«Wuala»-Sicherheitsrisiko infolge «Geheimantwort»

«Wuala, Ihre Online-Festplatte – Wuala ist eine neue Art, wie man Dateien im Internet speichern, teilen und veröffentlichen kann. Kostenlos, einfach und sicher.»

schreibt «Wuala» auf Ihrer Website und dank einer Einladung konnte ich einen ersten Blick auf die aktuelle Alpha-Version von «Wuala» werfen. Im Bezug auf die Sicherheit von «Wuala» ist mir beim erwähnten ersten Blick folgende Schwäche aufgefallen:

Beim Erstellen des Benutzerkontos zeigt «Wuala» erfreulicherweise an, wie stark das gewählte Passwort ist. Leider verlangt «Wuala» aber gleichzeitig die Eingabe einer «geheimen Antwort», die nicht einem starken Passwort entsprechen muss. Je nach gewählter «geheimer Antwort» kann diese damit ein Sicherheitsrisiko darstellen.

Man benötigt wie oben angedeutet eine Einladung um «Wuala» ausprobieren zu können. Wer eine solche Einladung möchte, kann sich direkt bei «Wuala» darum bewerben oder hier einen Kommentar hinterlassen – s’hät solang’s hät!

Wichtig: Wer an «Wuala» interessiert ist, sollte über einen leistungsfähigen Computer – «Wuala» basiert auf JAVA und ist entsprechend leistungshungrig – und eine schnelle Internet-Verbindung verfügen. Ebenso handelt es sich bei «Wuala» noch um Alpha-Software, das heisst sie funktioniert zwar schon ganz leidlich, kann aber durchaus noch Fehler enthalten.

Wer «Wuala» noch nicht selbst ausprobieren möchte, sich aber dennoch dafür interessiert, kann am Samstag, 20. Oktober 2007 in Zürich das BlogCampSwitzerland 2.0 besuchengemäss dem BlogCamp-Wiki soll eine Demonstration von «Wuala» stattfinden. Wer keine Zeit findet, das Zürcher BlogCamp zu besuchen, findet im Blog von Stephanie Booth einen Beitrag über die «Wuala»-Präsentation am BarCamp Lausanne von Ende September 2007.

Nachtrag: Luzius Meisser von «Wuala» hat freundlicherweise per Kommentar ausgeführt, wie das Verfahren rund um Geheimfrage/-antwort funktioniert.

42 Comments

  1. nick
    15. Oktober 2007

    die „sicherheits“ fragen finde ich schon immer bescheuert ich finde es besser wenn man sich das passwort sich wieder zuschiken lasse kann per email.

    Ausprobieren würde ichs aber schon mal gerne 🙂

    Reply
  2. Martin (MacMacken)
    15. Oktober 2007

    die “sicherheits” fragen finde ich schon immer bescheuert ich finde es besser wenn man sich das passwort sich wieder zuschiken lasse kann per email.

    Leider ist auch diese Methode mit Sicherheitsrisiken verbunden… mich stört die Sicherheitsfrage/-antwort per se nicht, aber sie sollte freiwillig sein und von der Sicherheit her dem gewählten Passwort entsprechen müssen – letztlich ist ja nicht die Sicherheitsfrage/-antwort das Problem, sondern die Tatsache, dass üblicherweise eine schwache Antwort gewählt wird.

    Ausprobieren würde ichs aber schon mal gerne 🙂

    Deine Einladung ist unterwegs!

    Reply
  3. nick
    15. Oktober 2007

    cool danke für die einladung!

    ja die mail Methode ist zwar nicht viel sichere aber mit der frage muss man sich noch mehr merken und ich habe schon genug passwörter und zeugs…

    Reply
  4. Yangze Man
    15. Oktober 2007

    Dieses System besteht aus der Wuala Kundensoftware, der Wuala Webseite und dem Wuala Netzwerk (nachfolgend zusammengefasst „Wuala“).

    Ich hoffe, die Entwickler von Wua.la können besser programmieren als schreiben!

