Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 130 reacties

Dropbox maakt duidelijk persoonlijke bestanden in folders van gebruikers niet in te zien, maar een vergelijking op basis van hashes te maken om delen van content die inbreuk op auteursrecht maakt te voorkomen. Afgelopen weekend ontstond hier ophef over.

In een tweet gaf Darrel Whitelaw afgelopen weekend aan een Dropbox-folder niet te kunnen delen vanwege een takedown-verzoek bij Dropbox. Al snel werd de tweet duizenden keren ge-retweet, waardoor Dropbox zich genoodzaakt zag een verklaring uit te sturen. "We krijgen soms DMCA-verzoeken om links op basis van copyright-bezwaren te verwijderen. Als we deze ontvangen, handelen we naar de wet en maken de links ongedaan", laat Dropbox weten aan TechCrunch. De dienst doet dit overigens al jaren.

Dropbox gebruikt een geautomatiseerd systeem dat voorkomt dat gebruikers identiek inbreukmakend materiaal delen via Dropbox-links. "Dit werkt door hashes van bestanden te vergelijken. We kijken niet in je persoonlijke folder." De vergelijking levert alleen een match op bij identieke bestanden en als geconstateerd wordt dat een bestand op de zwarte lijst gedeeld wordt, wordt alleen de link geblokkeerd, niet het bestand in de folder zelf.

Dropbox gebruikt de algoritmes voor het hashen ook om te voorkomen dat identieke bestanden meerdere keren worden toegevoegd: als een gebruiker een bestand in zijn dropbox-folder zet, dat identiek is aan een bestand dat al eerder geüpload is, wordt simpelweg toegang tot dat bestand gegeven om op bandbreedte en opslagcapaciteit te besparen. Het bestand wordt versleuteld en Dropbox beheert die sleutels, en kan daarmee wel in bestanden kijken, schrijft TechCrunch. Wel zou er beveiliging aanwezig zijn om te voorkomen dat medewerkers hier misbruik van maken.

Dropbox

Moderatie-faq Wijzig weergave

Reacties (130)

Een groot nadeel van de cloud. Stel dat ze dit soort checks lokaal op je computer uit zouden gaan voeren.. Cloudspace die je huurt zou de verantwoordelijkheid van de huurder moeten zijn. Belachelijk dat overheden daarop controles kunnen uitvoeren zonder medeweten van de huurders.
Het een sluit het ander niet uit. Als je een garagebox huurt is de inhoud in principe ook jouw verantwoordelijkheid. Maar als de eigenaar ziet dat je 'm vol stopt met illegaal materiaal, heb je best kans dat er een keer ingekeken wordt zonder jouw medeweten. En dat er opeens een geel lint voor de deur zit.
Maar dat mag alleen met een gegronde reden voor een verdenking. De politie mag niet random zomaar wat garageboxen doorsnuffelen als ze daar zin in hebben. Dat is natuurlijk wel wat hier gebeurt.
Het zijn niet de overheden die dat doen, maar de Dropbox admins zelf. Of in dit geval dus het geautomatiseerde systeem dat bij bepaalde hashes actie onderneemt.

Verder vind ik je vergelijking met checks op je lokale computer uitvoeren treffend. Stel dat bijvoorbeeld TrueCrypt een 'hash checker' ingebouwd heeft die om de zoveel tijd kijkt of jij geen 'illegale' content in je lokale vaults hebt staan. Dan zou het hek van de dam zijn. Echter als cloud provider mag het wel, ook al noemen ze het 'persoonlijke folders'.

Nu begrijp ik wel dat Dropbox als hoster zijnde uiteindelijk verantwoordelijk is voor wat er op hun servers gebeurt, maar dit soort acties zet wel de vraag uit wat ze nog meer kunnen:
Het bestand wordt versleuteld en Dropbox beheert die sleutels, en kan daarmee wel in bestanden kijken, schrijft TechCrunch. Wel zou er beveiliging aanwezig zijn om te voorkomen dat medewerkers hier misbruik van maken.
Ik zit eigenlijk te wachten op het nieuwsartikel waarin naar buiten komt dat deze beveiliging toch niet helemaal zijn werk heeft gedaan.
Ach, geef het een paar maanden.
Er wordt vast en zeker ergens iemand een keer ontslagen bij dropbox die het niet eens is met z'n ontslag en de beerput open gaat trekken als dat inderdaad het geval is.
Precies de reden waarom ik ouderwets alles lokaal wil kunnen opslaan, al dan niet op een NAS.

Naast het inkijken van bestanden wil ik niet dat een ander, geautomatiseerd of niet, uit kan maken of het gepaste content is, ik in overtreding ben in land X terwijl ik hier in NL in mijn recht sta of dat ik afhankelijk ben of de betreffende cloud te bereiken is, MAW wil ik ook mijn bestanden gebruiken als Ziggo de kabel doorknipt bij werkzaamheden.

Dan hebben we het niet eens over alle overheidsgegevens die mogelijk in clouds staan die wegens patriot act gewoon uitgelezen mogen worden als het betreffende bedrijf ook servers in de VS heeft staan.
Een groot nadeel van de cloud.
Een groot voordeel voor de politieke en commercile elite, en daarom zal en moet iedereen naar de cloud gaan. Want waar komen de miljarden vandaan die in cloud oplossingen zoals Dropbox, de Googles, de Facebooken maar ook enterprise oplossingen worden genvesteerd?
Juist, van dezelfde politieke en commercile elite.

En onder het mom van 'he das handig zeg, al je gegevens altijd op internet' trappen we er allemaal in, geven we onze privacy weg, kunnen bedrijven makkelijker bespioneerd worden, en worden we steeds controleerbaarder, bestuurbaarder en minder vrij.

