In 5 Minuten zum Wuala-König (viele, viele Gigabyte inside)
von caschy | 134 Kommentare
Datt is mal ne knackige Überschrift, woll? Der langjährige Leser weiss: ich versuche alles im Auge zu behalten. Und so habe ich nicht nur die Dropbox auf dem Schirm, sondern auch SugarSync, Wuala und wie sie alle heißen. Und wenn ich mal nicht aufpassen, dann gibt es Leser wie DonHæberle, die gute Tipps geben. Deswegen sollten alle, die Wuala nutzen – oder mal nutzen wollen, folgende Mail an mich gut lesen und verstehen 🙂 Es gibt viele Codes und viele kostenlose Gigabytes in der…. sorry…. Cloud 😉
Wuala offeriert ja gelegentlich sog. Promotioncodes, mit denen man sich entweder Rabatte oder zusätzlichen kostenlosen Speicherplatz aneignen kann. Im April kam noch der Code PC-MAGAZIN dazu, mit dem man sich 2 GB zusätzlich sichern konnte. Doch das ist nicht alles. In einem Forum fand ich Codes für insgesamt 14 GB(!) zusätzlichen, kostenlosen Speicherplatz:
* I-KNOW-DOMINIK : 1 GB
* I-KNOW-CAROLA : 1 GB
* I-KNOW-FABIUS : 1 GB
* I-KNOW-LUZIUS : 1 GB
* I-KNOW-THOMAS : 1 GB
* I-KNOW-JONAS : 1 GB
* I-KNOW-MARCEL : 1 GB
* I-KNOW-MARIUS : 1 GB
* I-KNOW-DARIO : 1 GB
* CONNECT-WITH-SUPPORT : 1 GB
* COMPUTER-HOY : 2 GB
* PC-MAGAZIN : 2 GB
Mit dem einen Gigabyte, was man bei der Anmeldung ohnehin schon bekommt, hat man damit schon ohne Speichertausch, Freundewerbung oder Zusatzkosten ein Kontingent von 15 GB!
Doch das Beste kommt natürlich zum Schluß: Nach dem man alle 14 GB per Code freigeschaltet hat, wird man automatisch zum Pro-User und erhält die Zusatzfeatures wie
· Backup- und Versionsverwaltung
· Sync
· Zeitreise und Versionierung wird zwar ebenfalls noch als Pro-Feature aufgeführt, dürfte aber unter die Backup- und Versionsverwaltung fallen
Man könnte da schon fast ein schlechtes Gewissen bekommen, von wegen „Ausnutzung“ und so. Aber der Staff meint:
„Wenn du einen Promocode findest, darfst du ihn auch verwenden. Wir sind da nicht so streng, doch es gibt keine Garantie, dass er noch in Betrieb ist.“
Dank Java und Webzugriff ist man selbst als Linux-Fuzzy wie ich nicht ausgeschlossen und dank der 128 Bit AES-Verschlüsselung schon auf dem lokalen Rechner dürften auch die letzten Sicherheitsbedenken gegenüber den Schweizern langsam fallen.
Wird geladen ...
hmmm. also truecrypt container erstellen um sich die >17GB langfristig zu sichern ist schon mal für die katz. es ist nur FAT32. bedeutet nicht mehr als 4GB pro container. man könnte natürlich nun ins containergeschäft einsteigen und sich mehrere davon gönnen.. 😉
aber der client ist mir soweit symphatischer als der von SugarSync. mehr funktionen bei etwa gleichem resourcenverbrauch. plus einen hauseigenen treiber um das laufwerk im explorer einbinden zu können. nett. sogar einen jugendschutzfilter für content ab 18 hat es inne..
meine dropbox wird es nicht ersetzen. aber sugarsync läuft es den rang ab. 🙂
truecrypt + axcrypt kommen bei mir zum einsatz. auf die hauseigene verschlüsselung verzichte ich. die software ist nicht quelloffen. ich weiß nicht was sie sonst so treibt..
http://www.wuala.com/referral/AHHM5BH6HJ6FHBAM36K3
Bei mir wird JavaFS als Dateisystem angezeigt. Die Dateigröße ist beschränkt auf 14 GB:
https://forum.wuala.com/viewtopic.php?f=32&t=106
hmm, Don. also mein truecrypt verweigent jedenfalls das anlegen eines containers jenseits der 4GB. es klappt nicht mal in TC 4 GB zu wählen. dann nörgelt es schon rum. ich muß also beim erstellen mit MB werten fummeln.
explorer sagt mir nur FAT32 wenn ich das LW in den explorer einbinde und die eigenschaften abrufe.