    Schade finde ich, dass die .com-Domain nicht funktioniert. Ich frage mich auch, ob die Verwendung einer laotischen Domain (.la) nicht riskant ist. Funktioniert Wua.la auch noch ohne diese Domain?

    Interessant finde ich hingegen, dass Wuala Amazon S3 nutzt.

    Reply
  5. Martin (MacMacken)
    15. Oktober 2007

    Inzwischen konnte ich «Wuala» etwas ausführlicher testen und kann ein positives Zwischenfazit ziehen, auch wenn sich natürlich noch viele Fragen stellen, auch zum Geschäftsmodell und Problemen rund um File Sharing im Allgemeinen (jeweils direkt auf der Website von Amod) … positiv ist insbesondere, dass man seine eigene Internet-Bandbreite vollständig ausnützen kann, sowohl beim Upload als auch beim Download. Nachfolgend drei Screenshots von heute Abend:

    Negativ hingegen sind der Leistungshunger der «Wuala»-Software, deren proprietäre Natur und die Beschränkung auf lediglich ein GB Speicherplatz. Da «Wuala» meine Internetverbindung als ungeeignet bezeichnet um zusätzlichen Speicher «zu verdienen» – vermutlich eine Folge von NAT –, kann ich daran selbst leider auch nichts ändern. Ich hoffe, «Wuala» wird in späteren Versionen NAT-PMP unterstützen, damit man auch hinter einem NAT-Router Speicher «verdienen» kann.

    Reply
  6. Martin (MacMacken)
    15. Oktober 2007

    P.S.: Weitere Einladungen sind bei http://www.donrivas.ch/2007/09/25/wuala-mein-erfahrungsbericht/ erhältlich … 🙂

    Reply
  7. Luzius (Wuala engineer)
    16. Oktober 2007

    Zur Geheimen Frage: um das Passwort wiederherstellen zu können, braucht man nicht nur die Antwort auf die geheime Frage, sondern auch einen langen Sicherheitscode, der bei uns deponiert beim erstellen des Accounts deponiert wird und den wird bei Bedarf an die angegebene Email-Adresse schicken.

    Das heisst: die Antwort auf die geheime Frage zu erraten genügt nicht, um sich Zugang zu einem Account verschaffen zu können (ausser für uns, die Betreiber von Wuala, da wir den Sicherheitscode gespeichert haben). Die ist unseres Erachtens die beste Möglichkeit, wie wir einerseits hohe Sicherheit und Datenschutz (das Passwort selbst verlässt den eigenen Computer nie) bieten können, andererseits aber auch nicht alle Daten verloren sind, falls der Benutzer sein Passwort vergisst.

    Ich hoffe, damit sind diese Frage nun etwas klarer.

    Reply
  8. Luzius (Wuala engineer)
    16. Oktober 2007

    Zur Internetverbindung (diesmal hoffentlich ohne all die kleinen Rechtschreibfehler wie im letzten Kommentar 🙂 ): Wenn man auf dem NAT-Router Port-Forwarding auf den in den Wuala-Einstellungen angegebenen Port einrichtet, sollte die Verbindung als geeignet erkannt werden. Voraussetzung ist allerdings zur Zeit noch, dass der Router Loopback unterstützt. Ab dem nächsten Sonntagsupdate wird Loopback allerdings nicht mehr nötig sein.
    Falls die Nachfrage nach NAT-PMP gross ist, werden wir auch das bei Gelegenheit ins Auge fassen.

    Reply
  9. Martin (MacMacken)
    16. Oktober 2007

    Vielen Dank für Deine Erklärungen, Luzius!

