«Wuala»-Sicherheitsrisiko infolge «Geheimantwort»
Montag, 15. Oktober 2007 um 18:25 Uhr«Wuala, Ihre Online-Festplatte – Wuala ist eine neue Art, wie man Dateien im Internet speichern, teilen und veröffentlichen kann. Kostenlos, einfach und sicher.»
… schreibt «Wuala» auf Ihrer Website und dank einer Einladung konnte ich einen ersten Blick auf die aktuelle Alpha-Version von «Wuala» werfen. Im Bezug auf die Sicherheit von «Wuala» ist mir beim erwähnten ersten Blick folgende Schwäche aufgefallen:
Beim Erstellen des Benutzerkontos zeigt «Wuala» erfreulicherweise an, wie stark das gewählte Passwort ist. Leider verlangt «Wuala» aber gleichzeitig die Eingabe einer «geheimen Antwort», die nicht einem starken Passwort entsprechen muss. Je nach gewählter «geheimer Antwort» kann diese damit ein Sicherheitsrisiko darstellen.
Man benötigt wie oben angedeutet eine Einladung um «Wuala» ausprobieren zu können. Wer eine solche Einladung möchte, kann sich direkt bei «Wuala» darum bewerben oder hier einen Kommentar hinterlassen – s’hät solang’s hät!
Wichtig: Wer an «Wuala» interessiert ist, sollte über einen leistungsfähigen Computer – «Wuala» basiert auf JAVA und ist entsprechend leistungshungrig – und eine schnelle Internet-Verbindung verfügen. Ebenso handelt es sich bei «Wuala» noch um Alpha-Software, das heisst sie funktioniert zwar schon ganz leidlich, kann aber durchaus noch Fehler enthalten.
Wer «Wuala» noch nicht selbst ausprobieren möchte, sich aber dennoch dafür interessiert, kann am Samstag, 20. Oktober 2007 in Zürich das BlogCampSwitzerland 2.0 besuchen – gemäss dem BlogCamp-Wiki soll eine Demonstration von «Wuala» stattfinden. Wer keine Zeit findet, das Zürcher BlogCamp zu besuchen, findet im Blog von Stephanie Booth einen Beitrag über die «Wuala»-Präsentation am BarCamp Lausanne von Ende September 2007.
Nachtrag: Luzius Meisser von «Wuala» hat freundlicherweise per Kommentar ausgeführt, wie das Verfahren rund um Geheimfrage/-antwort funktioniert.
Montag, 15. Oktober 2007 um 18:34 Uhr
die “sicherheits” fragen finde ich schon immer bescheuert ich finde es besser wenn man sich das passwort sich wieder zuschiken lasse kann per email.
Ausprobieren würde ichs aber schon mal gerne
Montag, 15. Oktober 2007 um 18:50 Uhr
Leider ist auch diese Methode mit Sicherheitsrisiken verbunden… mich stört die Sicherheitsfrage/-antwort per se nicht, aber sie sollte freiwillig sein und von der Sicherheit her dem gewählten Passwort entsprechen müssen – letztlich ist ja nicht die Sicherheitsfrage/-antwort das Problem, sondern die Tatsache, dass üblicherweise eine schwache Antwort gewählt wird.
Deine Einladung ist unterwegs!
Montag, 15. Oktober 2007 um 18:53 Uhr
cool danke für die einladung!
ja die mail Methode ist zwar nicht viel sichere aber mit der frage muss man sich noch mehr merken und ich habe schon genug passwörter und zeugs…
Montag, 15. Oktober 2007 um 21:21 Uhr
Ich hoffe, die Entwickler von Wua.la können besser programmieren als schreiben!
Schade finde ich, dass die .com-Domain nicht funktioniert. Ich frage mich auch, ob die Verwendung einer laotischen Domain (.la) nicht riskant ist. Funktioniert Wua.la auch noch ohne diese Domain?
Interessant finde ich hingegen, dass Wuala Amazon S3 nutzt.
