Zusammenstellung Liste kostengünstiger sicherer Dienste

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • @"Ingenuus" danke dir. Nach einer Alternativen Tastatur ohne Berechtigungen etc. habe ich schon ewig gesucht. Daskonzept ist auch ganz cool wie ich finde. Wenn es auch gewöhnungsbedürftig zu sein scheint. Ich werde es mal ausprobieren. :daumen:

    Edit:
    So die tastatur ist ein guter schrit nach vorne. Gibt es noch eine gute Alternative (wenig Berechtigungen, Akzeptable AGB etc.) zum Kontaktbuch und zu G-Fotos?

    Gruß TheDeckie

    Einmal editiert, zuletzt von TheDeckie (28. März 2016 um 22:04)


  • Kein Dienst, aber eine "sichere" Tastatur. Liest sich super, eine Freeware Version gibt es auch.
    und eine kostenfplichtige Version die KEINE Berechtigungen braucht.
    Schweizer Anbieter. :) Einziger Haken. Ich kann mich mir dem radikal anderen Konzept nicht anfreunden. Aber nur weil ich so ein begriffstutziger Bock bin heißt dass ja nicht dass es nicht hier jemanden gibt der genau auf DIESE Tastatur gewartet hat:
    http://www.speedscript.me/?lang=de

    Die Tastatur ist ja super! Vielen Dank für den Tipp!

  • Hackers Keyboard ist auf dem Tab perfekt, aber fürs Handy fand ich es zu klein.

    Bin momentan bei Fleksy hängengeblieben. Schön groß, mit Ziffernfeld und Wort löschen/korrigieren per Wischgeste.

  • Der Autor des o.g. Reviews hat soeben eine Mail von mir bekommen, habe nach dem aktuellen Stand der von ihm an Tresorit gemeldeten Mängel gefragt. Ob es was Neues gibt und wie die Rückmeldung seitens Tresorit war.

    Und während ich das hier tippe kommt schon seine Rückmeldung :daumen:

    Zitat

    I have been in contact with Tresorit for several months. They even reacted to this particular review. However, the sales team did not understand the problem. The technical team understood the problems, but could not give a date when they would be resolved. Last time I checked (a few weeks ago), the problems were still there.

    Einmal editiert, zuletzt von mibere (1. April 2016 um 18:41)


  • An die Tresorit-Nutzer: unter https://suchanek.name/texts/reviews/tresorit.html, Abschnitt "Issues with Tresorit" und der nachfolgende "My view", hat jemand einige Mängel und Lücken aufgewiesen. Könnt ihr etwas zu den Punkten sagen, bestehen die Probleme weiterhin?

    Habe den Review mit Interesse durchgelesen, insbesondere die 4 Punkte bezüglich Tresorit - vielen Dank für die interessante Lektüre!

    Dass ein Undelete bei Tresorit nicht möglich ist so dass man letztlich nicht gegen Ransomware geschützt ist (siehe Punkte 1 und 2 des Reviews bezüglich Tresorit) wusste ich bisher nicht - danke für den Hinweis! In meinem Basic-Account (=gratis-Variante) konnte ich tatsächlich keine entsprechende Möglichkeit für ein Undelete finden: eine gelöschte Test-Datei konnte ich nicht restaurieren, denn es gibt in dem Tresorit-Client schlicht und ergreifend kein Äquivalent zu einem Mülleimer... oder ich hab ihn nicht finden können.
    ==> Eine Undelete-Funktion sollte Tresorit m. E. implementiert werden, insbesondere in Zeiten der Ransomware...

    Punkte 3 und 4 des Tresorit-Reviews scheinen mir ebenfalls Nachbesserungsbadarf zu erfordern (Authentifizierung)

    AndyG

    Einmal editiert, zuletzt von andyg (1. April 2016 um 20:51)

  • Mhm, der Verfasser meinte ja die Probleme bestehen weiterhin :oh:

    Hast du Punkt 4 selbst getestet? Du musst dich per 2FA anmelden wenn du deinen Account über das Trayicon öffnen lässt?

    /EDIT: wie ich sehe, du hast dein Statement zu Punkt 4 geändert ;)

    Einmal editiert, zuletzt von mibere (1. April 2016 um 21:03)

  • Das Öffnen des privaten Tresorit-Bereichs im Browser erforderte die Authentifizierung über 2 Faktoren, daher dachte ich zuerst, Punkte 3 und 4 wären auch behoben. Allerdings hab ich die unter Punkten 3 und 4 erwähnten Schritte nicht im einzelnen nachgestellt (z. B. Tresor löschen etc.), daher hab ich "sicherheitshalber" erst mal keine Entwarnung gegeben. Werde ich die Tage evtl. mal testen.


