Akyra Fox
Mr. Powerforen 2013
Sehr geehrte Damen und Herren,
ich verwende jetzt schon lange Dropbox, und zähle noch zu den Glücklichen, die den größeren Speicher kostenlos erhalten haben. Über Jahre hinweg habe ich so einiges hochgeladen, bzw. ausgetauscht. Wie froh war ich dann, als endlich eine Dropbox-App, auch für Android, heraus kam.
Da ich größtenteils mit verschlüsselten Dateien arbeite, also verschlüsselten Archiven, machte ich das Hochladen auch über die Dropbox-App.
Eines Tages ist mir dann etwas Erschreckendes aufgefallen: Obwohl ich die Dateien (Fotos) vorher, beispielsweise als zip-Datei (AES-256) verschlüsselt hatte, und ich diese verschlüsselte zip-Datei via Dropbox-App auf dem Dropbox-Server hochladen wollte, lud der anstelle der verschlüsselten zip-Datei, den gesamten Inhalt als unverschlüsselt hoch. Sprich, die Fotos die in der verschlüsselten zip-Datei drin waren, wurden einzeln, als unverschlüsselt, hochgeladen! Schock! Frech!
WIE zum Teufel kommt Dropbox in das verschlüsselte Archiv (zip-Datei) hinein, dachte ich einen Moment lang, habe aber den Gedanken in dieser Sekunde auch schon wieder fallen gelassen, denn das kann nicht sein (AES-256 wurde NOCH nicht wirklich geknackt)! Also musste sich die Dropbox-App einen anderen Weg verschafft haben, und dann vermutete ich auch schon wie!
Und so hat es sich dann auch herausgestellt: Die originalen, unverschlüsselten Dateien / Fotos lagen zusammen mit der davon erstellten verschlüsselten zip-Datei, in einem und demselben Ordner. Da zip nur die Dateien selbst verschlüsselt, OHNE die Dateinamen zu verschleiern, war Dropbox wohl so schlau, und verglich einfach die Dateinamen (auch mit dem Ordner-Namen), und suchte sich die originalen Dateien dazu heraus, und lud diese alle anstelle der verschlüsselten zip-Datei hoch!
Sehr schlau – aber auch sehr dreist!
Ich persönlich arbeite am liebsten mit 7zip-Archiven! Aber rar ist auch gut! Da ich aber noch keinen gescheiten Archiver für Android gefunden habe, der 7zip vollständig unterstützt, mit allen Verschlüsselungsalgorithmen, griff ich eben auf zip zurück, und es war für die meisten Zwecke auch nicht so schlimm, wenn die Dateinamen lesbar waren! Notfalls hätte man ja auch noch die Dateinamen ändern können. Mittlerweile gibt es ZArchiver, was 7zip unterstützt, aber das App hat noch viele Bugs!
Hier mal eine Demonstration:
Wie löst man das Problem?
Also man verschlüsselt einfach wie gewohnt alle Dateien, die man in einem Archiv haben möchte, geht auch als zip-Datei. Danach VERSCHIEBT man diese verschlüsselte zip-Datei in einem anderen, lokalen Ordner, und dann lädt man diese von dort aus via Dropbox-App hoch. So erkennt und findet die Dropbox-App die Original-Dateien nicht und lädt auch die eine verschlüsselte zip-Datei hoch (anstelle den Inhalt / alle unverschlüsselten Dateien)!
Man kann aber auch ganz einfach alle verschlüsselten Dateien über den ES File Explorer hochladen…
Keine Ahnung, ob das auch beispielsweise bei der Dropbox-App für iPhone / iOS so ist? Würde mich freuen, wenn das mal einer testen könnte, und hier etwas dazu schreiben könnte.
Die Frage, die ich mir aber jetzt gestellt habe…
Es liegt ja nicht daran, dass die Dropbox-App nur bestimmte Arten von Dateien zulässt, z.B. zip oder allgemein verschlüsselte Dateien. Mit dem oben genannten „Trick“ geht’s ja problemlos! Ich frage mich da, wer kommt auf so eine Idee, so eine Funktion einzubauen? Offensichtlich möchte der User, wenn er eine oder mehrere Datei(en) verschlüsselt, dass diese auch keiner einsehen / öffnen kann. Wie also kommt man denn auf die Idee, dass man so eine schlaue, wie auch listige Methode einbaut??
