« iTunes- und QuickTime-Schmuggel per Apple Software Update
Kein Löschen mit Spotlight »

«Wuala»-Sicherheitsrisiko infolge «Geheimantwort»

Montag, 15. Oktober 2007 um 18:25 Uhr

«Wuala, Ihre Online-Festplatte – Wuala ist eine neue Art, wie man Dateien im Internet speichern, teilen und veröffentlichen kann. Kostenlos, einfach und sicher.»

schreibt «Wuala» auf Ihrer Website und dank einer Einladung konnte ich einen ersten Blick auf die aktuelle Alpha-Version von «Wuala» werfen. Im Bezug auf die Sicherheit von «Wuala» ist mir beim erwähnten ersten Blick folgende Schwäche aufgefallen:

Beim Erstellen des Benutzerkontos zeigt «Wuala» erfreulicherweise an, wie stark das gewählte Passwort ist. Leider verlangt «Wuala» aber gleichzeitig die Eingabe einer «geheimen Antwort», die nicht einem starken Passwort entsprechen muss. Je nach gewählter «geheimer Antwort» kann diese damit ein Sicherheitsrisiko darstellen.

Man benötigt wie oben angedeutet eine Einladung um «Wuala» ausprobieren zu können. Wer eine solche Einladung möchte, kann sich direkt bei «Wuala» darum bewerben oder hier einen Kommentar hinterlassen – s’hät solang’s hät!

Wichtig: Wer an «Wuala» interessiert ist, sollte über einen leistungsfähigen Computer – «Wuala» basiert auf JAVA und ist entsprechend leistungshungrig – und eine schnelle Internet-Verbindung verfügen. Ebenso handelt es sich bei «Wuala» noch um Alpha-Software, das heisst sie funktioniert zwar schon ganz leidlich, kann aber durchaus noch Fehler enthalten.

Wer «Wuala» noch nicht selbst ausprobieren möchte, sich aber dennoch dafür interessiert, kann am Samstag, 20. Oktober 2007 in Zürich das BlogCampSwitzerland 2.0 besuchengemäss dem BlogCamp-Wiki soll eine Demonstration von «Wuala» stattfinden. Wer keine Zeit findet, das Zürcher BlogCamp zu besuchen, findet im Blog von Stephanie Booth einen Beitrag über die «Wuala»-Präsentation am BarCamp Lausanne von Ende September 2007.

Nachtrag: Luzius Meisser von «Wuala» hat freundlicherweise per Kommentar ausgeführt, wie das Verfahren rund um Geheimfrage/-antwort funktioniert.

Blogeinträge zu ähnlichen Themen

Endlosschleife mit Wuala
Antivirus-Software als Sicherheitsrisiko
iTunes-Schwächeanfall infolge Podcast
Mac mit Schlafstörungen infolge Suriphobie
Little Snitch obsolet infolge GlimmerBlocker

45 Kommentare zu ««Wuala»-Sicherheitsrisiko infolge «Geheimantwort»»

  1. MacMacken » Geeks, Nerds & Co. am BlogCampSwitzerland 2.0 sagt:
    Freitag, 19. Oktober 2007 um 12:47

    [...] Samstag, 20. Oktober 2007 findet wie im Zusammenhang mit «Wuala» schon erwähnt das zweite Schweizer BlogCamp statt; erwartet werden 100+ Geeks, Nerds und sonstige Blogger, viele [...]

    Antworten
  2. MacMacken » Endlosschleife mit Wuala sagt:
    Dienstag, 20. November 2007 um 5:46

    [...] ist eine neuartige P2P-Anwendung um Daten im Internet zu sichern und zu teilen – unter anderem wurde die Anwendung kürzlich am Zürcher BlogCamp präsentiert. [...]

    Antworten
  3. MacMacken » Dropbox-Sicherheit ist Benutzersache sagt:
    Dienstag, 13. Januar 2009 um 4:27

    [...] anonymer MacMacken-Benutzer empfahl per Blogkommentar Dropbox als Alternative zu Wuala – beide Programme ermöglichen das Speichern und Teilen von Daten [...]

    Antworten
  1. nick sagt:
    Montag, 15. Oktober 2007 um 18:34

    die “sicherheits” fragen finde ich schon immer bescheuert ich finde es besser wenn man sich das passwort sich wieder zuschiken lasse kann per email.

    Ausprobieren würde ichs aber schon mal gerne :)

    Antworten
  2. MacMacken sagt:
    Montag, 15. Oktober 2007 um 18:50

    die “sicherheits” fragen finde ich schon immer bescheuert ich finde es besser wenn man sich das passwort sich wieder zuschiken lasse kann per email.