Het verbaast me dus niets dat Dropbox dit doet, maar wel dat iedereen er verbaasd over is.
Ach, mensen kiezen er zelf voor, men stalt data bij amerikaanse bedrijven, men deelt massaal persoonlijke data via social media en men stemt massaal op partijen die over moslims zeiken belangrijker vinden dan privacy en democratie.
Het is niet de politieke en commerciele "elite" (wie of wat dan dan ook mag inhouden) maar de burger zelf die dit wil, zelfs veel mensen die er over zeuren doen vaak B terwijl ze pretenderen graag A te willen..
Beschermd materiaal sharen en dan piepen dat het wordt geblokkeerd. Rename het dan of pak het in en hak het in stukjes. Kans is dan kleiner dat je gepakt wordt.
Rename het dan
De bestandsnaam is geen onderdeel van 't bestand zelf en dus ook niet van invloed op de hash (doorgaans).
of pak het in en hak het in stukjes
Bij een beetje systeem wordt er niet 1 hash over de hele file getrokken maar hashes over blokken data zodat je per blok aan deduplicatie kunt doen i.p.v. op fileniveau. Ook in stukjes hakken zal dus mogelijk een zelfde hash(es) opleveren en dus mogelijk het systeem triggeren. En afhankelijk van welk soort hash kunnen ze ook aan 'fingerprinting' doen waarbij, i.t.t. "gewone" hashes, een enkele byte wijziging of andere kleine wijzigingen dezelfde hash/fingerprint geven. Zo zou een her-compressie van een MP3 of videobestand eenzelfde fingerprint kunnen geven waardoor ze alsnog "ongeoorloofde bestanden" zouden kunnen opmerken. En dan zouden ze ook nog verschillende hashes/fingerprints kunnen gebruiken/mixen om het systeem optimaal te benutten (of de gebruikers optimaal in de smiezen te kunnen houden; het is maar net welk (alu-)hoedje je op zet ;) ).


Wil je enige vorm veiligheid/privacy dan zul je gewoon (fatsoenlijk) moeten encrypten (of de dienst niet gebruiken :) ).

[Reactie gewijzigd door RobIII op 31 maart 2014 13:54]

Je mist het punt. Het gaat hier om het feit dat mensen dachten online prive-ruimte te huren, terwijl bepaalde instanties gewoon lekker zitten mee te kijken. Wij moeten nu Dropbox op hun blauwe ogen geloven dat het alleen om hashes gaat (wat op zich al erg genoeg is)?
Wat dacht je dan ?
Het zijn gewoon beheerders die dingen in de gaten moeten houden. Als we op het werk in de gaten krijgen dat iemand zijn collectie mp3 (illegaal of niet) of wat dan ook bij ons op het netwerk plant in zijn "persoonlijke" folder dan gaan we die persoon toch echt even bellen.. Je kan het inbreuk noemen van je privacy maar aan de andere kant hebben we wel een netwerk te beheren. Zo is het waarschijnlijk bij dropbox (of welke clouddienst dan ook). Daarom lekker alles thuis bewaren of je eigen nasje ofzo
iets in persoonlijke folder op werk kijken is wat anders, daar kan je zeggen dat alles eigendom is van de werkgever.

bij dropbox is het een prive folder die je huurt.
je huurt ruimte (folder), waar je blijkbaar prive spullen op plaatst ;)
Toch niet.
In Belgi is het niet toegestaan volgens de wet op de privacy dat je werkgever zonder jouw toestemming in jouw werk mailbox gaat kijken.
Alleen bestanden die worden gedeeld worden gechecked door het systeem, staat ook ergens in de bron
Als je je bestanden niet deelt, bespaar je dan de moeite om Dropbox te gebruiken en kwak ze gewoon in My Documents.

Het issue is dat "delen" niet hetzelfde is als "openbaar maken". Je kunt een dropboxmap ook gebruiken als backup of NAS voor meerdere computers. Maakt Dropbox het onderscheid?...
Ik gebruik dropbox voornamelijk voor mijn spullen voor de universiteit. Het is namelijk erg handig als je af en toe op een andere computer zit. Soms zit op een laptop te werken, soms op mijn desktop, soms op een computer van de universiteit. Dan is het niet handig om een USB telkens overal mee naar toe te moeten nemen (want die vergeet je, en performance), dus daarom dropbox
En jij gelooft dat? Lees het verhaal over deduplicatie nog maar eens.
Dus, een letter veranderen in de metadata en de hash is anders, toch?
Dus, een letter veranderen in de metadata en de hash is anders, toch?
Bij een MD5/SHA1/SHA2/etc. hash wel, maar men kan (daarnaast/ook) aan fingerprinting doen waarbij een dergelijke kleine wijziging geen nut heeft.
If two files sound alike to the human ear, their acoustic fingerprints should match, even if their binary representations are quite different. Acoustic fingerprints are not bitwise fingerprints, which must be sensitive to any small changes in the data.
Also, digital video fingerprinting enables to recognize videos with a different resolution compared with the original (smaller or larger) as well as recognize videos that have been modified slightly (blurring, rotation, acceleration or decceleration, cropping, insertions of new elements in the video), and videos where the audio track has been modified.
Dat zou meteen een goede test zijn of Dropbox hierbij de waarheid spreekt.
Helaas kun je daar dus niets over zeggen, bovenstaand in acht genomen ;)

[Reactie gewijzigd door RobIII op 31 maart 2014 08:59]

