptungen in den Raum zu stellen ist unseriöse Trollerei. Zudem ist es nur logisch, dass die Dateien nach dem Upload nicht nochmal extra verschlüsselt werden. Wofür auch? Schließlich werden sie schon vorher verschlüsselt.
Die Behauptungen sind nicht haltlos. Wenn man bspw Wuala Dateien über den Browser runterlädt, dann werden diese Dateien von den Wuala Servern runtergeladen, Zwischenzeitlich gab es sogar releases (wenn auch nur kurz) wo der P2P Doanload gar nciht klappte und man nur von den Servern runetrladen konnte. Der Workflow bei Wuala ist:
Upload:
1) Datei wird gehasht
2) Datei wird auf einen Mainserver hochgeladen
3) Datei wird über den Mainserver verteilt
Warum ich behaupte, dass nicht wirklich verschlüsselt wird:
Weil ich für folgendes Szenario keine schlüssige Erklärung finde:
2 User (A,B)
– User A stellt Datei X in seine eigenen Dateien ein (nicht öffentlich), diese wird gehasht und hochgeladen.
– 2 Tage später stellt User B die selbe Datei in seine privaten Dateien ein. Die datei wird gehasht aber NICHT hochgeladen, denn es existiert schon eine Datei mit dem Hash.
Wie also kann User B nun auf diese Datei zugreifen, ohne dass diese hochgeladne wurde?
Wuala wirbt zwar damit, dass die Dateien auf deren Server verschlüsselt vorliegen, aber dann wäre die Datei von User A mit (bspw) dem PW von User A verschlüsselt und die Datei B mit dem PW von User B.
Wäre für schlüssige Erklärungen dankbar. Wer obiges Szenario nicht glaubt, kanns gerne selbst probieren. Im Wuala Netz gibt es keine doppelten Datein.
„Zudem ist es nur logisch, dass die Dateien nach dem Upload nicht nochmal extra verschlüsselt werden. Wofür auch? Schließlich werden sie schon vorher verschlüsselt.“
Nein, wie oben beschrieben werden sie vor dem Upload lediglich gehasht, nicht verschlüsselt!
Ich habe durch die Eingabe aller Codes 15 GB erreicht, bin aber kein Pro-User 🙁 HILFE !!
@Christoph:
Interessante Bemerkung, ist mir auch schon aufgefallen. Nutze Wuala auch schon seit einigen Monaten und hab mir auch den Prostatus gekauft (weil ich einfach der Meinung bin, das klappt so gut, das kann ich auch mal mit Geld unterstützen!)
Wenn ich eine Datei beispielsweise heute hochlade, dann lösche und morgen nochmal hochladen will, dann ist sie auch sofort wieder da, weil der Hash noch vorhanden ist, allerdings wurde der private Schlüssel dazu gelöscht.
Vielleicht fragst du einfach mal beim Support an und lässt dir das von denen erklären.
Wenn natürlich wirklich eine Sicherheitslücke da wäre, würde ich allerdings auch wieder umsteigen. Momentan scheint mir wuala noch ziemlich sicher und deshalb habe ich dort auch einige wichtige Dateien von mir liegen.
Ich hatte damals beim Support nachgefragt und warte seitdem auf Antwort.
Was mich an dem ganzen stört ist diese „Scheinsicherheit“: Man geht davon aus, die Daten seien sicher, sind sie aber nicht.
Was ganz gut zu funktionieren scheint ist das anonyme verteilen von Fragmenten, wobei ich mir auch hier gut vorstellen kann, dass die mit nem „Masterkey“ auf dem Server verschlüsselt wurde.
Auf jeden Fall lässt sich zu jeder Datei eindeutig der Besitzer (idr Uploader) feststellen (sonst würde das Gruppenprinzip nämlich nicht funktionieren)
Nur weil man etwas nicht versteht, berechtigt das noch lange nicht dazu irgendwelche Mutmaßungen als Tatsachen zu behaupten. Zur Klärung bietet sich auch das hiesige Forum an: http://forum.wuala.com/
Das was hier steht „http://www.wuala.com/de/learn/technology“
„Alle Dateien werden direkt auf Ihrem Computer verschlüsselt…..“
steht dort zwar, wäre dies aber wahr, wäre obiges Szenario nicht möglich, ist es aber!