Montag, 15. Oktober 2007 um 21:54 Uhr
Inzwischen konnte ich «Wuala» etwas ausführlicher testen und kann ein positives Zwischenfazit ziehen, auch wenn sich natürlich noch viele Fragen stellen, auch zum Geschäftsmodell und Problemen rund um File Sharing im Allgemeinen («Keine Piraterie») … positiv ist insbesondere, dass man seine eigene Internet-Bandbreite vollständig ausnützen kann, sowohl beim Upload als auch beim Download. Nachfolgend drei Screenshots von heute Abend:
Negativ hingegen sind der Leistungshunger der «Wuala»-Software, deren proprietäre Natur und die Beschränkung auf lediglich ein GB Speicherplatz. Da «Wuala» meine Internetverbindung als ungeeignet bezeichnet um zusätzlichen Speicher «zu verdienen» – vermutlich eine Folge von NAT –, kann ich daran selbst leider auch nichts ändern. Ich hoffe, «Wuala» wird in späteren Versionen NAT-PMP unterstützen, damit man auch hinter einem NAT-Router Speicher «verdienen» kann.
Montag, 15. Oktober 2007 um 22:55 Uhr
P.S.: Weitere Einladungen sind bei http://www.donrivas.ch/2007/09.....gsbericht/ erhältlich …
Dienstag, 16. Oktober 2007 um 8:54 Uhr
Zur Geheimen Frage: um das Passwort wiederherstellen zu können, braucht man nicht nur die Antwort auf die geheime Frage, sondern auch einen langen Sicherheitscode, der bei uns deponiert beim erstellen des Accounts deponiert wird und den wird bei Bedarf an die angegebene Email-Adresse schicken.
Das heisst: die Antwort auf die geheime Frage zu erraten genügt nicht, um sich Zugang zu einem Account verschaffen zu können (ausser für uns, die Betreiber von Wuala, da wir den Sicherheitscode gespeichert haben). Die ist unseres Erachtens die beste Möglichkeit, wie wir einerseits hohe Sicherheit und Datenschutz (das Passwort selbst verlässt den eigenen Computer nie) bieten können, andererseits aber auch nicht alle Daten verloren sind, falls der Benutzer sein Passwort vergisst.
Ich hoffe, damit sind diese Frage nun etwas klarer.
Dienstag, 16. Oktober 2007 um 9:07 Uhr
Zur Internetverbindung (diesmal hoffentlich ohne all die kleinen Rechtschreibfehler wie im letzten Kommentar
): Wenn man auf dem NAT-Router Port-Forwarding auf den in den Wuala-Einstellungen angegebenen Port einrichtet, sollte die Verbindung als geeignet erkannt werden. Voraussetzung ist allerdings zur Zeit noch, dass der Router Loopback unterstützt. Ab dem nächsten Sonntagsupdate wird Loopback allerdings nicht mehr nötig sein.
Falls die Nachfrage nach NAT-PMP gross ist, werden wir auch das bei Gelegenheit ins Auge fassen.
Dienstag, 16. Oktober 2007 um 13:30 Uhr
Vielen Dank für Deine Erklärungen, Luzius!
Gut gelöst!
Schritt für Schritt sieht das Verfahren für den Benutzer wie folgt aus:
1. Wer sein Passwort vergessen hat, muss sich gegenüber «Wuala» per Benutzername oder E-Mail-Adresse identifizieren;
2. «Wuala» sendet einen «Password Recovery Code» an die bei «Wuala» gespeicherte E-Mail-Adresse;
3. Durch Eingabe von «Password Recovery Code» und Geheimantwort gelangt man zum Dialog für ein neues Passwort (leider ohne Angaben zur Passwortstärke, wie übrigens in den «Wuala»-Einstellungen auch; eine neue Geheimfrage/-antwort lässt sich nicht definieren).
Ich weiss nicht, wie gross die Nachfrage danach ist, aber meine Erfahrungen mit anderen P2P-Applikationen zeigen, dass viele Benutzer den Komfort von UPnP und/oder NAT-PMP schätzen, auch wenn damit Sicherheitsprobleme verbunden sind.
(Wer mit NAT, usw. nichts anfangen kann, findet bei «mobileMacs» zwei lesenswerte Blogeinträge zum Thema: http://www2.mobile-macs.de/200.....ation.html und http://www2.mobile-macs.de/200.....m-mac.html.)
Bei mir funktioniert das Port Forwarding übrigens nicht, trotz aktiviertem Loopback, was aber an meiner Konfiguration liegen kann … sollte das Problem mit der erwähnten neuen Version vom Sonntag immer noch bestehen, mache ich mich auf die Fehlersuche!