Dat zou meteen een goede test zijn of Dropbox hierbij de waarheid spreekt.
Hoewel deze methode inderdaad goed werkt, kan ik het niet helpen dat ik twijels heb als dropbox dat zegt... Call me paranoid, maar de mensen hier kennen vast dat deduplicatie verhaal nog wel. ;) Dat voor automatische checks dropbox niet in je folders kijkt, zegt weinig over andere momenten.
Dat hashes gecontroleerd kunnen worden is al erg genoeg. Ze kunnen dus ook controleren op materiaal dat alleen in sommige landen verboden is (documenten waarmee bepaalde regeringen het niet eens zijn bijv..). Met andere woorden; Als je privacy je lief is, blijf dan weg van Dropbox.
Privacy is allang verleden tijd. Als je je daar druk om gaat maken kun je net zo goed de stekker van het internet en de telefoon eruit trekken en unplugged verder leven. Er wordt zelfs bijgehouden wat je koopt met je pinpas, dus je wordt toch al 24/7 gescand. Of je nu belt, iets koopt of met je telefoon bezig bent. Zolang deze gegevens maar niet tegen je gebruikt worden, zal ik me nergens druk om maken.
Ik krijg het idee dat je deze tekst hier niet cynisch of zelfs maar ironisch bedoelt. In dat geval is het de eerste keer dat ik deze tekst, die normaal gebruikt wordt door deskundigen om te illustreren hoe simpel de meeste internet-gebruikers denken, ook echt 'in het wild' tegenkom.
Het eerste punt met deze text is, natuurlijk, de laatste zin - want ls (zodra) de gegevens tegen je worden gebruikt, is het natuurlijk te laat. Dan heb je je weliswaar nergens druk om gemaakt, dus had je vvr dat moment een prettiger leven dan mensen die zich daar wl druk om maakten - en kennelijk ben je nu (nog) in deze fase- , maar dan heb je vervolgens een hoop ellende om je nek waar geen eind meer aan is.
Een tweede issue is dat je 'internet' bijna gelijk stelt aan privacy, als je zegt dat 'privacy verleden tijd is'. Het impliceert, voor mijn gevoel, dat je de internet-realiteit als een gegeven beschouwt, in plaats van als iets dat we op dit moment met z'n allen aan het bouwen zijn. Peter Olsthoorn heeft een aardig bokje geschreven, "privacy bestaat niet" waarin hij probeert alles wat met deze gedachte samenhangt onder de loep te nemen.
En een derde issue is dat ook zonder Internet de privacy altijd een issue is (geweest). In sommige dorpsgemeenschappen weet/wist bijvoorbeeld ook iedereen alles van iedereen - zonder internet.. 'De trek naar de stad' was een van de gevolgen daarvan. Privacy is daarmee een relatief modern begrip, dat nog aan zijn opmars bezig is, en zelfs hebben nog niet alle talen er een woord voor.

Kortom, je kan de ontwikkeling van het Internet k zien als een ontwikkeling naar privacy toe.
Juist in deze omgeving van nerds is het, lijkt me, belangrijk om dat bewustzijn in stand te houden. Internet is een min of meer toevallig ontstaan ding, dat in zijn beginfase nooit rekening heeft gehouden met privacy. Nu staan we voor de gevolgen daarvan en is het een kern-thema geworden, zowel binnen, als buiten internet.

Het opgeven van privacy heeft ook altijd voordelen; biedt gemakken, en ligt ook aan de basis van sociale interactie en solidariteit. De verering van anonimiteit heeft ook nadelen: de individualisatie, het verloren gaan van sociale verbanden.
Met het Internet zijn we meteen ook die balans aan het uitvinden, of her-uitvinden als je wilt, en je zou misschien kunnen zeggen dat we eingenlijk pas door het internet echt met de neus op het werkelijke dilemma achter dit begrip worden geduwd...
[Edit: zucht]

[Reactie gewijzigd door Enai op 31 maart 2014 10:36]

Heb je het artikel gelezen? Je mag wel degelijk auteursrechtelijk beschermde bestanden op JE EIGEN DROPDOX-ACCOUNT zetten, maar je mag ze niet delen! En als je ze wel deelt word het bestand alsnog niet verwijderd, maar word de optie tot delen geblokkeerd..

Geschreeuw zonder inhoud.
Heb je het artikel gelezen? Je mag wel degelijk auteursrechtelijk beschermde bestanden op JE EIGEN DROPDOX-ACCOUNT zetten, maar je mag ze niet delen!
Er valt desondanks wel wat aan te merken op de procedure van Dropbox, zoals ze die zelf beschrijven:
Dropbox:
Some interpreted the original tweet to mean that a file just sitting there in a user’s private dropbox had been DMCA’d and blocked. This wasn’t the case. Only when a file is shared from user-to-user (or with the Internet at large) does the DMCA check system come into play. In this case, a share link was generated to be sent over IM.
Het zal juridisch wel een Amerikaans bedrijf zijn, maar bijvoorbeeld in Nederland mag je geliefde/zoon/dochter (binnen huiselijke kring, is volgens mij de term) een kopie van een CD of DVD maken.

Dropbox zou eigenlijk pas moeten gaan blokkeren op moment dat er DMCA-verzoek wordt ontvangen voor een specifieke link. Een link die bijvoorbeeld op fora openbaar wordt gemaakt. Daarmee zou het immers nog steeds mogelijk zijn in beperkte (huiselijke) kring te blijven delen, zolang die link maar niet openbaar wordt gemaakt. Dan wordt er immers ook nooit een DMCA-verzoek voor die specifieke link ingediend.