    Zur Geheimen Frage: um das Passwort wiederherstellen zu können, braucht man nicht nur die Antwort auf die geheime Frage, sondern auch einen langen Sicherheitscode, der bei uns deponiert beim erstellen des Accounts deponiert wird und den wird bei Bedarf an die angegebene Email-Adresse schicken

    Gut gelöst! 🙂

    Schritt für Schritt sieht das Verfahren für den Benutzer wie folgt aus:

    1. Wer sein Passwort vergessen hat, muss sich gegenüber «Wuala» per Benutzername oder E-Mail-Adresse identifizieren;
    2. «Wuala» sendet einen «Password Recovery Code» an die bei «Wuala» gespeicherte E-Mail-Adresse;
    3. Durch Eingabe von «Password Recovery Code» und Geheimantwort gelangt man zum Dialog für ein neues Passwort (leider ohne Angaben zur Passwortstärke, wie übrigens in den «Wuala»-Einstellungen auch; eine neue Geheimfrage/-antwort lässt sich nicht definieren).

    Wenn man auf dem NAT-Router Port-Forwarding auf den in den Wuala-Einstellungen angegebenen Port einrichtet, sollte die Verbindung als geeignet erkannt werden. Voraussetzung ist allerdings zur Zeit noch, dass der Router Loopback unterstützt. Ab dem nächsten Sonntagsupdate wird Loopback allerdings nicht mehr nötig sein.
    Falls die Nachfrage nach NAT-PMP gross ist, werden wir auch das bei Gelegenheit ins Auge fassen.

    Ich weiss nicht, wie gross die Nachfrage danach ist, aber meine Erfahrungen mit anderen P2P-Applikationen zeigen, dass viele Benutzer den Komfort von UPnP und/oder NAT-PMP schätzen, auch wenn damit Sicherheitsprobleme verbunden sind.

    (Wer mit NAT, usw. nichts anfangen kann, findet bei «mobileMacs» zwei lesenswerte Blogeinträge zum Thema: http://www2.mobile-macs.de/2007/09/network-access-teil-1-network-address-translation.html und http://www2.mobile-macs.de/2007/09/network-access-teil-2-nat-traversal-auf-dem-mac.html.)

    Bei mir funktioniert das Port Forwarding übrigens nicht, trotz aktiviertem Loopback, was aber an meiner Konfiguration liegen kann … sollte das Problem mit der erwähnten neuen Version vom Sonntag immer noch bestehen, mache ich mich auf die Fehlersuche! 😉

    Reply
  10. MILE
    17. Oktober 2007

    Hmmh, auch wenn ich kein Freund von Java-Applikationen bin, habe ich mal etwas mit Wuala herumprobiert, zumal die Idee ganz interessant ist…

    Abgesehen von diversen Abstürzen und seltsamen Fehlermeldungen (es ist nunmal eine Alpha, das ist also zu erwarten) versteh ich die „Messung“ der Onlinezeit nicht so ganz…!? Mein Computer ist mehr oder weniger 24/7 online und an…aber die Grafik zeigt irgendwie gar nichts an…!? Und auch in den Einstellungen findet sich ein rotes Kreuz statt eines grünen Häkchens…!?

    Naja, mal sehen…kann ja noch werden…

    Ach ja, die Sache mit dem Portmap will bei mir irgendwie auch nicht so recht…!

    Reply
  11. Martin (MacMacken)
    17. Oktober 2007

    Zur Onlinezeit, siehe http://wua.la/de/kb/2#id000101 … mit Fehlermeldungen hatte ich glücklicherweise nicht zu kämpfen, aber wie oben erwähnt hält «Wuala» meine Verbindung trotz NAT mit Loopback und Port Mapping für ungeeignet. Ich hoffe, die für Sonntag angekündigte neue Version bringt eine Lösung für dieses Problem!

    Reply
  12. MILE
    17. Oktober 2007

    Okay, das mit dem einen Monat „Anlaufzeit“ hatte ich tatsächlich überlesen, Danke…!