Mittwoch, 17. Oktober 2007 um 18:24 Uhr
Hmmh, auch wenn ich kein Freund von Java-Applikationen bin, habe ich mal etwas mit Wuala herumprobiert, zumal die Idee ganz interessant ist…
Abgesehen von diversen Abstürzen und seltsamen Fehlermeldungen (es ist nunmal eine Alpha, das ist also zu erwarten) versteh ich die “Messung” der Onlinezeit nicht so ganz…!? Mein Computer ist mehr oder weniger 24/7 online und an…aber die Grafik zeigt irgendwie gar nichts an…!? Und auch in den Einstellungen findet sich ein rotes Kreuz statt eines grünen Häkchens…!?
Naja, mal sehen…kann ja noch werden…
Ach ja, die Sache mit dem Portmap will bei mir irgendwie auch nicht so recht…!
Mittwoch, 17. Oktober 2007 um 21:00 Uhr
Zur Onlinezeit, siehe http://wua.la/de/kb/2#id000101 … mit Fehlermeldungen hatte ich glücklicherweise nicht zu kämpfen, aber wie oben erwähnt hält «Wuala» meine Verbindung trotz NAT mit Loopback und Port Mapping für ungeeignet. Ich hoffe, die für Sonntag angekündigte neue Version bringt eine Lösung für dieses Problem!
Mittwoch, 17. Oktober 2007 um 21:11 Uhr
Okay, das mit dem einen Monat “Anlaufzeit” hatte ich tatsächlich überlesen, Danke…!
Meine Verbindung wird zwar als “geeignet” angezeigt, aber beim Versuch, portmap zu installiere, scheitert das Programm jedesmal wieder…
Freitag, 19. Oktober 2007 um 12:47 Uhr
[...] Samstag, 20. Oktober 2007 findet wie im Zusammenhang mit «Wuala» schon erwähnt das zweite Schweizer BlogCamp statt; erwartet werden 100+ Geeks, Nerds und sonstige Blogger, viele [...]
Donnerstag, 25. Oktober 2007 um 11:18 Uhr
Bei neuerdings.com gibt es jetzt auch Einladungen, 200 sogar!
http://neuerdings.com/2007/10/.....nladungen/
Donnerstag, 25. Oktober 2007 um 11:30 Uhr
Leider hält «Wuala» meine Internet-Verbindung weiterhin für ungeeignet und ich kann keinen Speicherplatz zur Verfügung stellen. Damit ist «Wuala für ich vorläufig aus dem Rennen, denn 1 GB Speicherplatz erhält man auch anderswo und selbst verschlüsseln muss ich die Daten ja auch.
Donnerstag, 25. Oktober 2007 um 12:17 Uhr
@MacMacken
Schade, darf ich fragen was Wuala für eine Diagnose stellt beim Verbindungstest in den Einstellungen? Bei mir heisst’s zB (mit zensurierter IP Adresse):
Analyzing Connection…
Got answer from Ping Server A, your external adress is [IP-Adresse]
Got answer from Ping Server B, your external adress is [IP-Adresse]
[IP-Adresse] accepts incoming connections.
Loopback test passed
was gut ist.
> und selbst verschlüsseln muss ich die Daten ja auch.
Wieso denn? Wuala verschlüsselt alles automatisch, was man darin speichert.
Donnerstag, 25. Oktober 2007 um 13:57 Uhr
… bitte beachte die Verwendung von «vorläufig» – früher oder später dürfte «Wuala» ja das Alpha-Stadium verlassen.
Beim Verbindungstest erhalte ich folgendes Ergebnis:
Prüfe Verbindung…
Externe Adresse gemäss Server A: [IP-Adresse]
Externe Adresse gemss Server B: [IP-Adresse]
[IP-Adresse] akzeptiert keine eingehenden Verbindungen.
Loopback fehlgeschlagen
Vertrauen ist gut, Kontrolle ist besser … die eigene Verschlüsselung kann ich problemlos verifizieren und muss nicht Versprechungen, usw. vertrauen – das gilt übrigens nicht nur für «Wuala», sondern ganz generell.
Donnerstag, 15. November 2007 um 10:12 Uhr
Ich nutze jetzt Wuala ab und zu. Leider kann ich das Programm nicht beenden, es bleibt hängen. Schiesse ich es ab, erhalte ich eine Java 1.5 Error Message.
(Aktuelle Wuala-Version, OS X Leopard).