'User-to-user' zou gewoon nog steeds mogelijk moeten zijn, 'internet at large' niet.
Privacy bestaat zeker nog wel. Ja ze weten erg veel van het volk, van de consument, maar in de meeste (lees bijna alle) gevallen weten ze niets over 1 persoon. Dit is namelijk helemaal niet nodig. Ze willen vooral van alles weten vanwege "veiligheid" en hoe ze nog meer zooi aan ons kunnen verkopen. Maar met de privacy zelf zit het (nog) wel snor. Zolang ze niet in onze hoofden kunnen kijken (Truman Show), blijft er een privacy...vraag me nu opeens af hoe lang het gaat duren voordat ze actief onze gedachten gaan meten en lezen, enge gedachte
Als ze op basis van onze gedachten ons reclame gaan voorschotelen gaat het zeker voor de mannen wel heel eentonig worden qua reclame... ;-)

Daarbij komt dat privacy tegenwoordig gewoon een illusie is, naast wat mensen ongedacht delen op internet, kan je als een instantie/persoon gemotiveerd is bijna alles te weten over je komen. Daar gaat een encrypted cloudstorage solution niets aan helpen, zelfs de netwerk kabels uit je computer trekken gaan niet helpen, met kan gewoon door meuren heen over je schouder meekijken (monitoren straling).
dit is wel heeeeeeeeeel erg ver. zeker over monitoren van straling. dat WAS zo bij oude CRT (cathode straal buis, dus effectief gerichte straling) schermen, maar met de LCD/LED technologie is het gewoon een TL/LED lamp die je "filtert". Dus geheel iets anders.

Al dat doemdenken over privacy die weg is enzovoorts... laten we eerlijk zijn: privacy bestaat zeker nog. Niet meer in de mate van vroeger, maar je bepaalt vooral ZELF wat je online zet en wat je wilt dat de mensen weten. Als je niet getracked wil worden, zet je je GSM AF of beter nog, laat je hem thuis. Wil je je prive leven niet te grabbel gooien, ga dan van facebook en social media af. Gebruik je dat toch, zaag dan niet over je privacy, want die gooi je zelf te grabbel.

Just my 2 cents...
"dit is wel heeeeeeeeeel erg ver. zeker over monitoren van straling. dat WAS zo bij oude CRT"


Nee hoor, met crt's was het gewoon belachelijk makkelijker.

Alle kabels (denk aan ethernet of hdmi) gedragen zich als antennes. Dat is al een punt van aanval.
Ingebouwde geluidskaarten geven veel weg over wat er in de kast van de pc plaatsvindt. Dat is een andere mogelijke aanval.
Je pc is in feite een grote verzameling antennes en kan dus prima op verschillende manieren afgeluisterd worden. Dat nog naast het feit dat er TPM chips in alle devices zit ingebouwd die op eigen houtje met netwerkdevices kunnen praten (zonder dat de rest van de computer daar weet van heeft).

Wil je daar dus aan ontkomen moet je toch echt terug naar pen en papier..
hetgeen wat jij mist, volgens mij, is PERSPECTIEF.
Inderdaad, alles waar stroom door loopt is een antenne. Dus theoretisch gezien heb je gelijk, maar in de praktijk zijn er grenzen aan wat haalbaar is.
Toon mij 1 voorbeeld wat ECHT bestaat waar men het HDMI signaal kan "copieren" door de kabel zelf af te luisteren.

Of ben jij iemand die redeneert dat een regenwaterput ook niet zinvol is omdat je electriciteit nodig hebt om het water te pompen en dat dat dus zelfs duurder is dan stadswater? Want er zijn wel meer mensen die op die manier totaal de voeling met realiteit kwijt zijn. Dus... hou het een beetje "normaal".

Want op jouw manier zorg je ook voor luchtverplaatsing bij het schrijven met potlood en papier, waardoor je je schrijven ook kan achterhalen. En een correcte koolstofatoomgevoelige camera kan perfect door je huis lezen wat je schrijft...

Dus komop, late we gewoon even gezond verstand gebruiken, de verantwoordelijkheid ligt voor 99,999% bij jezelf! En als ik ECHT iets over jou wil weten, gelijk je pincode van je kaart, kom ik gewoon even aan de voordeur bellen met een .44 in de hand en dan zal je mij je kaart en nummer wel geven.

Al de doemdenkerij... ;)
ik werk toevallig voor ING en als jij de media nog klakkeloos gelooft, is dit gesprek gedaan.

Ik werk in IT security, dus ik weet heus wel waarover ik praat. Je moet gewoon niet overdrijven
Je bedoelt die ING die informatie over klantgegevens verkoopt voor eigen gewin?
Waar de froontend zo brak is dat er herhaaldelijk geen service geboden kan worden?
Ja, ik geloof direct dat alles daar op orde is. Not.

Als je ziet dat zoiets als RSA dubbel gecompromiteerd is, heb je dan als security-expert uberhaupt wel grip op de zaak? Als de tools die je gebruikt del van het probleem blijken te zijn dan heb je toch geen poot om op te staan? Of ben jij zo goed dat je je eigen veilige crypto algoritmes schrijft?

De ING is groot en er gebeurt vanalles dat niet beheerst wordt.
Ik heb ook bij de ING gewerkt.
En weet je wat ik daar moest doen? Een personeelsdatabase migreren uit Word naar Access...