    - AndyG


    EDIT: Das hat sich leider als vorschnell erwiesen. Siehe mein Folgebetrag weiter unten.

    Einmal editiert, zuletzt von andyg (1. April 2016 um 22:48)

  • Das Thema hat mir keine Ruhe gelassen und hab jetzt doch gleich weiterexperimentiert.
    Hier meine vorläufigen Erkenntnisse zu Tresorit:

    • Man kann an einem unbeaufsichtigten PC tatsächlich den persönlichen Bereich des Tresorit-Accounts im Browser öffnen und sogar Änderungen durchführen - ganz ohne weitere Authentifizierung!
      Einfach den Client über das Tray-Icon öffnen und dann "Visit my Account" anklicken. Das könne jede (!) Person/Angreifer an einem unbeaufsichtigten, nicht-gesperrten PC tun, auf dem Tresorit läuft. Es ist dem Angreifer dann nicht nur möglich, unberechtigte Einblicke in den Account zu bekommen (z.B. welche Geräte sind an den Account gekoppelt? Ist 2-Faktor-Authentifizierung aktiv und wenn ja, welche Arten davon? Wie viel des Datenkontingents ist benutzt und wie viele GB sind das; "lohnt" sich ein Angriff?). Nein, er kann sogar Änderungen vornehmen, wie beispielsweise bestimmte Devices entkoppeln ("unlink" im Bereich "Secutity") - das alles wohlgemerkt ohne (!) irgendeine weitere Authentifizierung! Dies habe ich eben nachgespielt: ich konnte tatsächlich mein iPhone von Tresorit entkoppeln (es hat nun kein Zugriff mehr auf die Tresore; ich hätte aber auch beliebige weitere Geräte entkoppeln können), ohne dass ich mich irgendwann seit Booten des PCs in irgendeiner Weise bei Tresorit authentifiziert habe. Eine derartige Modifikationen sollten m. E. unbedingt eine weitere (2-Faktor-)Authentifizierung erfordern.
      ==> hier klafft m.E. tatsächlich eine Sicherheitslücke.
      Immerhin ist es nicht möglich (zumindest nicht auf offensichtlichem Wege), auf Dateiebene im Browser zu arbeiten, also Dateien im Browser zu löschen etc. Hierzu wird zum Glück dann doch eine 2-Faktor-Authentifizierung eingefordert, immerhin...

      EDIT: eben habe ich festgestellt, dass sich sogar die 2-Faktor-Authentifizierung im Browser einfach so deaktivieren lässt...

    • Auch der Tresorit-Client verlangt keinerlei Authentifizierungen. Es ist ohne irgendwelche Hürden möglich, den Client über das Tray-Icon zu öffnen und dann die Dateien einzusehen und auch zu löschen. OK, das könnte ein Angreifer an einem unbeaufsichtigten PC auch im Explorer tun. Allerdings kann er auch ganze Tresore löschen und damit dessen Dateninhalt gänzlich aus der Cloud entfernen - wieder ohne irgendeine weitere Authentifiziering! Damit sind die Daten weg - ein Undelete gibt es nämlich auch für Tresore nicht. Auch sowas darf m. E. keinesfalls ohne einer weiteren (2-Faktor-)Authentifizierung möglich sein.
      ==> hier klafft m.E. eine weitere Sicherheitslücke!
      Es ist im Client des Weiteren möglich, dass der Angreifer für einen Tresor einen Einladungslink erstellt - und diesen dann später nutzt, um in aller Ruhe die Daten zu sichten, und zwar mit "Manager"-Rechten. Ebenfalls ohne irgendwelche Hürden möglich.


    Soweit zu meinem Kurztest, der natürlich alles andere als vollständig ist.

    Mein vorläufiges, leider etwas ernüchterndes Fazit:

    • Die oben im Thread genannte Analyse ist sehr ernst zu nehmen!
    • Wenn man Tresorit nutzt, sollte man also niemals seine Rechner unbeaufsichtigt lassen, sondern sie zumindest immer sperren! Es sind tatsächlich zumindest an unbeaufsichtigten Rechnern, auf denen der Tresorit-Client läuft, umfassende Manipulationen ohne Authentifizierung möglich!
    • Generell: 2-Faktor-Authentifizierung aktivieren

    Einmal editiert, zuletzt von andyg (1. April 2016 um 23:12)

  • Du wolltest es wohl wissen und hättest sonst nicht einschlafen können ;)

    Vielen Dank für deine Zeit, Arbeit und das Teilen deiner Ergebnisse!