    Meine Verbindung wird zwar als „geeignet“ angezeigt, aber beim Versuch, portmap zu installiere, scheitert das Programm jedesmal wieder…

    Reply
  13. Remo
    25. Oktober 2007

    Bei neuerdings.com gibt es jetzt auch Einladungen, 200 sogar!

    http://neuerdings.com/2007/10/25/wuala-online-speicher-200-exklusive-einladungen/

    Reply
  14. Martin (MacMacken)
    25. Oktober 2007

    Leider hält «Wuala» meine Internet-Verbindung weiterhin für ungeeignet und ich kann keinen Speicherplatz zur Verfügung stellen. Damit ist «Wuala für ich vorläufig aus dem Rennen, denn 1 GB Speicherplatz erhält man auch anderswo und selbst verschlüsseln muss ich die Daten ja auch.

    Reply
    • eragon
      27. Mai 2009

      Ich verwende den Microsoft Skydrive. Da hat man 26 GB virtueler Speicher, dass ist Kostenlos und sicher, aber man muss bei Windows Live angemeldet sein. Und man hat vom jeden Rechner drauf zugrief.
      Dass finde ich voll gut.
      Kann man bei Wuala eigentlich den Speicher kostenlos erweitern?

  15. Luzius (Wuala engineer)
    25. Oktober 2007

    @MacMacken
    Schade, darf ich fragen was Wuala für eine Diagnose stellt beim Verbindungstest in den Einstellungen? Bei mir heisst’s zB (mit zensurierter IP Adresse):

    Analyzing Connection…
    Got answer from Ping Server A, your external adress is [IP-Adresse]
    Got answer from Ping Server B, your external adress is [IP-Adresse]
    [IP-Adresse] accepts incoming connections.
    Loopback test passed

    was gut ist. 🙂

    > und selbst verschlüsseln muss ich die Daten ja auch.
    Wieso denn? Wuala verschlüsselt alles automatisch, was man darin speichert.

    Reply
  16. Martin (MacMacken)
    25. Oktober 2007

    Schade, darf ich fragen was Wuala für eine Diagnose stellt beim Verbindungstest in den Einstellungen?

    … bitte beachte die Verwendung von «vorläufig» – früher oder später dürfte «Wuala» ja das Alpha-Stadium verlassen.

    Beim Verbindungstest erhalte ich folgendes Ergebnis:

    Prüfe Verbindung…
    Externe Adresse gemäss Server A: [IP-Adresse]
    Externe Adresse gemss Server B: [IP-Adresse]
    [IP-Adresse] akzeptiert keine eingehenden Verbindungen.
    Loopback fehlgeschlagen

    Wieso denn? Wuala verschlüsselt alles automatisch, was man darin speichert.

    Vertrauen ist gut, Kontrolle ist besser … die eigene Verschlüsselung kann ich problemlos verifizieren und muss nicht Versprechungen, usw. vertrauen – das gilt übrigens nicht nur für «Wuala», sondern ganz generell.

    Reply
  17. Andi
    15. November 2007

    Ich nutze jetzt Wuala ab und zu. Leider kann ich das Programm nicht beenden, es bleibt hängen. Schiesse ich es ab, erhalte ich eine Java 1.5 Error Message.

    (Aktuelle Wuala-Version, OS X Leopard).

    Reply
  18. knub
    5. Dezember 2007

    Habe auch noch Einladungen zu vergeben, wer welche braucht, meldet sich unter knub[at]jubii[dot]de .

    Reply
  19. Peter P.
    31. Dezember 2007

    hallo,

    hab gerade das 1.mal von wuala gehört und hätte gerne auch eine einladung.
    lässt sich das machen? wenn ja, dann vielen dank!
    gruss,
    peter

    Reply
  20. Martin (MacMacken)
    31. Dezember 2007

    hab gerade das 1.mal von wuala gehört und hätte gerne auch eine einladung.
    lässt sich das machen? wenn ja, dann vielen dank!

    Klar, eine Einladung ist an die E-Mail-Adresse, die Du zum Kommentieren verwendet hast, unterwegs – viel Spass! 🙂

    Reply
  21. Anonymous
    31. Dezember 2007

    Wie kann ich das Wuala-Laufwerk im Finder anzeigen lassen?

    Reply
  22. Martin (MacMacken)
    1. Januar 2008

    Wie kann ich das Wuala-Laufwerk im Finder anzeigen lassen?