Anyway, allemaal erg offtopic.
Die gegevens worden nu al tegen je gebruikt. Bijv. bedrijven zoals verzekeringen die social media afscannen. Als je soliciteert dan wordt je gegoogled. Politie en parkeergarages die kentekens vastleggen en deelt met de belastingdienst. En dan is er nog zat wat in het geniep gebeurd of op het randje van de wet balanceert.
Ondertussen is Big Data de hype van het moment want als je daar aan niet meedoet dan mis je enorm veel geld dus het wordt alleen maar erger.
Misschien is het wel tijd om je eens druk te gaan maken.

In het geval van dropbox of je bestanden gaan encrypten of over te stappen naar een alternatief die client side encryptie ondersteunt.
Of van Google Drive, One Drive, Box.net, ... kortom alle Cloud-based oplossingen die in de US gehost worden.
De enige manier om 100% zeker te zijn van je privacy is ofwel door alles zelf te encrypteren voor je het upload naar een Clouddienst ofwel door gewoon geen gebruik te maken van deze diensten.
Ik vind het trouwens niet heel onlogisch. Als Dropbox dit niet zou doen zou het een "safe-haven" zijn voor illegaal file-sharen en zou het niet lang duren vooraleer Dropbox ten onder zou gaan aan allerhande rechtzaken.
Encrypten van Dropbox kan bijv. met Boxcryptor (werkt ook met Google Drive en Skydrive van Microsoft).
Of simpelweg met een Truecrypt container, als is dat voor mobiel gebruik uiteraard geen oplossing.

[Reactie gewijzigd door Darkstar op 31 maart 2014 08:42]

Dat kan ook, maar dan wordt bij de kleinste wijziging de gehele container volgens mij weer geupload. Niet heel wenselijk.

Of Dropbox moet zo slim zijn dat ze op blockniveau synchroniseren.... Geen ervaring mee.
Ik heb Apple sparsebundle disks in mijn dropbox staan, en er wordt keurig op block-niveau gesynched.
Ga ik dus ook doen.
Had het al bij SugarSync, omdat ik klacht had van een software bug , waardoor ik ineens 1500+ dubbele folders met inhoud had van een lokale folder. Kreeg het zelf niet weg, kwamen iedere keer terug. Vroeg hen voor een oplossing, en voila na enige tijd al die specifieke folders waren verdwenen. Had enkele renamed met een underscore ervoor en erachter en die waren ook weg. Dus handwerk.
Enerzojds blij, anderszijds grmmmp!
Niet de hele container wordt opnieuw gesynced inderdaad, alleen wat er gewijzigd wordt. Hoe groot de blocks zijn weet ik niet, maar mijn ervaring is dat ie niet probeert om het complete bestand over te gooien.
op bloc niveau inderdaad, gebruik het zelf op die manier ook.
Volgens mij maakt Dropbox gebruik van Rsync.
http://nl.wikipedia.org/wiki/Rsync

Hierdoor wordt alles op blockniveau gesynchroniseerd.
nee dat is geen oplossing. als je 1 bestand wijzigd/toevoegd/verwijderd moet je de hele true crypt container weer uploaden/downloaden op je andere apparaten. boxcryptor encrypt per file.

je kunt het natuurlijk ook voor lief nemen en aantal bestanden die je echt niet de kans wilt hebben op delen encrypten met bijvoorbeeld winrar of andere. maar boxcrypter is de mooiste oplossing met redelijk sterke encryptie
Niet dus, zie post hierboven van ultimeci.

Ik gebruikte vroeger een grote container met TrueCrypt en synchronisatie ging per gewijzigde block.

Nu gebruik ik Boxcryptor omdat dit vlotter toegankelijk is van tablet en smartphone.
Ik plaats mijn wachtwoorden in een geencrypt containerformaat dat op elk platform op te vragen is. Dit bestand is in psafe3-formaat. Werkt prima hiervoor en de clouddienst kan het bestand niet lezen, het wordt lokaal gedecodeerd.
Boxcryptor werkt prima, gebruik het nu een jaar. Pro gebruiker sinds enkele maanden, en bevalt erg goed.

Enige nadeel: decrypten van bijvoorbeeld foto's op mobiele apparaten duurt vrij lang. Maar dat ligt niet aan Boxcryptor.
Dat is natuurlijk een prima oplossing, maar voor het delen van bestanden werkt het niet neem ik aan?!
Delen van bestanden werkt ook. Maar: (a) De andere partij moet ook Boxcryptor hebben - de gratis versie is voldoende. (b) Je moet de bestanden zowel via Dropbox als via Boxcryptor delen. Dus twee keer het werk.

Het delen heb ik opgegeven, omdat dat proces erg gevoelig is en er veel kan misgaan. en dan zit iemand anders ineens met encrypte bestanden op zijn disk. (Probeer maar eens een folder te delen, te verwijderen en een nieuwe folder met dezelfde naam te maken en die vervolgens te delen.)

Voor de rest werkt Boxcryptor snel en lijkt het veilig. Alleen op Win 8.1. Pro wil de software nog wel eens vastlopen.
En Boxcryptor is van Duitse origine. Komt iig geloofwaardiger over dan als het Amerikaans zou zijn.
Je vergeet BitTorrent Sync. Je bestanden worden zonder centrale server gedeeld waardoor je je bestanden niet moet toevertrouwen aan derden.
Dat betekent ook dat je enkel kan synchronizeren als beide toestellen online zijn. Persoonlijk heb ik het opgelost door deze NUC met superzuinige atom cpu (7,5 Watt TDP) aan te schaffen die ik als BTsync-server gebruik.
Er zijn zelfs projecten om Bittorrent Sync te combineren met OwnCloud op een Raspberry Pi.