    Leider ist auch diese Methode mit Sicherheitsrisiken verbunden… mich stört die Sicherheitsfrage/-antwort per se nicht, aber sie sollte freiwillig sein und von der Sicherheit her dem gewählten Passwort entsprechen müssen – letztlich ist ja nicht die Sicherheitsfrage/-antwort das Problem, sondern die Tatsache, dass üblicherweise eine schwache Antwort gewählt wird.

    Ausprobieren würde ichs aber schon mal gerne :)

    Deine Einladung ist unterwegs!

    Antworten
  3. nick sagt:
    Montag, 15. Oktober 2007 um 18:53

    cool danke für die einladung!

    ja die mail Methode ist zwar nicht viel sichere aber mit der frage muss man sich noch mehr merken und ich habe schon genug passwörter und zeugs…

    Antworten
  4. Yangze Man sagt:
    Montag, 15. Oktober 2007 um 21:21

    Dieses System besteht aus der Wuala Kundensoftware, der Wuala Webseite und dem Wuala Netzwerk (nachfolgend zusammengefasst “Wuala”).

    Ich hoffe, die Entwickler von Wua.la können besser programmieren als schreiben!

    Schade finde ich, dass die .com-Domain nicht funktioniert. Ich frage mich auch, ob die Verwendung einer laotischen Domain (.la) nicht riskant ist. Funktioniert Wua.la auch noch ohne diese Domain?

    Interessant finde ich hingegen, dass Wuala Amazon S3 nutzt.

    Antworten
  5. MacMacken sagt:
    Montag, 15. Oktober 2007 um 21:54

    Inzwischen konnte ich «Wuala» etwas ausführlicher testen und kann ein positives Zwischenfazit ziehen, auch wenn sich natürlich noch viele Fragen stellen, auch zum Geschäftsmodell und Problemen rund um File Sharing im Allgemeinen («Keine Piraterie») … positiv ist insbesondere, dass man seine eigene Internet-Bandbreite vollständig ausnützen kann, sowohl beim Upload als auch beim Download. Nachfolgend drei Screenshots von heute Abend:

    Negativ hingegen sind der Leistungshunger der «Wuala»-Software, deren proprietäre Natur und die Beschränkung auf lediglich ein GB Speicherplatz. Da «Wuala» meine Internetverbindung als ungeeignet bezeichnet um zusätzlichen Speicher «zu verdienen» – vermutlich eine Folge von NAT –, kann ich daran selbst leider auch nichts ändern. Ich hoffe, «Wuala» wird in späteren Versionen NAT-PMP unterstützen, damit man auch hinter einem NAT-Router Speicher «verdienen» kann.

    Antworten
  6. MacMacken sagt:
    Montag, 15. Oktober 2007 um 22:55

    P.S.: Weitere Einladungen sind bei http://www.donrivas.ch/2007/09.....gsbericht/ erhältlich … :)

    Antworten
  7. Luzius (Wuala engineer) sagt:
    Dienstag, 16. Oktober 2007 um 8:54

    Zur Geheimen Frage: um das Passwort wiederherstellen zu können, braucht man nicht nur die Antwort auf die geheime Frage, sondern auch einen langen Sicherheitscode, der bei uns deponiert beim erstellen des Accounts deponiert wird und den wird bei Bedarf an die angegebene Email-Adresse schicken.

    Das heisst: die Antwort auf die geheime Frage zu erraten genügt nicht, um sich Zugang zu einem Account verschaffen zu können (ausser für uns, die Betreiber von Wuala, da wir den Sicherheitscode gespeichert haben). Die ist unseres Erachtens die beste Möglichkeit, wie wir einerseits hohe Sicherheit und Datenschutz (das Passwort selbst verlässt den eigenen Computer nie) bieten können, andererseits aber auch nicht alle Daten verloren sind, falls der Benutzer sein Passwort vergisst.

    Ich hoffe, damit sind diese Frage nun etwas klarer.

    Antworten
  8. Luzius (Wuala engineer) sagt:
    Dienstag, 16. Oktober 2007 um 9:07

    Zur Internetverbindung (diesmal hoffentlich ohne all die kleinen Rechtschreibfehler wie im letzten Kommentar :) ): Wenn man auf dem NAT-Router Port-Forwarding auf den in den Wuala-Einstellungen angegebenen Port einrichtet, sollte die Verbindung als geeignet erkannt werden. Voraussetzung ist allerdings zur Zeit noch, dass der Router Loopback unterstützt. Ab dem nächsten Sonntagsupdate wird Loopback allerdings nicht mehr nötig sein.
    Falls die Nachfrage nach NAT-PMP gross ist, werden wir auch das bei Gelegenheit ins Auge fassen.