@Christoph: die Funktionalität im Browser wird durch ein Java-Applet umgesetzt. D.h. die Ver- u. Entschlüsselung erfolgt lokal auf Deinem Rechner. Der Browser ist doch nur die Laufzeitumgebung. Steht eigentlich gleich auf der ersten Seite. Wer lesen kann ist klar im Vorteil…
PS als Vorbeugung: Java ist nicht JavaScript, ein Java-Applet läuft nicht auf dem Server
Edit: hier steht es: http://www.wuala.com/de/launch/
„Bei mir wird JavaFS als Dateisystem angezeigt. Die Dateigröße ist beschränkt auf 14 GB:“
Das wird bald auf 8GB gesenkt:
https://forum.wuala.com/viewtopic.php?f=32&t=106
Wegen Truecrypt:
Die 4GB Beschränkung liegt nicht an Truecrypt, sondern an FAT 32 (wurde ja schon erwähnt). Einen solchen Riesencontainer direkt im Wuala Drive anzulegen halte ich für wahnsinn, da dieser bei jeder noch so kleinen Änderung des Containers wieder neu hochgeladen werden müsste.
@Lars:
Was hat das mit irgendeinem meiner Postings zu tun?
„PS als Vorbeugung: Java ist nicht JavaScript, ein Java-Applet läuft nicht auf dem Server“
Beides läuft übrigens nicht auf dem Server 😉
@Staranwalt:
Erstell den Container außerhalb deines Wuala-Verzeichnisses und verschieb ihn anschließend ins Wuala-Verzeichnis.
Ich konnte jedenfalls eine Datei >4GB in das Verzeichnis schieben.
@Christoph
1) Du wolltest wissen, warum das ganze auch im Browser funktionieren kann –> Java-Applet
2) 90% der Leute können Java u. JavaScript nicht auseinanderhalten, daher das PS schon im Vorraus
3) Java wird allerdings sehr häufig serverseitig verwendet. Siehe JSFs u. JSPs und gefühlte 100 darauf aufbauende Frameworks plus backends. Aber halt als Applet nur auf dem Client. Wenn hier der Key lokal vorhanden ist, kann sehr wohl nur auf dem Client verschlüsselt werden.
@Christoph: Könntest vielleicht einmal aufhören hier ständig Fehlinformationen zu verbreiten? Lies den Forenbeitrag doch einmal richtig. Da steht weit und breit nichts davon, dass das Limit auf 8 GB gesenkt werden soll. Ganz im Gegenteil: Seit dem 15. März 2010 wurde die Dateigrößenbegrenzung von 8 auf 14 GB angehoben und im aktuellsten Beitrag des Supports wird sogar von weiteren Anhebungen gesprochen.
@Lars:
1) Du wolltest wissen, warum das ganze auch im Browser funktionieren kann –> Java-Applet
Nein, wollte ich nicht:
„Die Behauptungen sind nicht haltlos. Wenn man bspw Wuala Dateien über den Browser runterlädt, dann werden diese Dateien von den Wuala Servern runtergeladen,“
Damit meine ich die Downloads über die direkten Dateilinks (Freigaben) an Linkkenner, kein Applet, kein Javascript, nur die Plainlinks.
3) Ich habe nie anderes behauptet, den Schlüsselbund würde man dann, wie bei einer Wuala Neuinstallation über das Accountpw vom server bekommen.
@DonHæberle (aka Troll)
Da muss ich Dir recht geben. hast brav gelesen und mich korrigiert *Kopf tätschel* brav gemacht.
Da hab ich wohl vorschnell gelesen. Danke für deine gnädige Korrektur.
(Warum die Dateigrösse allerdings überhaupt beschränkt ist, ist aus technischer Sicht ein Rätsel; evt Selbstschutz der User vor tagelangem Upload)
@boernie
Sein Problem war, dass er als Hauptdateisystem FAT32 benutzt, dort ist die Dateigrösse auf 4GB limitiert und somit kann er keine Container > 4GB erstellen)
@boernie jepp, war mein nächstes tun. aber on-the-fly wäre ja ganz nett gewesen 🙂
@christoph: bei SugarSync und Dropbox wäre dies nicht der fall. diese beiden anbieter beherrschen differenzialbackups. bei Wuala ist dies allerdings korrekt. da landet wohl grundsätzlich alles verschlüsselt auf deren server, weshalb sich demnach jedes Byte ändern dürfte und somit ein Differenzialbackup unmöglich macht. schade 🙂
allerdings ist da was aufgrund großer nachfrage in der pipe..
http://bugs.wuala.com/view.php?id=1148
@Christoph:
Hat er nicht gesagt.
Und ich glaube er meint das Wuala-Netzlaufwerk. Das wird unter Windows nämlich als FAT-32 erkannt.