Dan heb je een mooi thuis backup systeem :)
hmm ja ik snap alleen niet zo waarom je EN BTSync EN Owncloud zou gebruiken voor een backup systeem. BTSync synced sneller dan owncloud, dus voor puur backup zou ik alleen BTSync gebruiken. Indien je ook via een webbrowser erbij wilt kunnen zou ik alleen Owncloud gebruiken. Scheelt weer resources op je Pi
Omdat OwnCloud een veel betere webinterface heeft..

Dan hoef je (als je geen eigen toestel gebruikt) enkel maar naar de webinterface te navigeren zodat je met dropbox zou doen.
Helaas gebruikt die perse een tracker van bittorrent.com indien je btsync op je mobieltje zet. De mobiele client valt helaas niet aan te passen dat met ip address x alleen moet syncen.
Verder gebruik ik het wel gewoon op mijn LAN thuis en lijkt prima te werken (draai het pas een paar weken)
Gebruik dan gewoon OwnCloud :)
Mooi project, maar dat zie ik een niet-tweaker nog niet opzetten.
Ik zie die mensen ook niet om hun privacy geven :)
Ach, een beetje hosting provider bied het tegenwoordig aan in de auto-installers... :)
Mijn servers hebben het in ieder geval voorgeinstalleerd staan, klanten hoeven enkel een klikje te geven en de boel wordt opgezet.
Of je hangt een NAS in je netwerk en host je spullen zelf met http://owncloud.org/ bijvoorbeeld. De backup ervan kun je nog steeds encypten en in de cloud stoppen. Je bent dan in ieder geval 100,0% eigenaar van je data.

edit: argh... niet goed gelezen en iemand was me voor... sorry redundant :-(

[Reactie gewijzigd door Delgul op 31 maart 2014 13:38]

Je privacy is gewaarborgd, het vergelijken van hashes gaat alleen op bij identieke bestanden. Er zou alleen gezegd kunnen worden of je een bestand op jouw dropbox-account hebt staan dat identiek is aan een ander bestand, wat makkelijk op te lossen is door een kleine wijziging te maken aan het bestand.

Je weet nu in ieder geval wel zeker dat dropbox de mogelijkheid heeft om jouw bestanden te bekijken (voor zover dat niet al bekend was). Dus als de privacy een noodzaak is dan is een andere methode waarschijnlijk handiger, maar voor alle andere gevallen zal de privacy gewaarborgd zijn, mits de beveiliging aanwezig om te voorkomen dat medewerkers hier misbruik van maken goed genoeg is.
"Je privacy is gewaarborgd, het vergelijken van hashes gaat alleen op bij identieke bestanden. Er zou alleen gezegd kunnen worden of je een bestand op jouw dropbox-account hebt staan dat identiek is aan een ander bestand, wat makkelijk op te lossen is door een kleine wijziging te maken aan het bestand."

Eeh, onzin natuurlijk.
Privacy wordt hiermee niet gewaarborgt.
Ze kunnen hashes maken van willekeurige documenten en als ze zo'n hash bij jouw tegenkomen weten ze precies welk bestand daar staat.
Afhankelijk van het hashingalgoritme is het zelfs mogelijk om de inhoud van onbekende documenten te achterhalen.
Hashing leidt niet per definitie tot een afscherming van privacy. Het ligt er helemaal aan hoe het hashen is toegepast.
Als ze een brute-force aanval op je data doen zijn ze wel even bezig, of stond er echt niks in. Sterker nog, als een brute-force zoals jij voorstelt de beste optie is, beschouw ik het als safe.
Ik stel niet persee een brute-force methode voor. Daarbij kan het zijn dat ze een algoritme gebruiken dat 'brute force' triviaal maakt. Een hash is sowiso, als het goed is, een unieke identifier voor een brok data. Als zij een lijst met 'verboden' documenten hashen kunnen ze perfect zien als jij zo'n document opgeslagen hebt staan. In zo'n geval heb je nul komma nul privacy. Zij kennen immers de oorspronkelijke documenten en weten dat jij die met erg grote zekerheid ook hebt.
Een ander (breder) voorbeeld, stel iemand hasht tekstdocumenten in blokjes van een regel. Veel documenten beginnen met een bepaalde aanhef. Als ze specifieke aanheffen dan voor-hashen ('Dear Mister President,') dan kunnen ze er zo belangrijke documenten uit vissen.
En dit kun je nog verder doortrekken naar hashes van woorden. Er zit redelijk wat entropie in woorden en die kun je dus best wel hashen naar een huffmancode o.i.d.. Dan kun je letterlijk terughalen wat er stond en toch eweren dat het 'veilig' gehasht ston opgeslagen.

Het feit dat ze hashes gebruiken zegt dus op zich niets over de veiligheid of privacy.
Je zult andere partijen dus op hun blauwe ogen moeten geloven want technisch is er ontzettend veel meer mogelijk dan een gemiddeld mens zou kunnen bedenken.
Ze controleren niet de hashes van alle bestanden, enkel van de bestanden die je deelt. Dus als je een met auteursrechten beschermd bestand in je dropbox map zet doen ze er niets tegen, op het moment dat je dat bestand gaat delen zien ze het als een publicatie. En dan is het goed dat ze daar tegenop kunnen treden. Anders zou er niets van dropbox over blijven.

Zaken als truecrypt zijn dan ook geheel overbodig gezien je niet zomaar je hele truecrypt bestand gaat delen.