    Immer wieder spannend...man findet zig Reviews, die von normalen Anwendern oder Magazinen für normale Anwender (also Review-Fokus auf Bedienung der Software) geschrieben werden und einen Dienst toll finden und empfehlen. Dann kommt einer, der mal etwas tiefer gräbt, das eine oder andere Szenario ausprobiert, Dinge hinterfragt, mal außerhalb der GUI schaut...

  • Ich muss zugeben, dass ich etwas ratlos - um nicht zu sagen enttäuscht - von dem Ergebnis dieses sehr einfachen Tests bin... und dabei bin ich ja bloss ein technisch interessierte Laie; das obige kann jeder User innerhalb von 5 Minuten selber nachvollziehen. Ich mag kaum glauben, dass sowas keinem (Fach-)Magazin etc. aufgefallen ist und mal Erwähnung findet?! Wie Du auch schon andeutest scheint die Fachpresse tatsächlich nur an der Oberfläche zu kratzen - erschreckend!

    ==> Wenn so einfache Angriffe möglich sind - wer weiss was alles möglich ist wenn sich die richtigen Profis damit erst mal befassen???

    Einmal editiert, zuletzt von andyg (1. April 2016 um 23:26)

  • Habe mir versuchsweise einen Account bei Sync.com (Referral link, +1GB für beide) erstellt und deren Client unter OS X und iOS installiert. Bisher macht es auf mich einen guten Eindruck. Webinterface, Clients, Features und Konzept gefallen mir. Gute und leicht verständliche Bedienung sowie Doku (PDF). Der Support hat schnell (<15 Minuten) bei Twitter und per Mail reagiert.

    2FA, kein direkter Zugriff der Desktopapp auf das Webinterface (2FA-geschützt), Websessions und gestohlene Geräte lassen sich im Webinterface deaktivieren, Passwortänderung in Desktopapps im Webinterface deaktivierbar.


    Zitat


    Sync’s unique, zero-knowledge storage platform guarantees your privacy by encrypting and decrypting your data client-side (on your computer or device).

    - All data (file and file meta data) is encrypted client-side and remains encrypted in transit and at rest.
    - Most importantly: the encryption keys used to encrypt and decrypt your data are only accessible client-side (by you). We cannot access your keys.
    - Your password is never stored, and only known client-side (by you).
    - Sync’s zero-knowledge encryption technology is based on open source software. You can view our browser-based source code at any time.

    Privacy White Paper

    Einmal editiert, zuletzt von mibere (2. April 2016 um 16:33)

  • Habe sync.com auch mal installiert (@Ruhe, Du müsstest nun 1 Gb zusätzliche Kapazität haben [emoji2]). Erster Eindruck ist ziemlich gut; die oben diskutierten Lücken von Tresorit hat sync.com jedenfalls nicht (aber vielleicht dafür andere, wer weiß?).
    Werde den Dienst in den kommenden Wochen jedenfalls etwas eingehender untersuchen.


  • Die Mail von Sync über ein weiteres GB habe ich bekommen. Man dankt :) Dachte mir, dass du es bist ;)
    Du müsstest dann mittlerweile ebenfalls 7 GB haben.

    Jepp, das ist korrekt, habe auch 7GB :) . Vielen Dank!

    Anbei übrigens meine allerersten Erfahrungen zu den ersten Gehversuchen mit sync.com:

    Der PC-Client:

    • angenehm kleiner und kompakter Client, der im Betrieb quasi nicht auffällt
    • allerdings: ändern des Sync-Verzeichnisses über die dazu vorgesehene Funktion ergibt eine Fehlermeldung (ich möchte das zu synchronisierende Verzeichnis auf ein anderes Laufwerk verschieben - derzeit nicht möglich, zumindest nicht auf meinem PC)


    Der Web-Client:

    • Prima, nichts auszusetzen: schnell, übersichtlich, gut nutzbare 2-Faktor-Authentifizierung (2FA) u.a. via Google Authenticator App, viele Funktionen (Löschen, Verschieben, Umbenennen, Kopieren, Link erstellen, Versionierung, Undelete.,..)


