Cloud back-up is leuk, maar zorg er aub wel voor dat je gegevens goed versleuteld zijn vóór je deze verzend.


Die HTTP-pagina waar je over schrijft, is die na het inloggen nog steeds HTTP?
Zo ja -of indien er helemaal niet ingelogd hoeft te worden- zou ik heel snel op zoek gaan naar een andere ;)

Inloggen doe ik feitelijk in de desktop software van de online back-up dienst. In die desktop software kan ik dan klikken op "open webportaal" en dan wordt ik doorverwezen naar mijn persoonlijke online webportaal. De URL is dan http://mijnnaam.livedrive.com en hier kan ik mijn bestanden bekijken.

Het blijft dan ook http.

Er is wel een https mogelijkheid maar dan moet ik zelf eerst de URL https://mijnnaam.livedrive.com invoeren in de browser.

Zolang je zelf HTTPS gebruikt kan een en ander naar mijn mening weinig kwaad. Of nu geprobeerd wordt je login gegevens via http of https, bijvoorbeeld door brute force of social engineering te bemachtigen maakt geen verschil. (Afgezien natuurlijk van een man in the middle attack wanneer je geen ssl gebruikt)

Wel zet ik grote vraagtekens bij de wijze waarop dit bedrijf met de beveiliging van de gegevens omgaat omdat het afdwingen van https, bijvoorbeeld bij apache, een kwestie is van een simpele knop omzetten.

Ik zou, zoals anoniem hierboven ook zegt, me dan ook serieus afvragen of je wel met zo'n bedrijf in zee wil gaan en dat je hoe dan ook altijd moet zorgen dat je bestanden goed zijn versleuteld.

Dat gezegd hebbende, als je bestanden goed zijn versleuteld zou ik me minder zorgen maken over het al dan niet via ssh toegang verkrijgen tot je gegevens, zolang je er zelf maar wel gebruik van blijft maken. (Dit om te voorkomen dat je login gegevens bekend kunnen worden door een man in the middle attack)

Maar los van de beveiliging van je gegevens, gezien de slordigheden van dit bedrijf, loop je natuurlijk ook nog eens andere risisco's dan alleen beveiligings risico's. Wat heb je immers aan zo'n bedrijf als ze opeens je backupgegevens zomaar kwijt zijn door bijvoorbeeld een crash en zelf geen backups van hun eigen syeteem hebben gemaakt.

In dat geval kan ik ook gewoon inloggen op jouw account waarschijnlijk, en al zou dat nog niet zo zijn (door een header van die software bijvoorbeeld), kan ik wel al je HTTP-verkeer onderscheppen dmv een MitM aanval.

Ik zou dan ook absoluut geen vertrouwen hebben in de desbetreffende aanbieder.


NB 1) Ik heb even geprobeerd johndoe.livedrive.com te benaderen en krijg daar een relatief geruststellende mededeling dat web-sharing niet aanstaat. Als dat ingeschakeld wordt, is er wel een WW van toepassing. Je kunt dit natuurlijk ook zelf even controleren via een systeem waar de livedrive software niet op geïnstalleerd is met je eigen account. (Wat ik deed is niet bepaald helemaal legaal namelijk!) De kwetsbaarheid voor een MitM-aanval blijft m.i. onverminderd van kracht, iets wat je absoluut niet wilt voor een cloud-platform.

NB 2) Livedrive is relatief goedkoop, maar wel ongelooflijk traag, althans als ik de recensies mag geloven.

NB 3) Heb je de klantenservice al een berichtje gestuurd met een verzoek tot uitleg / een uiting van je ongerustheid? Aan het antwoord kun je waarschijnlijk al snel afleiden hoe het gesteld is met het sec-bewustzijn van Livedrive. Ik ben erg benieuwd naar hun uitleg iig.

Als ze dit al fout doen, vraag ik me af hoe veilig de desktop software is. Mijn advies zou zijn om een andere partij te zoeken en bij deze alles, inclusief de desktop software, goed te verwijderen

Peter

Ondertussen een mail gehad van Livedrive dat ze op de hoogte zijn van dit probleem en dat dit in de loop van deze week zal worden opgelost.

Nog even wat betreft de snelheid van Livedrive: ik heb een stuk of 10 bekende back-up services geprobeerd de laatste week en Livedrive is daarbij wat betreft upload snelheid veruit de snelste!!