    Antworten
  9. MacMacken sagt:
    Dienstag, 16. Oktober 2007 um 13:30

    Vielen Dank für Deine Erklärungen, Luzius!

    Zur Geheimen Frage: um das Passwort wiederherstellen zu können, braucht man nicht nur die Antwort auf die geheime Frage, sondern auch einen langen Sicherheitscode, der bei uns deponiert beim erstellen des Accounts deponiert wird und den wird bei Bedarf an die angegebene Email-Adresse schicken

    Gut gelöst! :)

    Schritt für Schritt sieht das Verfahren für den Benutzer wie folgt aus:

    1. Wer sein Passwort vergessen hat, muss sich gegenüber «Wuala» per Benutzername oder E-Mail-Adresse identifizieren;
    2. «Wuala» sendet einen «Password Recovery Code» an die bei «Wuala» gespeicherte E-Mail-Adresse;
    3. Durch Eingabe von «Password Recovery Code» und Geheimantwort gelangt man zum Dialog für ein neues Passwort (leider ohne Angaben zur Passwortstärke, wie übrigens in den «Wuala»-Einstellungen auch; eine neue Geheimfrage/-antwort lässt sich nicht definieren).

    Wenn man auf dem NAT-Router Port-Forwarding auf den in den Wuala-Einstellungen angegebenen Port einrichtet, sollte die Verbindung als geeignet erkannt werden. Voraussetzung ist allerdings zur Zeit noch, dass der Router Loopback unterstützt. Ab dem nächsten Sonntagsupdate wird Loopback allerdings nicht mehr nötig sein.
    Falls die Nachfrage nach NAT-PMP gross ist, werden wir auch das bei Gelegenheit ins Auge fassen.

    Ich weiss nicht, wie gross die Nachfrage danach ist, aber meine Erfahrungen mit anderen P2P-Applikationen zeigen, dass viele Benutzer den Komfort von UPnP und/oder NAT-PMP schätzen, auch wenn damit Sicherheitsprobleme verbunden sind.

    (Wer mit NAT, usw. nichts anfangen kann, findet bei «mobileMacs» zwei lesenswerte Blogeinträge zum Thema: http://www2.mobile-macs.de/200.....ation.html und http://www2.mobile-macs.de/200.....m-mac.html.)

    Bei mir funktioniert das Port Forwarding übrigens nicht, trotz aktiviertem Loopback, was aber an meiner Konfiguration liegen kann … sollte das Problem mit der erwähnten neuen Version vom Sonntag immer noch bestehen, mache ich mich auf die Fehlersuche! ;)

    Antworten
  10. MILE sagt:
    Mittwoch, 17. Oktober 2007 um 18:24

    Hmmh, auch wenn ich kein Freund von Java-Applikationen bin, habe ich mal etwas mit Wuala herumprobiert, zumal die Idee ganz interessant ist…

    Abgesehen von diversen Abstürzen und seltsamen Fehlermeldungen (es ist nunmal eine Alpha, das ist also zu erwarten) versteh ich die “Messung” der Onlinezeit nicht so ganz…!? Mein Computer ist mehr oder weniger 24/7 online und an…aber die Grafik zeigt irgendwie gar nichts an…!? Und auch in den Einstellungen findet sich ein rotes Kreuz statt eines grünen Häkchens…!?

    Naja, mal sehen…kann ja noch werden…

    Ach ja, die Sache mit dem Portmap will bei mir irgendwie auch nicht so recht…!

    Antworten
  11. MacMacken sagt:
    Mittwoch, 17. Oktober 2007 um 21:00

    Zur Onlinezeit, siehe http://wua.la/de/kb/2#id000101 … mit Fehlermeldungen hatte ich glücklicherweise nicht zu kämpfen, aber wie oben erwähnt hält «Wuala» meine Verbindung trotz NAT mit Loopback und Port Mapping für ungeeignet. Ich hoffe, die für Sonntag angekündigte neue Version bringt eine Lösung für dieses Problem!

    Antworten
  12. MILE sagt:
    Mittwoch, 17. Oktober 2007 um 21:11

    Okay, das mit dem einen Monat “Anlaufzeit” hatte ich tatsächlich überlesen, Danke…!

