Filosync als Dropbox alternative

[ismon]

Hallo zusammen,

ich bin schon längerem auf der Suche nach einer Dropbox alternative zum selber hosten. Nach einiger Suche und einigen Tests bin ich auf die Software Filosync (www.filosync.com) gestoßen. Die Software ist von den gleichen Machern wie Arq (Mac Backup Software).

Es gibt aktuell Clients für Mac und IOS. Windows und Androide sollen noch kommen.

Das tolle an der Lösung ist, dass man seinen eigenen Server zum speichern der Daten verwenden kann. Entweder einen eigenen Linux Server oder Amazon AWS/S3.

Ich nutze die Software zusammen mit einem Ubuntu VServer, das hat den Vorteil das man mal eben 240 GB Speicherplatz für 10 Euro / Monat bekommt (Dropbox verlangt 10 Euro für 100 GB). Des weiteren ist man selbst Herr über seine Daten.

Der Filosync Client verschlüsselt zusätzlich alle Dateien lokal bevor Sie auf den Server hochgeladen werden. Die Keys zum entschlüsseln werden nicht auf dem Server gespeichert.

Die Software ermöglicht es auch Dokument oder ganze Verzeichnisse freizugeben und zu teilen. Die Links können mit eine Lebensdauer versehen und eine Passwort geschützt werden.

Ich nutze die Software jetzt schon einige Wochen und bin damit Top zufrieden. Wenn es jetzt noch einen Windows Client gibt kann ich die Dropbox in komplett in Rente schicken.

Dieser Post ist als Info für all Diejenigen gedacht die auch eine selbstgehostete alternative zu Dropbox suchen.

PS: Man kann die Lösung inkl. der Serversoftware für 30 Tage testen.

 

[win2mac]

Das tolle an der Lösung ist, dass man seinen eigenen Server zum speichern der Daten verwenden kann. Entweder einen eigenen Linux Server oder Amazon AWS/S3.

Ich nutze die Software zusammen mit einem Ubuntu VServer, das hat den Vorteil das man mal eben 240 GB Speicherplatz für 10 Euro / Monat bekommt (Dropbox verlangt 10 Euro für 100 GB). Des weiteren ist man selbst Herr über seine Daten.

Wie willst Du da Herr über deine Daten sein?

Gruß

win2mac

 

[ismon]

Z.B. indem ich mir relativ sicher sein kann das nur ich Zugriff auf diese Daten haben und das die Daten nicht durch irgend wenn/etwas überwacht und ausgewertet werden?

 

[ProjectBuilder]

Z.B. indem ich mir relativ sicher sein kann das nur ich Zugriff auf diese Daten haben und das die Daten nicht durch irgend wenn/etwas überwacht und ausgewertet werden?

Naja. Bei der ganzen PRISM-Geschichte findet der Zugriff ja primär bei ISPs beziehungsweise bei Interconnection-Points zwischen ISPs statt. Dieses Problem hast du damit nicht gelöst.

Wenn du den virtuellen Server nicht komplett selbst eingerichtet hast muss du - aus sicherheitstechnischer Sicht - auch davon ausgehen, dass Backdoors installiert sein könnten.

 

[ismon]

Naja meine Daten verlassen nur verschlüsselt meine Rechner. Somit sollte das eigentlich kein Problem sein.

Aber klar, man muss sich natürlich auf den Hersteller der Software und dessen Verschlüsselungsmethode verlassen und hoffen das diese korrekt umgesetzt ist. Und man muss auch dem Hoster seines Servers vertrauen entgegen bringen.

Man muss dann selbst entscheiden in wen man mehr vertrauen steckt. In einen Server Hoster mit sitzt in Deutschland und eine Software die Security an erste Stelle setzt oder in Dropbox...

 

[ProjectBuilder]

Man muss dann selbst entscheiden in wen man mehr vertrauen steckt. In einen Server Hoster mit sitzt in Deutschland und eine Software die Security an erste Stelle setzt oder in Dropbox...