[Reactie gewijzigd door sanderev66 op 31 maart 2014 09:04]

Of je maakt gebruik van je eigen internetverbinding. Veel providers geven bandbreedte genoeg. Linux servertje erop zetten, OwnCloud installeren en je hebt alles online beschikbaar zonder dat iemand erin loopt te neuzen, iets/alles te verwijderen of loopt te roepen dat jij iets niet mag, of gewoon in stilte je hele account weet af te sluiten (zoek eens op WingsOfFury op GOT).
EEN Hash is eigenlijk gewoon een tekst representatie van je bestand. Websites gebruiken deze methode ook als je inlogd, om je (gehashte) wachtwoord in de database te vergelijken met het wachtwoord die je invuld in het inlogformulier.

Het is gewoon een controletechniek. Ook dropbox (en elke andere clouddienst) moet zich aan een aantal wetten houden. Als er een take-down request komt van de overheid of andere instantie moet daaraan voldaan worden.

[Reactie gewijzigd door Nardon op 31 maart 2014 22:55]

Dan moeten die documenten wel 1-op-1 identiek zijn.. moet je 1 letter veranderen, dan klopt je hash al niet meer.
Persoonlijk vind ik dit een slechte methode.

Een hash is maar een representatie van een file. Als je 100 characters wil representeren in 16 characters, verlies je gewoon data. Collisions (hashes die hetzelfde zijn zonder dat het bestand hetzelfde is) treden bij alle hashing algoritmes op. Bij sommige meer dan bij andere, maar ze zullen er gegarandeerd zijn. Als dropbox dus daadwerkelijk alleen maar op hashes controleert kan het dus zijn dat je bestand wordt neergehaald (zonder dat er copyright opzit) omdat het een collision heeft met een copyrighted file.
Zo simpel werkt zoiets natuurlijk niet. Ze zullen wel meerdere hashes maken. De kans dat je meerdere hits hebt is belachelijk klein.
Meerdere hashes? Van wat? Of bedoel je hashes met een ander algoritme? Dat zou niets uit moeten maken, want alle algoritmes zijn zo ontworpen dat ze met dezelfde invoer altijd het zelfde resultaat geven en alle algoritmes werken op byte niveau.

Het hashen van hashes zou dus geen verschil moeten maken en met verschillende hash methodes kom je ook niet op verschillende resultaten, omdat de algoritmen op byte niveau werken.
Meerdere hashes? Van wat? Of bedoel je hashes met een ander algoritme?
Meerdere hash-algoritmes over (blokken van) de file natuurlijk.

Wat bij hash A een collision geeft (en die kans is al astronomisch klein: bij MD5 1:2128, bij SHA1 1:2160 en SHA2 en andere hashes zelfs 1:2256, 1:2384, 1:2512 en nog hoger) zal bij hash B natuurlijk geen collision geven ;) Juist omdat de algoritmes verschillen detecteer je daarmee eventuele collisions. Enig idee hoe groot de kans is dat beide algo's een collision geven? Reken maar uit ;)

Je initile reactie over hashes bevat dan ook een kern van waarheid (ja, collisions kunnen voorkomen) maar die kans is totaal verwaarloosbaar (zeker op in vorige alinea beschreven methode) en niet iets om je zorgen om te maken.
Collisions [...] treden bij alle hashing algoritmes op. Bij sommige meer dan bij andere, maar ze zullen er gegarandeerd zijn.
Als je daarmee doelt op het feit dat collisions gegarandeerd (wiskundig gezien) voorkomen: helemaal waar. Als je doelt op 't feit dat ze (in de praktijk, bij dropbox) er "gegarandeerd zijn": ik zou er geen geld op zetten; eerder op 't tegenovergestelde. In dat geval vind ik "gegarandeerd" een rg gewaagde uitspraak, zlfs met de birthday paradox in acht genomen (voordat daar weer iemand mee komt aanzetten) ;)

[Reactie gewijzigd door RobIII op 31 maart 2014 16:20]

ze worden niet neergehaald, je kan ze enkel niet delen...
Op zich wel ergens normaal dat ze dit moeten doen. Maar als gebruiker kan dit vervelend zijn..
Alternatieven genoeg die dit niet doen (mega bijvoorbeeld)
Gewoon zippen en klaar.

Ik snap overigens ook niet als jij bepaalde zaken download je deze zonder aanpassing in je persoonlijke Dropbox knalt. Het is dan tochveel handiger om alleen de componenten te zippen die je nodig hebt of op z'n minst de bestandsnaam aan te passen of een klein beetje meta-data te wijzigen??

Daarnaast in bovenstaande reactie, dropbox is voor de meesten van ons gratis. Wanneer iets gratis is ben je zelf het product, like Facebook, Twitter etc.
Even voor mijn beeldvorming: Als iemand anders op de wereld ook een zipje trekt van een bestand met dezelfde content, krijg je dan hetzelfde zipje (als in, met dezelfde content/hash)? Ik weet dat de 'file modification time' en soort gelijken mee worden opgeslagen, maar in principe is dit ook uit te zetten.
Zelfde content, jup. (Tenzij je er bv ook een txt bestand bij gooit) zelfde hash? Nee. Maar een slim genoeg filter kan zip bestanden lezen ;)
Dit was inderdaad ook wat ik direct dacht, rename, en dan zippen met een text-file met wat gibberish bij, en niemand die nog wat heeft aan die hash.

En met password protected zips (eventueel in een minder gebruikte format als .zip) kom je nog wat verder.
Dit is 1 van de nadelen van de methode van DropBox (hashes en deduplicatie) die ik een tijd geleden al uitgelegd heb aan een aantal vrienden. Ander nadeel is de potentiele kans dat mensen een hele partij hashes gaan sturen richting Dropbox alszijnde "documenten", en dan in theorie vervolgens het hele document terugkrijgen. Mocht je toevallig de hash van een prive document te pakken hebben krijg je die ineens in je DropBox staan...
Dat is dan de theorie, maar hoe groot is de kans in de praktijk? En dan kan je wel zeggen: "Maar het kan altijd gebeuren", echter sommige kansen zijn zo astronomisch klein dat het gewoon geen realistisch probleem is. En ik ga ervanuit dat dit n van die gevallen is.