Bspw:
Ich will eine Datei mit dem Inhalt „123456“ hochladen.
(Soll) lt Wuala Beschreibung wäre der Workflow:
– Datei wird verschlüsselt
=> (der Einfachheit halber mit dem Spiegel-Algo+mykey): aus dem Inhalt wird „654321“+“mykey“
– Datei wird gehasht
=> Datei ist absolut eindeutig, also Meine Datei, es gibt nur eine Datei mit dem Ursprungsinhalt „123456“, die den entsprechenden Hash hat
(Ist) So ist es den Beobachtungen nach:
– Datei wird gehasht
– Datei wird auf dem Wuala Server wahrscheinlich unter dem Namen hash(„123456“) gespeichert
– Jeder, der eine Datei des selben Inhaltes (und somit auch Hashes) hochlädt spart sich den Upload und kann sofort auf die Datei zugreifen.
Mit einer individuellen (Nutzerzentrierten) Verschlüsselung wäre das beobachtete Verfahren nicht möglich….
Bitte nicht dagegen pupen, dass Wuala unfehlbar ist, denn mit sowas ist niemandem geholfen, sondern nachvollziehbar begründen, warum ich unrecht haben könnte und meine 100% reproduzierbare Beobachtung Zufall ist.
PS.
Szenario befindet sich in Erwartung einer Antwort im Forum
Weiß zufällig jemand ob es ein WordPress-Pugin gibt, mit dem man sein Backup direkt bei Wuala sichern kann?
@Christoph: Nochmal: Hier ist der falsche Platz dafür. Die Leute, die sich damit auskennen, findest du hier: https://forum.wuala.com/ Und solange du selbst keine absolute Gewissheit hast, ist es alles andere als seriös irgendwelche Spekulationen in der Welt herumzuposaunen.
Sicher weiss ich es nicht, aber da ich in der Vergangenheit schonmal eine Nachfrage hatte, inwieweit man bspw Backup Folder bei Quala über die Konsole steuern kann und darauf ein „its not possible“ als Antwort erhielt, gehe ich davon aus, dass die selbe Problematik bei WP besteht.
Was denkbar wäre:
1) wuala auf dem server installieren und über die Commandozeile starten
2) Das Wualadrive zum laufen bekommen.
3) den WP Ordner in das Drive Symlinken
Die Möglichkeit über die Kommandozeile Backupordner anzugeben, geschweige denn erweiterte Konfiguration zu machen, scheint nicht gegeben.
Punkt 2 war mir allerdings unter centos zu viel Gehampel, deswegen sichere ich auf anderem Wege.
@DonHæberle
Durch die obige Beobachtung HABE ich Gewissheit, dass das von Wuala propagierte Konzept nicht wie von denen beschrieben funktioniert.
Das ist ganz einfaches Reverse Engineering
„Hier ist der falsche Platz dafür. “
Für begründete Bedenken gibt es keinen falschen Platz
Für Bedenken nicht, aber für Behauptungen wie „Auf die “Verschlüsselung” bei Wuala würd ich nicht viel geben, die existiert eher auf dem Papier“ schon. Wenn dir wirklich daran gelegen wäre, dieses Verhalten sachlich zu klären, dann hättest du für alle ersichtlich im dortigen Forum die Diskussion angestoßen. Dort hätten wesentlich mehr Leute etwas davon. Aber in dieser Form auf anderen Seiten über irgendwelche angeblichen Sicherheitsmängel herzuziehen, ist nicht sonderlich seriös und zeugt auch nicht davon, dass du ernsthaft an deren Aufklärung interessiert bist.
„und zeugt auch nicht davon, dass du ernsthaft an deren Aufklärung interessiert bist.“
Erst lesen, dann trollen:
„PS.
Szenario befindet sich in Erwartung einer Antwort im Forum“
„Szenario befindet sich in Erwartung einer Antwort im Forum“
Ja – im Nachhinein – nachdem du erst hier die Pferde scheu gemacht hast. Abgesehen davon stand diese nachträglich hinzugefügte Anmerkung zu dem Zeitpunkt, als ich meinen Beitrag schrieb, noch nicht in deinem Beitrag, da ich die Seite schon vorher aufgerufen hatte.