Klar, es ist immer ein Abwägen. Weisst du evtl., was für eine Verschlüsselung eingesetzt wird? Die Homepage scheint sich darüber auszuschweigen (oder die Info ist gut versteckt )

 

[ismon]

Ja die Seite ist echt bissel unübersichtliche.
Das Tool gibts wohl auch noch nicht so lange.

Hier etwas zur Verschlüsselung:
http://www.filosync.com/help/encryption

Data Encryption
Files in Filosync projects are encrypted (in memory) by the client app before they're sent to your Filosync server. Each block of data is stored a separate object in your server and is encrypted as follows:

The client app reads the server passphrase from the device's keychain (see Key Propogation above). It retrieves the encrypted project data key from your Filosync server and decrypts it using that server passphrase. It uses PBKDF2 with SHA1 HMAC to derive a key from the project data key.
The client app generates a random 16-byte initialization vector.
The client app uses the derived key and generated initialization vector to encrypt the data block using AES-256 in cipher-block-chaining (CBC) mode.
The client app appends the initialization vector to the encrypted data block and sends that to the server.

 

[JackTirol]

Gibt es einen bestimmten Grund, warum OwnCloud für dich nicht in Frage kommt?

Bei mir ersetzt OwnCloud sowohl Dropbox als auch iCloud. Es gibt Apps für Win, Mac, Linux, iOS und Android. Kontakte- und Kalender-Sync funktionieren, verschlüsselt wird aktuell mit Boxcryptor Classic. Das ganze ist installiert auf einem eigenen Webspace (Serverstandort in D), die Verbindung wird über SSL-Proxy hergestellt – ein Zertifikat wird von meinem Hoster bereitgestellt. Das ganze ist – mit Ausnahme des Webspaces, den ich sowieso habe – kostenlos.

Ehrlich gemeinte Frage, da ich mich für das Thema sehr interessiere und ich für Verbesserungen immer ein offenes Ohr habe: Wo sind die Vorteile von Filosync gegenüber meiner Lösung, die den Aufpreis rechtfertigen?

 

[ismon]

Gute Frage. Ich hatte auch schon ownCloud installiert und getestet aber irgend wie konnte ich nicht nicht damit anfreunden.
Irgendwie hat mich das gesamt Paket nicht so überzeugt. Die Desktop Apps haben ab sich ab und an merkwürdig verhalten und das PHP Monster aufem Server war bei vielen großen Datei auch nicht wirklich flott.

Klar, Vorteil von ownCloud ist natürlich dass es für alle Plattformen schon fertige APPs gibt und dass es Open Source ist.

Umständlich ist natürlich die nicht integrierte Verschlüsselung, da muss man sich dann irgendwas drum herum bauen. Z.B. mit Boxcryptor.

Wie läuft es bei dir mit der Verschlüsselung? Die Dokument kannst dann nicht mehr über die Webseite anschauen bzw. können nicht mehr geteilt werden (ohne dass der Empfänger die Software zum entschlüsseln installiert hat), oder?

 

[JackTirol]

Wie läuft es bei dir mit der Verschlüsselung? Die Dokument kannst dann nicht mehr über die Webseite anschauen bzw. können nicht mehr geteilt werden (ohne dass der Empfänger die Software zum entschlüsseln installiert hat), oder?

Ich verschlüssle nur die Daten, die sensibel sind. Und sensible Daten teile ich nicht! Der Rest liegt unverschlüsselt in der OwnCloud und kann ganz normal geteilt werden. Für den Remotezugriff auf die verschlüsselten Daten nutze ich das Boxcryptor-App auf iPhone oder iPad oder halt, wenn ich es dabei habe, mein MBP. Dank SSL ist die Verbindung ja verschlüsselt, so dass ich auch in einem öffentlichen oder fremden WLAN keine Befürchtung habe, dass da jemand mitlauscht.

Kurz: so wie es im Moment ist, ist das ganze für mich sehr praktikabel. Wichtig war mir, dass ich unabhängig von Dropbox und iCloud werde. Das ist größtenteils realisiert. Einzig der 1Passwort-Sync und der Bookmark-Sync fehlen noch zum absoluten Glück. Beim Bookmark-Sync habe ich keine Bedenken, das weiterhin mit iCloud zu machen. Die paar Links sehe ich nicht als kritisch an. Anders halt mit 1Passwort. Da besteht noch Bedarf.