Das sagt mir einiges über die Unternehmensphilosophie von „Dropbox“ aus! Offensichtlich ist denen sehr daran gelegen, dass Dateien unverschlüsselt auf dem Server liegen! Vielleicht aus Forschungs- oder Marktzwecken???
Es kann auch nicht am File Indexing liegen! Identische Dateien, egal von welchem Dropbox-User, die mehrfach hochgeladen werden, liegen dort nur ein einziges Mal vor. So spart sich Dropbox sehr viel Speicherplatz auf den Servern! Das fällt einem dann auf, wenn man mal eine große Datei (bei langsamer Internetverbindung) hoch lädt, und diese dann von einer auf die andere Sekunde schon hochgeladen ist! Heißt nicht, dass dort spioniert wird, dort werden einfach nur Dateinamen, -größe und -Art verglichen, wohlmöglich auch MD5-Hash, unabhängig jetzt, ob eine Datei verschlüsselt ist oder nicht!
Dadurch entstehen dann noch weitere Fragen: Das Dropbox-Programm beispielsweise für Windows. Könnte es nicht nur auf den lokalen Ziel-Ordner zugreifen, sondern theoretisch auf alle Ordner auf dem System? Technisch kann der User ja jeden x beliebigen lokalen Order selbst auswählen. Dann könnten insgeheim alle Daten Stück für Stück zu Dropbox gelangen?
Aber dies ist wohl eher auszuschließen, also ich glaube da nicht dran, denn schließlich hat Dropbox einen guten Namen zu verlieren, wenn so etwas in dieser Art auffliegen würde!
Dennoch bin ich sehr zufrieden mit Dropbox, und kann es nur allen sehr weiterempfehlen! Wenn man ein wenig aufpasst, dann ist es ein starkes Tool!
Dropbox – Dropbox-App (Android) - ZArchiver – ES File Explorer
Sayonara, Akyra
P.S.: Noch ein Tipp für Dummys: Wenn ihr globale Ordner miteinander verknüpft habt, und ihr verschlüsselte Dateien bekommt, dann bitte diese NICHT im selben Ordner entpacken / entschlüsseln! Logisch, oder?! Denn die entpackten / entschlüsselten Dateien werden dann auch prompt mit dem Server synchronisiert! ;-)
ich verwende jetzt schon lange Dropbox, und zähle noch zu den Glücklichen, die den größeren Speicher kostenlos erhalten haben. Über Jahre hinweg habe ich so einiges hochgeladen, bzw. ausgetauscht. Wie froh war ich dann, als endlich eine Dropbox-App, auch für Android, heraus kam.
Da ich größtenteils mit verschlüsselten Dateien arbeite, also verschlüsselten Archiven, machte ich das Hochladen auch über die Dropbox-App.
Eines Tages ist mir dann etwas Erschreckendes aufgefallen: Obwohl ich die Dateien (Fotos) vorher, beispielsweise als zip-Datei (AES-256) verschlüsselt hatte, und ich diese verschlüsselte zip-Datei via Dropbox-App auf dem Dropbox-Server hochladen wollte, lud der anstelle der verschlüsselten zip-Datei, den gesamten Inhalt als unverschlüsselt hoch. Sprich, die Fotos die in der verschlüsselten zip-Datei drin waren, wurden einzeln, als unverschlüsselt, hochgeladen! Schock! Frech!
WIE zum Teufel kommt Dropbox in das verschlüsselte Archiv (zip-Datei) hinein, dachte ich einen Moment lang, habe aber den Gedanken in dieser Sekunde auch schon wieder fallen gelassen, denn das kann nicht sein (AES-256 wurde NOCH nicht wirklich geknackt)! Also musste sich die Dropbox-App einen anderen Weg verschafft haben, und dann vermutete ich auch schon wie!
Und so hat es sich dann auch herausgestellt: Die originalen, unverschlüsselten Dateien / Fotos lagen zusammen mit der davon erstellten verschlüsselten zip-Datei, in einem und demselben Ordner. Da zip nur die Dateien selbst verschlüsselt, OHNE die Dateinamen zu verschleiern, war Dropbox wohl so schlau, und verglich einfach die Dateinamen (auch mit dem Ordner-Namen), und suchte sich die originalen Dateien dazu heraus, und lud diese alle anstelle der verschlüsselten zip-Datei hoch!
Sehr schlau – aber auch sehr dreist!