Dienstag, 20. November 2007 um 5:46 Uhr
[...] ist eine neuartige P2P-Anwendung um Daten im Internet zu sichern und zu teilen – unter anderem wurde die Anwendung kürzlich am Zürcher BlogCamp präsentiert. [...]
Mittwoch, 5. Dezember 2007 um 16:57 Uhr
Habe auch noch Einladungen zu vergeben, wer welche braucht, meldet sich unter knub[at]jubii[dot]de .
Montag, 31. Dezember 2007 um 19:25 Uhr
hallo,
hab gerade das 1.mal von wuala gehört und hätte gerne auch eine einladung.
lässt sich das machen? wenn ja, dann vielen dank!
gruss,
peter
Montag, 31. Dezember 2007 um 19:32 Uhr
Klar, eine Einladung ist an die E-Mail-Adresse, die Du zum Kommentieren verwendet hast, unterwegs – viel Spass!
Montag, 31. Dezember 2007 um 21:25 Uhr
Wie kann ich das Wuala-Laufwerk im Finder anzeigen lassen?
Dienstag, 1. Januar 2008 um 4:17 Uhr
Auf diese Frage weiss ich leider keine Antwort. Hast Du Deine Frage schon unter http://getsatisfaction.com/wuala gestellt?
Dienstag, 1. Januar 2008 um 22:43 Uhr
danke, einladung hat funktioniert!
Donnerstag, 31. Januar 2008 um 9:39 Uhr
Mich begeistert die Idee seine Daten online zu speichern und sie somit überall wo Internet ist, parat zu haben. Leider bekam ich auf die Anfrage per Mail bei Wuala keine Einladung. Evtl klappt es ja auf diesem Wege.
Donnerstag, 31. Januar 2008 um 12:31 Uhr
@BK: Deine Einladung ist unterwegs … eine weitere Möglichkeit um Deine Daten online speichern zu können wäre übrigens «Amazon S3» – zwar kostenpflichtig, aber dafür mit klaren Konditionen und sehr ausgereift.
Dienstag, 5. Februar 2008 um 14:37 Uhr
Hey, ich bin eben auf Wuala gestoßen und würde das auch mal gerne ausprobieren. Hättest du noch eine Einladung für mich?
Grüße, Florian
Dienstag, 5. Februar 2008 um 14:47 Uhr
@Florian: Klar, Deine Einladung ist unterwegs!
Mittwoch, 13. Februar 2008 um 0:04 Uhr
Ich wäre auch herzlich gerne dabei.
Darf ich Dich auch um eine Einladung bitten?
Grüsse Patrick
Mittwoch, 13. Februar 2008 um 0:09 Uhr
@Patrick: Du müsstest Deine Einladung inzwischen erhalten haben – viel Spass mit «Wuala»!
Mittwoch, 27. Februar 2008 um 10:42 Uhr
Hallo,ich hätte auch gerne eine Einladung.Würde Wuala auch gerne mal ausprobieren.
Danke schon im vorraus.
Gruß Rene
Mittwoch, 27. Februar 2008 um 11:04 Uhr
@Rene: Deine Einladung ist per E-Mail unterwegs!
Mittwoch, 27. Februar 2008 um 12:59 Uhr
Danke schön
Mittwoch, 27. Februar 2008 um 18:16 Uhr
wie kann man paswort ändern ohne geheimantwort und passwort
Montag, 3. März 2008 um 18:37 Uhr
Hallo, würde mich auch sehr über eine Einladung freuen.
Grüsse DGL
Montag, 3. März 2008 um 20:56 Uhr
Deine Einladung ist per E-Mail unterwegs!
Montag, 3. März 2008 um 20:57 Uhr
Du hast sowohl Dein Passwort als auch Deine Geheimantwort vergessen?
Montag, 3. März 2008 um 21:42 Uhr
Besten Dank!!!
Grüsse DGL
Dienstag, 4. März 2008 um 18:54 Uhr
Hallo,
ich würde wuala auch gerne ausprobieren.
Klingt spannend.
Grüsse
Donnerstag, 6. März 2008 um 10:30 Uhr
Habe noch 5 Einladungen zu vergeben!
E-Mail an: k.klein@netcologne.de
Im Betreff bitte Wuala-Freund eingeben !
Wer zuerst mailt……
Viel Erfolg