    Meine Verbindung wird zwar als “geeignet” angezeigt, aber beim Versuch, portmap zu installiere, scheitert das Programm jedesmal wieder…

    Antworten
  13. Remo sagt:
    Donnerstag, 25. Oktober 2007 um 11:18

    Bei neuerdings.com gibt es jetzt auch Einladungen, 200 sogar!

    http://neuerdings.com/2007/10/.....nladungen/

    Antworten
  14. MacMacken sagt:
    Donnerstag, 25. Oktober 2007 um 11:30

    Leider hält «Wuala» meine Internet-Verbindung weiterhin für ungeeignet und ich kann keinen Speicherplatz zur Verfügung stellen. Damit ist «Wuala für ich vorläufig aus dem Rennen, denn 1 GB Speicherplatz erhält man auch anderswo und selbst verschlüsseln muss ich die Daten ja auch.

    Antworten
    • eragon sagt:
      Mittwoch, 27. Mai 2009 um 17:51

      Ich verwende den Microsoft Skydrive. Da hat man 26 GB virtueler Speicher, dass ist Kostenlos und sicher, aber man muss bei Windows Live angemeldet sein. Und man hat vom jeden Rechner drauf zugrief.
      Dass finde ich voll gut.
      Kann man bei Wuala eigentlich den Speicher kostenlos erweitern?

      Antworten
  15. Luzius (Wuala engineer) sagt:
    Donnerstag, 25. Oktober 2007 um 12:17

    @MacMacken
    Schade, darf ich fragen was Wuala für eine Diagnose stellt beim Verbindungstest in den Einstellungen? Bei mir heisst’s zB (mit zensurierter IP Adresse):

    Analyzing Connection…
    Got answer from Ping Server A, your external adress is [IP-Adresse]
    Got answer from Ping Server B, your external adress is [IP-Adresse]
    [IP-Adresse] accepts incoming connections.
    Loopback test passed

    was gut ist. :)

    > und selbst verschlüsseln muss ich die Daten ja auch.
    Wieso denn? Wuala verschlüsselt alles automatisch, was man darin speichert.

    Antworten
  16. MacMacken sagt:
    Donnerstag, 25. Oktober 2007 um 13:57

    Schade, darf ich fragen was Wuala für eine Diagnose stellt beim Verbindungstest in den Einstellungen?

    … bitte beachte die Verwendung von «vorläufig» – früher oder später dürfte «Wuala» ja das Alpha-Stadium verlassen.

    Beim Verbindungstest erhalte ich folgendes Ergebnis:

    Prüfe Verbindung…
    Externe Adresse gemäss Server A: [IP-Adresse]
    Externe Adresse gemss Server B: [IP-Adresse]
    [IP-Adresse] akzeptiert keine eingehenden Verbindungen.
    Loopback fehlgeschlagen

    Wieso denn? Wuala verschlüsselt alles automatisch, was man darin speichert.

    Vertrauen ist gut, Kontrolle ist besser … die eigene Verschlüsselung kann ich problemlos verifizieren und muss nicht Versprechungen, usw. vertrauen – das gilt übrigens nicht nur für «Wuala», sondern ganz generell.

    Antworten
  17. Andi sagt:
    Donnerstag, 15. November 2007 um 10:12

    Ich nutze jetzt Wuala ab und zu. Leider kann ich das Programm nicht beenden, es bleibt hängen. Schiesse ich es ab, erhalte ich eine Java 1.5 Error Message.

    (Aktuelle Wuala-Version, OS X Leopard).

    Antworten
  18. knub sagt:
    Mittwoch, 5. Dezember 2007 um 16:57

    Habe auch noch Einladungen zu vergeben, wer welche braucht, meldet sich unter knub[at]jubii[dot]de .

    Antworten
  19. Peter P. sagt:
    Montag, 31. Dezember 2007 um 19:25

    hallo,

    hab gerade das 1.mal von wuala gehört und hätte gerne auch eine einladung.
    lässt sich das machen? wenn ja, dann vielen dank!
    gruss,
    peter

    Antworten
  20. MacMacken sagt:
    Montag, 31. Dezember 2007 um 19:32

    hab gerade das 1.mal von wuala gehört und hätte gerne auch eine einladung.
    lässt sich das machen? wenn ja, dann vielen dank!

    Klar, eine Einladung ist an die E-Mail-Adresse, die Du zum Kommentieren verwendet hast, unterwegs – viel Spass! :)

    Antworten
  21. Anonym sagt:
    Montag, 31. Dezember 2007 um 21:25

    Wie kann ich das Wuala-Laufwerk im Finder anzeigen lassen?

    Antworten
  22. MacMacken sagt:
    Dienstag, 1. Januar 2008 um 4:17

    Wie kann ich das Wuala-Laufwerk im Finder anzeigen lassen?

    Auf diese Frage weiss ich leider keine Antwort. Hast Du Deine Frage schon unter http://getsatisfaction.com/wuala gestellt?

