Zusammenstellung Liste kostengünstiger sicherer Dienste

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • @"andyg" Respekt! :daumen: Klasse Arbeit!

    Die iOS-App finde ich auch ziemlich dürftig. Und auch die History (bisherige Versionen) der App sieht ziemlich mager aus. Im Gegensatz zur Desktopanwendung tut sich sehr, sehr selten etwas und auch keine riesen Erweiterungen. Wie wäre es, wenn du deine, wie ich finde berechtigten, Wünsche an Sync meldest? Vielleicht tut sich etwas.

    Zu Zero Knowledge: ja und nein zugleich. Ja, sie wissen etwas, können damit jedoch nichts anfangen. Somit sicher.

    Zu Links/Sharing: https://www.sync.com/help/link-enhanced-privacy/ und https://www.sync.com/help/compatibility-mode/

    Wurde nicht genannt, um es jedoch zu erwähnen: Vault, https://www.sync.com/help/what-is-vault-2/

  • Deg unterschied bei zweiteremist aber das Google weder den schlüssel noch das passwort für das Threema BackUp auf seinen Server hat.
    Sync hat ja das Pw für den schlüssel auf seinen servern - es ist also vertrauene gefragt.


  • Der PC-Client:

    • angenehm kleiner und kompakter Client, der im Betrieb quasi nicht auffällt
    • allerdings: ändern des Sync-Verzeichnisses über die dazu vorgesehene Funktion ergibt eine Fehlermeldung (ich möchte das zu synchronisierende Verzeichnis auf ein anderes Laufwerk verschieben - derzeit nicht möglich, zumindest nicht auf meinem PC)

    Öha... ich stelle gerade fest, dass der Sync.com-PC-Client die Änderung des Passworts erlaubt, ohne zuvor das alte Passwort eingeben zu müssen bzw. die 2FA durchzuführen... :ängstlich: Damit könnte man ja ganz einfach ausgersperrt werden?!?!

    AndyG

  • Das Passwort kann nur in der Desktopsoftware geändert werden, nicht auf einem Smartphone.

    Lösung, wie oben erwähnt: die Änderung des Passwortes am Client grundsätzlich deaktivieren, geht im Webinterface. https://www.sync.com/help/how-do-i-…on-on-a-device/


    Bedenke auch, wenn jemand Zugriff auf deinen Rechner hat, ist eh alles zu spät. Diese Person kann deine Mails im lokalen Mailclient lesen, Mails versenden, löschen und alles mögliche.

    Einmal editiert, zuletzt von mibere (2. April 2016 um 22:21)

  • Danke für die Links.

    Da steht m.E. allerdings leider auch nicht viel zu den Einzelheiten dazu drin. Vor allem die zentrale Aussage "the data may be streamed through a Sync mem-cache to help with local decryption" ist mir unverständlich - was ist denn dieser ominöse "Sync mem-cache" und wie funktioniert der? Auch die Funktionsweise der "enhanced privacy" wird mir nicht wirklich klar; es wird nur erwähnt, dass damit die Dateien lokal entschlüsselt werden - aber muss dafür nicht in irgendeiner Weise der Schlüssel, den letztlich auch ich zum Entschlüsseln dieser Datei nutze, dem Nutzer bekanntgemacht werden? Und damit allen, die den Link unterwegs wie auch immer abgegriffen haben (mitgelesene E-Mails)?

    Es ist jedoch sehr wahrscheinlich, dass ich das nur noch nicht ganz durchdrungen habe. Es scheint mir jedoch ein ganz ähnliches Verfahren zu sein, wie es auch Tresorit verwendet (sieher hier und hier) - vielleicht fällt ja dann der Groschen.
    Aber nicht mehr heute... ;)

    AndyG

  • Die haben soeben eine Mail von mir zum Sachverhalt 'Passwortänderung ohne Angabe des aktuellen Passwortes' erhalten - ich würde da gern ein Feld "Current Password" haben.

    Wie sich das beim Teilen von Dateien mit den Schlüsseln verhält ist mir auch noch nicht wirklich klar.


  • Das Passwort kann nur in der Desktopsoftware geändert werden, nicht auf einem Smartphone.
    Lösung, wie oben erwähnt: die Änderung des Passwortes am Client grundsätzlich deaktivieren, geht im Webinterface. https://www.sync.com/help/how-do-i-…on-on-a-device/

    Super, danke! Das hatte ich übersehen - hab ich gleich deaktiviert :daumen:



    Bedenke auch, wenn jemand Zugriff auf deinen Rechner hat, ist eh alles zu spät. Diese Person kann deine Mails im lokalen Mailclient lesen, Mails versenden, löschen und alles mögliche.