@Christoph: Da du ja so interessiert in die Technologie bist, hab ich mal (nach 15-minütiger Google-Suche) ein paar Dokumente zusammengestellt, die eig (zumindest fast) alle deiner Fragen beantworten müssten. Musst dir halt nur die Zeit nehmen und sie dir durchlesen. Ich habs in ein Pastebin getan, weils sonst hier zu unübersichtlich wird: http://pastebin.com/qenRCeS6
Und übrigens steht hier (http://bugs.wuala.com/view.php?id=1826#c12440), dass das neue Dateilimit etwa bei 100GB liegen wird und im Juli/August eingeführt wird.
AT Christoph: Guter Junge, endlich wird das mal angesprochen.
Derselbe Mist gilt auch bei Dropbox. Denn ob verschlüsselt oder nicht der Hash ist immer derselbe, denn sonst könnten die Daten ja nicht sofort verfügbar sein, Ergo wissen die an Hand des Hashes immer das Herr Nixdoof, Herr Maier etc die letzte PC-Welt Raubkopie in seinem Postfach auf dem Server hat. Die Verschlüsselung hilft nur den Transport schwerer lesbar zu machen 😉
Super, einfach mal Danke für solche Beiträge. Immer wieder nützlich 🙂
@Christoph:
Also, ich hab mir jetzt das Cryptree und die anderen Dokumente durchgelesen.
Die Verschlüsselung funktioniert also etwa so:
– Dein „root“-Verzeichnis wird mit deinem eigenen (unique) Key verschlüsselt, der sich aus Benutzername und Passwort herleitet.
– Wenn du auf dieses Verzeichnis (und alle Dateien darin) zugreifen willst, so brauchst du zwingend den Key
– So geht das weiter in alle Subdirectories.
– Die einzelnen Dateien innerhalb der Verzeichnisse werden hingegen nur mit dem Hash des Inhalts verschlüsselt und sind deswegen auch über Verzeichnisse hinweg kopierbar ohne erneuten Upload.
– Heißt: Alle Dateien sind verschlüsselt gespeichert, Dateien aber nur mit dem Hashkey der Datei. Du kommst aber trotzdem nicht daran, denn um auf das Verzeichnis zugreifen zu können (das Verzeichnis zu entschlüseln) brauchst du erst deinen Privatekey.
Ich denke, das ist eigentlich eine ideale Lösung und hat eigentlich nur eine minimale Sicherheitslücke: Wenn einer die Wuala-Festplatte hackt und dein Verzeichnispasswort knackt, dann kennt er auch alle Dateien darin. Nicht jede Datei müsste er dann einzeln entschlüsseln sondern nur das komplette Verzeichnis.
Danke, das bestätigt mein jüngstes Verständnis.
Die Dateien werden quasi nur zwecks anonymer Verteilung verschlüsselt (damit niemand anhand der parts sehen kann, was sich drin befindet.
Sooooo minimal find ich die Sicherheitslücke allerdings nicht
1) Bspw Dateien mit sensiblem Inhalt werden als ganzes auf dem Wuala Server gespeichert und könnten anhand des (in den Metadaten befindlichen Hashes) entschlüsselt werden.
2) Es scheint eine eindeutige Zuordnung zwischen Datei und User (EMail) zu bestehen, anders kann ich mir jüngst verschickte Mails seitens Wuala nicht erklären:
„..
Lieber ********, (anm. meinerseits anonymisiert)
Wir haben bemerkt, dass Sie Ihr Konto überschritten. Sie lagern derzeit mehr Dateien als Ihre Quote erlaubt.
…
Bitte erhöhen Sie Ihre Quote innerhalb der nächsten 10 Tage oder löschen Sie einige Dateien. Wenn wir nichts von Ihnen hören, werden wir den Zugriff auf Ihre Daten zu blockieren.
Zögern Sie nicht uns zu kontaktieren, wenn Sie irgendwelche Fragen (support@wuala.com) haben.“
=> (Zusammenfassend)
– eindeutige Zuordnung der Dateien zum User OHNE Verschlüsselung
– lt obiger Feststellung ist ein Decrypt der Dateien serverseitig ohne Kenntnis des Passworts des Users möglich.
– Verschlüsselung dient wahrscheinlich (?) ausschliesslich der anonymisierten Verteilung. Der Grundstorage könnte genausogut unverschlüsselt laufen; sprich, wenn behördliche Anordnung bestünde, die Dateien eines Users X offen zu legen, wäre das ohen weiteres machbar.
Ohne die jüngsten AGB Änderungen wäre diese Erkenntnis wahrscheinlich nicht so schnell möglich gewesen.
Dazu kommt dann eben noch, dass Wuala nicht Open Source ist, was zumindest vermuten lässt, dass dort irgendwo was nicht ganz so läuft, wie oberflächlich versprochen.