 

[ismon]

Hehe, da haben wir wohl den gleichen Plan.

Ich habe genau die gleichen Probleme. Bei 1Password bin ich erstmal auf den lokalen Wlan Sync umgestiegen.
Bookmarks gehen bei mir aktuell auch noch über die ICloud.

Für ownClowd gibt eine Bookmark Erweiterung, kannst die ja mal anschauen. Vielleicht taugt die ja was.

 

[JackTirol]

Ja, da denken wir wohl wirklich in die gleiche Richtung.

Die Bookmark-App habe ich mir mal angeschaut. Es ist halt nicht wirklich das, was ich suche. Ein Sync funktioniert damit leider nicht. Aber in diesem Punkt kann ich wie schon erwähnt mit iCloud leben. Und bei 1Passwort nutze ich ebenfalls den WLAN-Sync. Leider sieht es nicht so aus, als wolle AgileBits besondere Energie in Sachen Sync mittels anderen Cloud-Diensten stecken. Zumindest wurde ein entsprechender Thread im Supportforum, in dem sich mehrere User für eine Syncmöglichkeit via OwnCloud (und anderen) aussprachen, ohne Ergebnis geschlossen.

Was deine Einschätzung von OwnCloud angeht, so kann ich das schon nachvollziehen. Es besteht nicht nur in o.g. Punkten Nachholbedarf. Es ist sozusagen im Moment für mich zwar die beste, aber nicht die 100%ige Lösung. Deswegen bin ich ja auch interessiert an Alternativen. In diesem Sinne ist Filosync durchaus einen Blick wert. Danke dafür!

 

[Pingu]

Nur mal zum Nachdenken. Das kann nicht funktionieren:

Der Filosync Client verschlüsselt zusätzlich alle Dateien lokal bevor Sie auf den Server hochgeladen werden. Die Keys zum entschlüsseln werden nicht auf dem Server gespeichert.

Die Software ermöglicht es auch Dokument oder ganze Verzeichnisse freizugeben und zu teilen. Die Links können mit eine Lebensdauer versehen und eine Passwort geschützt werden.

Das passt beides nicht zusammen. Wenn ein Dritter ohne Installation der Software über einen Link die Daten herunter laden kann, dann können die Daten nicht verschlüsselt sein. Dazu braucht man kein Experte sein, um hier 1 und 1 zusammen zu zählen.

 

[Pingu]

Der Filosync Client verschlüsselt zusätzlich alle Dateien lokal bevor Sie auf den Server hochgeladen werden. Die Keys zum entschlüsseln werden nicht auf dem Server gespeichert.

Diese Aussage ist auch falsch. Was steht hier http://www.filosync.com/help/encryption ?

1. Benutzer überlegt sich Passwort
2. Client überlegt sich Server-Passwort aka Key
3. Client "verschlüsselt" symetrisch Key mit Passwort
4. Client speichert beides auf dem Server
5. Client überlegt sich Projekt-Passwort aka Key2
6. Client "verschlüsselt" symetrisch Key2 mit Key
7. Client speichert Key2 auf dem Server

Was haben wir jetzt auf dem Server?
— Key2 symetrisch verschlüsselt mit Key (Key2 bekomme ich, wenn ich Key weiß)
— Key symetrisch verschlüsselt mit Passwort (Key bekomme ich, wenn ich Passwort weiß)
— Passwort gehasht mit bcrypt

Wenn ich also das Passwort habe, komme ich an die Daten ganz einfach heran. Es hängt also an der Sicherheit des Passwortes. Dazu das hier http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html

Aber wie gesagt, wenn ich Links generieren, wo ein Dritter Daten herunterladen kann über den Link, dann muss der Server die Daten selber entschlüsseln können, um sie dem Dritten senden zu können. Ergo muss alles vorhanden sein, dass der Server die Daten entschlüsseln kann.

Wenn ich also einfach einen Link generieren kann, wie hier beschrieben, dann muss der Server die Daten selber entschlüsseln können. Ergo ist die Darstellung zur Verschlüsselung falsch.