    Ja, das stimmt schon. Dennoch denke ich, dass alle Maßnahmen sinnvoll sind, die Angriffe "im Vorbeigehen" erschweren. Es kommt schliesslich in der Praxis oft vor, dass ein PC für einige Minuten unbeobachtet herumsteht und irgendwelche Scherzkekse potentiell zum Schindludertreiben einlädt. Muss man denen ja auch nicht allzu leicht machen...
    Aber klar, wenn es einer speziell auf jemanden abgesehen hat, dann wird's schwer bis unmöglich, das 100% wasserdicht zu bekommen...

    AndyG

    Einmal editiert, zuletzt von andyg (2. April 2016 um 22:54)

  • @"andyg"

    - auf meine Mail (zusätzliche Angabe des aktuellen Passwortes beim Passwortwechsel) habe ich, außer der Rückmeldung "We got your help request! One of our agents will respond to you as soon as possible.", noch nichts gehört

    - ich habe angefragt, ob sie ein Whitepaper wie dieses hier zur Verfügung stellen können

    - im Appstore war ich so frei und habe deine Wünsche und Kritik an der App in meine Bewertung aufgenommen


  • Auch die Funktionsweise der "enhanced privacy" wird mir nicht wirklich klar; es wird nur erwähnt, dass damit die Dateien lokal entschlüsselt werden - aber muss dafür nicht in irgendeiner Weise der Schlüssel, den letztlich auch ich zum Entschlüsseln dieser Datei nutze, dem Nutzer bekanntgemacht werden? Und damit allen, die den Link unterwegs wie auch immer abgegriffen haben (mitgelesene E-Mails)?

    Dazu habe ich noch diese Infos gefunden:

    Zitat


    Secure links

    Secure links are locked with a unique password appended to the link after the hash tag (#) in the URL. The data appended to a URL after the hash tag is called a fragment identifier, which is never transmitted or stored, meaning the password is never known to Sync. The password itself is key stretched using PBKDF2 with a high iteration count, to generate the encryption key used to unlock the link.

    Zitat


    Shared folders and collaboration

    Shared folders utilize “key wrapping” to allow files to be shared between different Sync users privately, without the need to re-encrypt the actual file data when users are added and removed from the share. Sync never has access to file data, even when being shared.

    When a new share folder is created, the unique encryption key on each file within the share is encrypted with a unique 512 bit share key that is created specifically for the share. The share key is then encrypted with the RSA 2048 public key of each user, and locked with the user’s RSA private key (which is encrypted with the user’s password).

    Zudem - hier taucht das in einem vorigen Posting erwähnte memcache auf:

    Zitat


    Single sign on (SSO)

    The Sync desktop app allows the user to log into the web panel automatically. To accomplish this securely, the desktop app generates a random one time password (OTP) which is used to encrypt the user’s 2048 bit RSA encryption keys. The encrypted encryption keys are then stored in memcache on the server for 30 seconds.

    The web panel is then loaded locally, using a unique URL (also generated locally) that contains a memcache lookup value and the OTP value.

    Quelle: https://www.sync.com/pdf/sync-privacy.pdf

    Einmal editiert, zuletzt von mibere (4. April 2016 um 14:01)


  • - auf meine Mail (zusätzliche Angabe des aktuellen Passwortes beim Passwortwechsel) habe ich, außer der Rückmeldung "We got your help request! One of our agents will respond to you as soon as possible.", noch nichts gehört


    Auch auf die Gefahr, euch zu nerven :rolleyes:, hier die Rückmeldung dazu:

    Zitat von Sync.com support


    At this time the change password function in the Desktop Agent is the only way for a customer to change their password in the event that there old one is forgotten.

    This is because we do not have access to passwords so we cannot reset them for customers.

    This is why we do not prompt for the old password.

    In terms of security, we always recommend enabling password protection on your computer. That's the most secure way to keep all of the files on your computer (not just the ones in the Sync folder) safe.