Bij alle andere back-up services haalde ik een upload snelheid van maximaal zo'n 4,5 Mbps. Dit terwijl mijn upload snelheid bij Ziggo 15 Mbps is. Verschillende speedtests (ook van NL naar servers in USA) bevestigen mij dat ik die upload snelheid ook daadwerkelijk haal.

Overal dus zo'n 4,5 Mbps maximaal maar bij Livedrive is de upload snelheid 12,5 Mbps. Ik kan dus ruim 5 GB per uur uploaden en dat is voor mij doorslaggevend omdat ik regelmatig zo'n 35 a 40 GB in één keer moet uploaden en dat gaat dus met Livedrive gemakkelijk in één (kort) nachtje.

Waar de verhalen vandaan komen dat Livedrive langzaam zou zijn is mij dan ook een raadsel.

Ik heb her en der ook dat soort oplossingen toegepast, maar zou het toch fijn vinden om een aantal systemen over het internet te backupen naar een eigen schijf. Daar heb ik nou nooit echt een lekker systeem voor gevonden. Heb jij een idee?

Als je de schijf toegankelijk maakt via FTP, dan kan je hiervoor SyncBackFree gebruiken, deze heeft mogelijkheden om te backuppen naar een ftp server

Alleen FTP, geen SFTP of FTPS. Maar het idee is natuurlijk leuk.

Ah daar had ik niet op gelet, mijn excuses.

Er is gelukkig wel andere (gratis) software die wel deze mogelijkheid heeft; duplicati (www.duplicati.com) is de eerste die ik tegenkwam en is vrije software onder de LGPL licentie.

Wat moet de situatie dan zijn, wat zijn de voorwaarden, om hoeveel data totaal of data per dag gaat het dan, en waar staat die eigen schijf dan idealiter geparkeerd?

https is zo lek als een mandje, beter upgraden na okturtles bijvoorbeeld

NAS?

Update van TP: Livedrive heeft de aanpassing nog steeds niet doorgevoerd en op mijn mails wordt ondertussen niet meer gereageerd...

Ik ben dus nog even verder gaan zoeken en ben uitgekomen bij Zoolz.com Deze backup dienst levert feitelijk 2 verschillende upload snelheden:

(ten eerste goed om te weten dat de bestanden op mijn computer worden versleuteld voordat ze worden verzonden)

1 - uploaden met SSL ingeschakeld: uploadspeed ongeveer 0,5 MB/s
2 - uploaden met SSL uitgeschakeld: uploadspeed ongeveer 2,0 MB/s

Een heel groot verschil dus (wanneer je zoals ik vaak zo'n 30GB upload).

Maar wat is het gevolg voor mijn veiligheid als ik bestanden die al versleuteld zijn op mijn computer vervolgens via HTTP verbindingen ga uploaden i.p.v. via HTTPS? Op de website van Zoolz staat hierover het volgende:

Disabling SSL will increase the backup speed as it will skip running through some verifications which are a part of the SSL protocol, these verifications are sent in a timely manner between Zoolz on your machine and Zoolz’s servers to secure the connection, keep in mind that this won’t compromise your security as Zoolz encrypts your files before leaving the machine.

Wat denken jullie?

Kijk niet alleen naar de upload, maar ook naar de download, en neem daarbij aan dat je alle data in een keer terug moet halen. Hoe lang ben je dan bezig? Is een online backup dan überhaupt wel een werkbare oplossing?

Bij mij zou dat, gezien de downloadsnelheid die mijn ADSL-aansluiting in de praktijk haalt, op zijn gunstigst een week duren. Dat vind ik niet acceptabel. Daarom maak ik backups op versleutelde schijven, waarvan er steeds één bij mij thuis ligt en de rest bij een paar vrienden die ik regelmatig zie. Als ik op bezoek kom wissel ik vaak even een schijf om. Zelf data vervoeren levert een indrukwekkende bandbreedte op ;-).

Ha, ik reageer me nog een stunt in een afrikaans land van enkele jaren geleden waar ze een postduif met een usbstick opstuurde. Conclusie: de postduif haalt een hogere bandbreedte dan het internet in de meeste afrikaanse landen (maar natuurlijk een stuk lagere responstijd)