„Und übrigens steht hier (http://bugs.wuala.com/view.php?id=1826#c12440), dass das neue Dateilimit etwa bei 100GB liegen wird und im Juli/August eingeführt wird.“
*rechne* 1Mbyte/s => 27 Stunden Upload *ächz*, aber was solls. die 100GB Quota muss man erstmal haben. So richtig interessant würde es dann, wenn Wuala der S3 Cloud Konkurrenz macht…
@Christoph
Gesunde Skeptik finde ich ja gut, aber mit Deinen Verschwörungstheorien aufgrund von Vermutungen übertreibst Du es schon ein bisschen. 😉
„2) Es scheint eine eindeutige Zuordnung zwischen Datei und User (EMail) zu bestehen“
„=> (Zusammenfassend)
– eindeutige Zuordnung der Dateien zum User OHNE Verschlüsselung
– lt obiger Feststellung ist ein Decrypt der Dateien serverseitig ohne Kenntnis des Passworts des Users möglich.“
Ich habe mir Dein Mail-Posting jetzt mehrmals durchgelesen und kann keinen Hinweis für Deine Theorien finden. Natürlich weiß Wuala, welche Datenmenge Du gespeichert hast (allein zu Abrechnungszwecken schon nötig). Aber weshalb sie deshalb auf die einzelnen verschlüsselten Dateien zugreifen können sollen, erschließt sich mir nicht. Sie können den Zugang unterbinden und die Daten löschen, von Daten auslesen steht dort nichts.
„Dazu kommt dann eben noch, dass Wuala nicht Open Source ist, was zumindest vermuten lässt, dass dort irgendwo was nicht ganz so läuft, wie oberflächlich versprochen.“
Dass Wuala nicht Open Source ist, ist unschön, richtig. Aber Vermutungen kann man daraus erst einmal in alle oder keine Richtung anstellen. Man wird es nicht beweisen können. Dass „irgendwo was nicht ganz so läuft, wie versprochen“ ist eine leere Behauptung die diskreditieren soll. Kann stimmen, muss nicht. Nicht alles was Closed Source ist, tut automatisch böse Dinge.
BTW: Wenn man, aus nachvollziehbaren Gründen, bedenken gegenüber Closed Source SW hat, sollte man sie vielleicht einfach nicht nutzen. Warum mit Details aufhalten und wilde Vermutungen anstellen?
@Christoph
zunächst: Ich würde SpiderOak empfehlen. Die machen das allermeiste besser als Wuala, auch was Privacy angeht, z.B. keine benutzerübergreifende Deduplizierung (siehe http://tinyurl.com/2uufdby )
Dennoch ist deine Schlussfolgerung nicht ganz richtig. Es funktioniert so:
1. Die Datei wird gehasht, dieser Hashwert ist dann der Schlüssel für die Verschlüsselung. Er ist das gemeinsame Geheimnis, was jeder kennen muss, der die Verschlüsselte Datei wieder entschlüsseln will.
2. Jetzt wird die Datei mit dem Hashwert verschlüsselt.
3. Von der nun verschlüsselten Datei wird wieder ein Hashwert errechnet. Dieser wird Wuala mitgeteilt, nicht der erste Hashwert, der ja geheim ist.
4. Wenn der verschlüsselte Block noch nicht bei Wuala ist, wird die Datei übertragen, sonst nicht.
Das blöde daran ist allerdings, dass Wuala von jedem Benutzer sehen kann/könnte, welche von den Dateien, die Wuala im _Klartext_ bekannt sind, welcher Benutzer hat. Z.B. „wer hat das neue Madonna-Album“ könnte Wuala beantworten, wenn sie selbst diese Dateien haben.
Ich verstehe aber nicht, was so toll daran sein soll, 17 GB für ein Jahr zu haben. Für Backups ist ein Jahr doch lächerlich. Danach hat man doch wieder nur 1GB und muss entweder zahlen oder schon wieder wechseln. Ich würde direkt SpiderOak nehmen, die Deduplizieren pro Account, das auch Blockweise und berechnen nur den komprimierten, deduplizierten Verbrauch.
@erklär-bär:
Ich könnte mir für meine eigene Dummmheit in den A… treten.
Dass das so funktioniert hätte ich mir auch selbst denken können. Ich hoffe, dass es nicht nur theoretisch so ist 😉
@caschy
Spideroak wäre mal ein Review Wert. Ich habe da noch nie was von gehört, das Ding sieht aber interessant aus
@christoph
@erklär-bär
Danke an Christoph für das aufzeigen dieses Szenarios und an bär für die Aufklärung. Man sieht dass hier auch sachliche und informative Kommentare geben kann. Das ist echter Mehrwert statt sinnloses gemeckere!