    Auf diese Frage weiss ich leider keine Antwort. Hast Du Deine Frage schon unter http://getsatisfaction.com/wuala gestellt?

    Reply
  23. Peter P.
    1. Januar 2008

    danke, einladung hat funktioniert!

    Reply
  24. BK
    31. Januar 2008

    Mich begeistert die Idee seine Daten online zu speichern und sie somit überall wo Internet ist, parat zu haben. Leider bekam ich auf die Anfrage per Mail bei Wuala keine Einladung. Evtl klappt es ja auf diesem Wege.

    Reply
  25. Martin (MacMacken)
    31. Januar 2008

    @BK: Deine Einladung ist unterwegs … eine weitere Möglichkeit um Deine Daten online speichern zu können wäre übrigens «Amazon S3» – zwar kostenpflichtig, aber dafür mit klaren Konditionen und sehr ausgereift.

    Reply
  26. Florian
    5. Februar 2008

    Hey, ich bin eben auf Wuala gestoßen und würde das auch mal gerne ausprobieren. Hättest du noch eine Einladung für mich?

    Grüße, Florian

    Reply
  27. Martin (MacMacken)
    5. Februar 2008

    @Florian: Klar, Deine Einladung ist unterwegs! 😀

    Reply
  28. Patrick
    13. Februar 2008

    Ich wäre auch herzlich gerne dabei.
    Darf ich Dich auch um eine Einladung bitten?

    Grüsse Patrick

    Reply
  29. Martin (MacMacken)
    13. Februar 2008

    @Patrick: Du müsstest Deine Einladung inzwischen erhalten haben – viel Spass mit «Wuala»! 😀

    Reply
  30. Rene
    27. Februar 2008

    Hallo,ich hätte auch gerne eine Einladung.Würde Wuala auch gerne mal ausprobieren.
    Danke schon im vorraus.
    Gruß Rene

    Reply
  31. Martin (MacMacken)
    27. Februar 2008

    @Rene: Deine Einladung ist per E-Mail unterwegs!

    Reply
  32. Rene
    27. Februar 2008

    Danke schön

    Reply
  33. maylin
    27. Februar 2008

    wie kann man paswort ändern ohne geheimantwort und passwort

    Reply
  34. Das Goldene Lamm
    3. März 2008

    Hallo, würde mich auch sehr über eine Einladung freuen.

    Grüsse DGL

    Reply
  35. Martin (MacMacken)
    3. März 2008

    Hallo, würde mich auch sehr über eine Einladung freuen.

    Deine Einladung ist per E-Mail unterwegs! 🙂

    Reply
  36. Martin (MacMacken)
    3. März 2008

    wie kann man paswort ändern ohne geheimantwort und passwort

    Du hast sowohl Dein Passwort als auch Deine Geheimantwort vergessen? ❓

    Reply
  37. Das Goldene Lamm
    3. März 2008

    Besten Dank!!!

    Grüsse DGL

    Reply
  38. Ist
    4. März 2008

    Hallo,
    ich würde wuala auch gerne ausprobieren.
    Klingt spannend.
    Grüsse

    Reply
  39. Anonymous
    6. März 2008

    Habe noch 5 Einladungen zu vergeben!
    E-Mail an: k.klein@netcologne.de
    Im Betreff bitte Wuala-Freund eingeben !
    Wer zuerst mailt……

    Viel Erfolg

    Reply
  40. Anonymous
    11. Januar 2009

    falls es jemanden interessiert:
    http://www.getdropbox.com
    macht genau das gleiche und sehr zuverlässig…

    Reply
  41. Martin (MacMacken)
    11. Januar 2009

    Wie sieht es bei DropBox mit der Sicherheit aus?

    Zum Beispiel: Kann man unabhängig von der DropBox-Software auf die gespeicherten Daten zugreifen? Verwendet DropBox verschlüsselte Verbindungen? Ermöglicht DropBox das lokale Verschlüsseln beim Benutzer?

    Reply

Leave a Reply