  • Danke für das Weiterleiten der Antwort zu diesem Thema!
    Ich finde sie aber nicht ganz schlüssig. Klar, sie können das Passwort nicht zurücksetzen; wenn sie das könnten, wäre das System offensichtlich kaputt (aber das war ja eigentlich gar nicht deine Frage).
    Aber das alte Passwort vor dem Setzen eines neuen Passwort zwecks Autorisierung abzufragen, das müsste schon gehen - und zwar nach demselben Verfahren wie beim normalen Einloggen, wie sie in ihrem eigenen Privacy-Whitepaper im Abschnitt "Authentication and passwords" beschreiben:

    Zitat


    "During authentication, a BCRYPT hash of the user inputted password is generated locally on the computer or device, using a unique salt that is stored on the server. Bcrypt is a one-way hashing mechanism, meaning the hash cannot be unhashed or deciphered. [...] The server authenticates against the hash"

    Es spräche doch m. E. nichts dagegen, dieses Authentifizierungs-Prozedere auch beim Passwort-Ändern durchzuführen...


    - AndyG

    Einmal editiert, zuletzt von andyg (4. April 2016 um 20:55)

  • Die fragen das alte bzw. aktuelle Passwort deswegen nicht ab, weil der Benutzer es vergessen haben könnte. Bedeutet, wenn er sein bisheriges Kennwort nicht mehr kennt, hätte er (und Sync) keine Möglichkeit ein neues zu vergeben. Diese Problematik ergibt sich jedoch nicht, eben weil sie das bisherige nicht abfragen - somit kann der Benutzer sein Kennwort ändern, selbst wenn er es vergessen hat. Gut für den Benutzer, geht jedoch zulasten der Sicherheit.

  • Vielleicht kann ein admin die spannende und informative Kommunikation der übersi@ht halber in einen eigenen Thread ala Cluudspeicher oder TresorIt/Syinc.de verschieben. So bleibt Die Liste eher eine Liste.

    Eine Nennung der Dienste unt ein Link zur Thematik genügt jaa in diesem Thread - oder?

  • Zu Sync.com habe ich soeben eine traurige Feststellung gemacht

    E-Rating: https://securityheaders.io/?q=https://cp.sync.com/

    F-Rating: https://securityheaders.io/?q=https://www.sync.com/

    Gerade das Webinterface mit Zugriff auf die Dateien (https://cp.sync.com/) müsste besser geschützt werden.


    /EDIT: Rückmeldung:

    Zitat


    Thanks for the heads up! We'll look into improving our headers. Google.com also gets an E :/

    Nur mal wieder schlecht, dass man als Anwender/Kunde darauf hinweisen muss. Und das bei einem Unternehmen, welches einem Sicherheit verkaufen will.

    Einmal editiert, zuletzt von mibere (5. April 2016 um 21:39)

  • Nochmal zu dne Tastaturen. Ich habe ja seit gut 10 Monaten die SpeedScript Tastatur im Einsatz.
    Ein paar Sachen fehlten mir immer aber ich habe gedacht, das irgendwann mal ein Update kommt. Doch bisher nichts. Weis jemand, ob die Entwickler noch an der App Arbeiten?
    Sonst schau ich mir die anderen Tastaturen die hier empfohlen wurden nochmal an.

  • Moin,
    leider @"TheDeckie" kann ich zu deiner Frage nichts sagen. Auf alle Fälle wird ja die App im PlayStore noch angeboten, also wird sie IMHO schon noch aktuell sein...

    Effektiv hab ich keine Ahnung bzgl. SpeedScript - allerdings mal eine Frage zu SwiftKey: Was spricht eigentlich dagegen, die App ohne Anmeldung zu verwenden?
    Es käme für mich sowieso nicht in Frage, dass irgendwo extern gespeichert wird, was ich alles tippe... SwiftKey an sich finde ich bzgl. Funktionen schon sehr gut - und dass jetzt sogar die deutschen Umlaute äöü als separate Tasten angezeigt werden, ist super. Allerdings hab ich mir auch schon so meine Gedanken gemacht, da ja in der Autovervollständigung auch Mailadressen und Passwörter landen können... Ist ja in fast jeder Teastatur so, und hat natürlich Vorteile.


  • und dass jetzt sogar die deutschen Umlaute äöü als separate Tasten angezeigt werden, ist super.


    Das ist sehr interessant. Die Umlauttasten vermisse ich sehr. Erst heute kam ein Update auf die Version 6.4.6.32 und Umlauttasten sind noch keine vorhanden. Bin gespannt wann die dann kommen. :)

  • Geht wohl erst ab 6.4.7.20.
    Das Update hab ich seit ein paar Tagen.
    Man muss aber die Tastatur manuell umstellen unter Sprache... Deutsch... Qwertz (erweitert)

    Getapatalked mit Z1C.

    Einmal editiert, zuletzt von Miaz (17. November 2016 um 10:06)