    Antworten
  23. Peter P. sagt:
    Dienstag, 1. Januar 2008 um 22:43

    danke, einladung hat funktioniert!

    Antworten
  24. BK sagt:
    Donnerstag, 31. Januar 2008 um 9:39

    Mich begeistert die Idee seine Daten online zu speichern und sie somit überall wo Internet ist, parat zu haben. Leider bekam ich auf die Anfrage per Mail bei Wuala keine Einladung. Evtl klappt es ja auf diesem Wege.

    Antworten
  25. MacMacken sagt:
    Donnerstag, 31. Januar 2008 um 12:31

    @BK: Deine Einladung ist unterwegs … eine weitere Möglichkeit um Deine Daten online speichern zu können wäre übrigens «Amazon S3» – zwar kostenpflichtig, aber dafür mit klaren Konditionen und sehr ausgereift.

    Antworten
  26. Florian sagt:
    Dienstag, 5. Februar 2008 um 14:37

    Hey, ich bin eben auf Wuala gestoßen und würde das auch mal gerne ausprobieren. Hättest du noch eine Einladung für mich?

    Grüße, Florian

    Antworten
  27. MacMacken sagt:
    Dienstag, 5. Februar 2008 um 14:47

    @Florian: Klar, Deine Einladung ist unterwegs! :D

    Antworten
  28. Patrick sagt:
    Mittwoch, 13. Februar 2008 um 0:04

    Ich wäre auch herzlich gerne dabei.
    Darf ich Dich auch um eine Einladung bitten?

    Grüsse Patrick

    Antworten
  29. MacMacken sagt:
    Mittwoch, 13. Februar 2008 um 0:09

    @Patrick: Du müsstest Deine Einladung inzwischen erhalten haben – viel Spass mit «Wuala»! :D

    Antworten
  30. Rene sagt:
    Mittwoch, 27. Februar 2008 um 10:42

    Hallo,ich hätte auch gerne eine Einladung.Würde Wuala auch gerne mal ausprobieren.
    Danke schon im vorraus.
    Gruß Rene

    Antworten
  31. MacMacken sagt:
    Mittwoch, 27. Februar 2008 um 11:04

    @Rene: Deine Einladung ist per E-Mail unterwegs!

    Antworten
  32. Rene sagt:
    Mittwoch, 27. Februar 2008 um 12:59

    Danke schön

    Antworten
  33. maylin sagt:
    Mittwoch, 27. Februar 2008 um 18:16

    wie kann man paswort ändern ohne geheimantwort und passwort

    Antworten
  34. Das Goldene Lamm sagt:
    Montag, 3. März 2008 um 18:37

    Hallo, würde mich auch sehr über eine Einladung freuen.

    Grüsse DGL

    Antworten
  35. MacMacken sagt:
    Montag, 3. März 2008 um 20:56

    Hallo, würde mich auch sehr über eine Einladung freuen.

    Deine Einladung ist per E-Mail unterwegs! :)

    Antworten
  36. MacMacken sagt:
    Montag, 3. März 2008 um 20:57

    wie kann man paswort ändern ohne geheimantwort und passwort

    Du hast sowohl Dein Passwort als auch Deine Geheimantwort vergessen? :?:

    Antworten
  37. Das Goldene Lamm sagt:
    Montag, 3. März 2008 um 21:42

    Besten Dank!!!

    Grüsse DGL

    Antworten
  38. Ist sagt:
    Dienstag, 4. März 2008 um 18:54

    Hallo,
    ich würde wuala auch gerne ausprobieren.
    Klingt spannend.
    Grüsse

    Antworten
  39. Anonym sagt:
    Donnerstag, 6. März 2008 um 10:30

    Habe noch 5 Einladungen zu vergeben!
    E-Mail an: k.klein@netcologne.de
    Im Betreff bitte Wuala-Freund eingeben !
    Wer zuerst mailt……

    Viel Erfolg

    Antworten
  40. Anonym sagt:
    Sonntag, 11. Januar 2009 um 0:00

    falls es jemanden interessiert:
    http://www.getdropbox.com
    macht genau das gleiche und sehr zuverlässig…

    Antworten
  41. MacMacken sagt:
    Sonntag, 11. Januar 2009 um 0:09

    Wie sieht es bei DropBox mit der Sicherheit aus?

    Zum Beispiel: Kann man unabhängig von der DropBox-Software auf die gespeicherten Daten zugreifen? Verwendet DropBox verschlüsselte Verbindungen? Ermöglicht DropBox das lokale Verschlüsseln beim Benutzer?

    Antworten

Blogeintrag kommentieren!