Ich persönlich arbeite am liebsten mit 7zip-Archiven! Aber rar ist auch gut! Da ich aber noch keinen gescheiten Archiver für Android gefunden habe, der 7zip vollständig unterstützt, mit allen Verschlüsselungsalgorithmen, griff ich eben auf zip zurück, und es war für die meisten Zwecke auch nicht so schlimm, wenn die Dateinamen lesbar waren! Notfalls hätte man ja auch noch die Dateinamen ändern können. Mittlerweile gibt es ZArchiver, was 7zip unterstützt, aber das App hat noch viele Bugs!
Hier mal eine Demonstration:
Wie löst man das Problem?
Also man verschlüsselt einfach wie gewohnt alle Dateien, die man in einem Archiv haben möchte, geht auch als zip-Datei. Danach VERSCHIEBT man diese verschlüsselte zip-Datei in einem anderen, lokalen Ordner, und dann lädt man diese von dort aus via Dropbox-App hoch. So erkennt und findet die Dropbox-App die Original-Dateien nicht und lädt auch die eine verschlüsselte zip-Datei hoch (anstelle den Inhalt / alle unverschlüsselten Dateien)!
Man kann aber auch ganz einfach alle verschlüsselten Dateien über den ES File Explorer hochladen…
Keine Ahnung, ob das auch beispielsweise bei der Dropbox-App für iPhone / iOS so ist? Würde mich freuen, wenn das mal einer testen könnte, und hier etwas dazu schreiben könnte.
Die Frage, die ich mir aber jetzt gestellt habe…
Es liegt ja nicht daran, dass die Dropbox-App nur bestimmte Arten von Dateien zulässt, z.B. zip oder allgemein verschlüsselte Dateien. Mit dem oben genannten „Trick“ geht’s ja problemlos! Ich frage mich da, wer kommt auf so eine Idee, so eine Funktion einzubauen? Offensichtlich möchte der User, wenn er eine oder mehrere Datei(en) verschlüsselt, dass diese auch keiner einsehen / öffnen kann. Wie also kommt man denn auf die Idee, dass man so eine schlaue, wie auch listige Methode einbaut??
Das sagt mir einiges über die Unternehmensphilosophie von „Dropbox“ aus! Offensichtlich ist denen sehr daran gelegen, dass Dateien unverschlüsselt auf dem Server liegen! Vielleicht aus Forschungs- oder Marktzwecken???
Es kann auch nicht am File Indexing liegen! Identische Dateien, egal von welchem Dropbox-User, die mehrfach hochgeladen werden, liegen dort nur ein einziges Mal vor. So spart sich Dropbox sehr viel Speicherplatz auf den Servern! Das fällt einem dann auf, wenn man mal eine große Datei (bei langsamer Internetverbindung) hoch lädt, und diese dann von einer auf die andere Sekunde schon hochgeladen ist! Heißt nicht, dass dort spioniert wird, dort werden einfach nur Dateinamen, -größe und -Art verglichen, wohlmöglich auch MD5-Hash, unabhängig jetzt, ob eine Datei verschlüsselt ist oder nicht!
Dadurch entstehen dann noch weitere Fragen: Das Dropbox-Programm beispielsweise für Windows. Könnte es nicht nur auf den lokalen Ziel-Ordner zugreifen, sondern theoretisch auf alle Ordner auf dem System? Technisch kann der User ja jeden x beliebigen lokalen Order selbst auswählen. Dann könnten insgeheim alle Daten Stück für Stück zu Dropbox gelangen?
Aber dies ist wohl eher auszuschließen, also ich glaube da nicht dran, denn schließlich hat Dropbox einen guten Namen zu verlieren, wenn so etwas in dieser Art auffliegen würde!
Dennoch bin ich sehr zufrieden mit Dropbox, und kann es nur allen sehr weiterempfehlen! Wenn man ein wenig aufpasst, dann ist es ein starkes Tool!
Dropbox – Dropbox-App (Android) - ZArchiver – ES File Explorer
Sayonara, Akyra
P.S.: Noch ein Tipp für Dummys: Wenn ihr globale Ordner miteinander verknüpft habt, und ihr verschlüsselte Dateien bekommt, dann bitte diese NICHT im selben Ordner entpacken / entschlüsseln! Logisch, oder?! Denn die entpackten / entschlüsselten Dateien werden dann auch prompt mit dem Server synchronisiert! ;-)