Ergo könnten sie die Daten gleich entschlüsselt abspeichern, so wie es auch bei OwnCloud gemacht wird.

 

[ismon]

Wenn du in Dokument freigibst, machst du das über die Client Software. Dadurch wird das Dokument welche am Server liegt auf dem Server mit einen neuen Schlüssel neu verschlüsselt.

D.H. der Client gibt den allgemeinen Schlüssel an der Server. Der Server entschlüsselt die Datei und verschlüsselt Sie mit einen neuen zufälligen Schlüssel neu.
Der neue Schlüsse, der nur für das freigebenden Dokument gültig ist, wird an den Client zurück gegeben und dann vergisst der Server den allgemeinen und den neuen Schlüssel wieder.

Der Client baut dann einen Link zu den Dokument indem der neue Schlüssel enthalten ist.

Also alles was freigegeben wird, wird zwangsläufig mit einem neuen (zufälligen Schlüssel) neu verschlüsselt.

 

[Pingu]

D.H. der Client gibt den allgemeinen Schlüssel an der Server. Der Server entschlüsselt die Datei und verschlüsselt Sie mit einen neuen zufälligen Schlüssel neu.
Der neue Schlüsse, der nur für das freigebenden Dokument gültig ist, wird an den Client zurück gegeben und dann vergisst der Server den allgemeinen und den neuen Schlüssel wieder.

Also doch der Server.

Selbst unter der Annahme, dass Du Recht hast. Wenn ich das richtig sehe, hat der Link 15 Zeichen, was also der Schlüssel sein muss. 15 Zeichen x 8 bit sind 120 bit. Ein Schlüssel mit 120 bit deutet sehr stark auf RC4. Ein asymetrisches Verfahren kann es nicht sein, da dafür der Key viel zu kurz wäre.
Zum Thema RC4 brauche ich wohl nichts zu sagen.

Nebenbei ist selbst das alles nebensächlich. Denn das schöne ist: da läuft ein Webserver und was macht der? Der loggt alle Zugriffe, auch die der Clients.
Ich hoffe mal Du hast das Logging ausgestellt.

 

[ismon]

Naja wie bei jeder Closed Source muss man sich natürlich auf die Aussage des Herstellers verlassen.

Dass RC 4 verwendet wird vermute ich auch, leider ist die Dokumentation auf der Herstellerseite noch nicht überall komplett.

Das mit dem Webserver ist natürlich so eine Sache. Die Serveranwendung ist eine Java Anwendung die im JRE läuft und einen eigenen Webserver enthält. Viele Konfigurationsmöglichkeiten gibts da nicht. Wie gesagt, hier muss man sich drauf verlassen das der Entwickler seine Sache gut macht.

 

[Pingu]

Der Data-Encryption-Key wird mit jeder Anfrage übertragen:

/com/filosync/fsserver/controller/ui/FSLinkUIController.class

        transactions.add(new TransactionImpl(HttpMethod.GET, "^/link/([^/]+)/([^/]+)(/.+)$", false, false) {

            public boolean execute(Matcher m, FError fe)
            {
                urlEncodedLinkIdentifier = m.group(1);
                urlEncodedBase64EncodedDataKey = m.group(2);
                urlEncodedRelativePath = m.group(3);
                return viewLink(fe);
            }

        }


            linkIdentifier = URLDecoder.decode(urlEncodedLinkIdentifier, "UTF-8");
            relativePath = URLDecoder.decode(urlEncodedRelativePath, "UTF-8");
            String base64EncodedDataKey = URLDecoder.decode(urlEncodedBase64EncodedDataKey, "UTF-8");
            byte dataKeyBytes[] = Base64.base64ToByteArray(base64EncodedDataKey);
            dataKey = new String(dataKeyBytes, "UTF-8");

Das ich, der zum ersten Mal ein Java decompiliert hat.

Den Rest habe ich keine Lust auseinander zu nehmen.

 

[mariosi]

Nutzt niemand hier ownCloud? Ich wurde das empfehlen

 

[JackTirol]

Nutzt niemand hier ownCloud? Ich wurde das empfehlen

Lies doch mal die Posts auf der ersten Seite!