    Die iOS-App:

    • App angenehm klein (7MB vs. 80MB bei Tresorit), aber deutlich reduzierte Funktionalität im Vergleich zur Tresorit-iOS-App sowie zum sync.com-Web-Client:
    • kein Querformat-Modus
    • Fotos: es können entweder alle Fotos hochgeladen werden, oder nur einzeln. Es ist nicht möglich, eine Auswahl von z.B. zehn bestimmten Fotos auf einen Rutsch hochzuladen.
    • Dateien können nicht von anderen Apps an die sync.com-App zum Upload in die Cloud gesendet werden... ich kann also z.B. kein PDF von iOS-Safari an sync.com senden (alle anderen Cloud-Dienste, incl. Tresorit, beherrschen das)
    • iPhone geht während großer Uploads in Standby -> Abbruch des Uploads, wenn ich nicht alle 60s auf den Screen tippe...
    • Keine Datei-Operationen außer Löschen vorgesehen (also kein Umbenennen/Verschieben/Kopieren möglich)
    • Kein Erstellen von Links möglich
    • Kein offline-Speichern von Dateien auf dem Gerät vorgesehen (habe bei Tresorit oft Dokumente offline gespeichert als Funkloch-/Roaming-Vorsorge)


    Sicherheit

    • Da bin ich kein Experte, ich habe auch den Quellcode nicht geprüft, aber das Whitepaper scheint mir zumindest Hand und Fuß zu haben. Bei den File-Sharing-Sachen mit Dritten bin ich zwar noch vorsichtig (das habe ich bei Tresorit auch nur halb nachvollziehen können, wie das aus kryptogrphischer Sicht funktioniert, ohne dass dabei die Verschlüsselung kompromittiert wird; das sync.com-Whitepaper ist an dieser Stelle auch sehr knapp), aber ansonsten scheint mir die Funktionsweise grundsätzlich plausibel. Natürlich immer vorausgesetzt, dass die Implementierung das tut, was das Whitepaper sagt und dass insbesondere der private Schlüssel wirklich niemals unverschlüsselt herausposaunt wird (oder über eine andere Sicherheitslücke zugänglich ist).


    Fazit

    • Sehr vielversprechender Dienst, auch wenn ich gerne noch ein paar mehr technische Details, insbesondere zur Funktionsweise des File-Sharing hätte. Die o.g. Mängel betreffen m.E. nichts Grundsätzliches; es sind eher Bugs, diein künftigen Updates beseitigt werden können.
    • Werde sync.com definitiv weiter testen, parallel zu Tresorit!


    Aber, auch um die Kurve zu Threema zu bekommen ;) , kann man bei sync.com eigentlich von Zero-Knowledge sprechen, wenn ja der private Schlüssel auf deren Server gespeichert wird (dies natürlich in verschlüsselter Form, u.a. mit dem Nutzerpasswort)? Denn auch wenn sync.com am Ende keinen Zugriff auf diesen privaten Schlüssel hat, da er ja wiegesagt nochmal verschlüsselt ist, ist doch streng genommen "Knowledge" beim Dienstanbieter vorhanden, oder?

    • Falls das jedoch als Zero-Knowledge durchgehen sollte, dann könnte Threema doch auch den privaten Schlüssel einer ID speichern (natürlich verschlüsselt), um damit die "Doppelte-ID-Problematik" etwas zu entschärfen: wenn dann würde die alte ID + Passwort zur Wiederherstellung reichen. Ein vom Nutzer anzufertigendes ID-Backup, an dessen Nicht-Existenz die Threema-Wiederherstellung meist scheitert, wäre dann nicht erforderlich, da ja auf dem Threema-Server vorhanden.
    • Falls nein - und das entspricht eher meinem Gefühl -, dann dürfte sync.com sich allerdings im Grunde auch nicht als Zero-Knowledge-Dienst bewerben (siehe https://www.sync.com/your-privacy/)....


    AndyG

  • Aber, auch um die Kurve zu Threema zu bekommen ;) , kann man bei sync.com eigentlich von Zero-Knowledge sprechen, wenn ja der private Schlüssel auf deren Server gespeichert wird (dies natürlich in verschlüsselter Form, u.a. mit dem Nutzerpasswort)? Denn auch wenn sync.com am Ende keinen Zugriff auf diesen privaten Schlüssel hat, da er ja wiegesagt nochmal verschlüsselt ist, ist doch streng genommen "Knowledge" beim Dienstanbieter vorhanden, oder?...

    • Falls nein - und das entspricht eher meinem Gefühl -, dann dürfte sync.com sich allerdings im Grunde auch nicht als Zero-Knowledge-Dienst bewerben (siehe https://www.sync.com/your-privacy/)....

    Nein. Kann man nicht. Das ist zwar viel besser als alle anderen Verfahren, so macht es Apple auch, aber es ist eben kein Zero Knowledge. AFAIK wird der Private Key von Threema an Google übertragen wenn man die Sicherung so einrichtet, verschlüsselt natürlich. Und jeder Apple User der eine Threema Sicherung per iCloud durchführt tut das Gleiche.
    Es ist wie immer der Balance Akt zwischen Sicherheit und Komfort. Es ist gut, aber kein Zero Knowledge.

    "no space left on device" "kein Weltraum links vom Gerät"