De kans dat iemand op jouw persoonlijke e-mail kan inloggen door je wachtwoord te gokken is waarschijnlijk heel veel groter, en in de praktijk ook onmogelijk bij een beetje redelijk wachtwoord.
De kans dat bepaalde encrypties te kraken zijn zijn vaak ook als 'klein' betiteld terwijl het in de loop der tijd vanwege allerlei redenen makkelijker geworden is. Ik zeg ook bewust dat het om een theorie gaat - niet dat het nu kan of dat de kans groot is dat het resultaat oplevert. Het is echter wel een issue waar rekening mee gehouden moet worden door bijv. DropBox en andere toko's.
Als je alleen maar zou matchen op hash/filesize combinatie heb je dat probleem ook al afgevangen
Weer een goede reden om seafile te gebruiken op je eigen server of VPS. De enige opensource dropbox-like service met client side encryption.
Nog liever Bittorrent Sync, want wie heeft er zomaar een VPS of Server slingeren?
Een goede VPS heb je al voor zo'n 10 euro per maand, als je een beetje creatief zoekt kom je voor die prijs al snel op rond de 100GB en rond de 1TB dataverkeer.

Ikzelf betaal 15 per maand en heb dan 100GB ruimte en 1000GB dataverkeer. Niet de goedkoopste, maar de goede service heeft me overgehaald om met hen in zee te gaan (DirectVPS). Aangezien Dropbox 9,99 per maand kost voor 50GB is een VPS, ook gezien de andere mogelijkheden die je er mee hebt, een stuk voordeliger.
Dat is 120 euro per jaar, dat vind ik behoorlijk wat;

Bittorrent Sync doet al dit, obv de datalimiet voor zover je die al hebt met je internet provider, en de schijfruimte die je beschikbaar hebt, 2 limieten waar je ook mee te dealen hebt als je een VPS oplossing met seafile inzet. Dus feitelijk zou je kunnen stellen dat je voor 0 euro unlimited data en dataverkeer hebt met BitTorrent Sync.
Want daar is ook niks in te bouwen natuurlijk?
TAHOE-LAFS werkt ook prima :)
Vergelijk het met een rookdetector in het toilet van een vliegtuig. Mensen verwachten ook dat ze daar volledige privacy hebben, ondanks dat het eigenlijk een dienst is die ze van de vliegtuigmaatschappij afnemen. Roken is daar verboden, maar iedereen weet dat als die detector daar niet zou hangen dat mensen dan toch zouden roken. Dus hangen ze een rookdetector op. Dat is niet hetzelfde als een camera die filmt hoe je zit te schijten, maar gewoon een minimale controle op naleving van het verbod.

[Reactie gewijzigd door RickN op 31 maart 2014 10:24]

Hoe kun je nou een rookdetector vergelijken met een analyse van je persoonlijke computer bestanden?! Dropbox geeft hier impliciet toe dat medewerkers in principe kunnen zien welke bestanden een willekeurige persoon heeft aan de hand van hashes van bekende bestanden. Nog even los van het feit dat de NSA (en dus ook de MIVD en AIVD) 100% alles van je kunnen zien.

Sorry, ik kan er even niet bij dat mensen dit soort diensten en regels goed kunnen praten.
Ik vind het prima te vergelijken.

Als ik op een vliegtuig toilet zit weet ik dat de vliegtuig maatschappij technisch gezien niets in te weg staat om mij daar b.v. te filmen. Echter, uit privacy overwegingen gebeurt dat natuurlijk niet. Tenminste, ik vind dat een redelijke aanname en ik ben niet zo sceptisch dat ik me daar druk om maak.

Op dezelfde manier weet ik ook dat Dropbox technisch gezien niets in de weg staat om alles over alle bestanden die ik bij ze opsla te weten. Echter, ik vertrouw erop dat ze dat niet doen. De nu bekende technische controle, het vergelijken van hashes van mijn bestanden tegen een lijst van bekend copyrighted materiaal, lijkt mij een doeltreffende en proportionele maatregel. Uit enkel de hashes van mijn bestanden kunnen ze tenslotte verder geen privacy gevoelige informatie halen. Bovendien, als ik het met deze gang van zaken niet eens ben kan ik (met verlies van wat gebruiksvriendelijkheid) eigen encryptie toepassen om de dienst beter te laten aansluiten bij mijn privacy eisen.

Is het naief om zoveel vertrouwen in Dropbox te hebben? Dat zou zomaar kunnen, maar dat de aanname naief is wil niet zeggen dat de aanname foutief is.

En tenslotte, en dat was mijn originele vergelijking, als het naief is te geloven dat Dropbox niks met mijn bestanden doet, dan is het ook naief om aan te nemen dat er geen HD video en audio opnamen van mij worden gemaakt op een publiek toilet. Waarom hoor ik de privacy maffia daar dan niet over?

[Reactie gewijzigd door RickN op 31 maart 2014 14:01]

En tenslotte, en dat was mijn originele vergelijking, als het naief is te geloven dat Dropbox niks met mijn bestanden doet, dan is het ook naief om aan te nemen dat er geen HD video en audio opnamen van mij worden gemaakt op een publiek toilet. Waarom hoor ik de privacy maffia daar dan niet over?
Mensen en bedrijven die opnames maken op publieke toiletten zijn illegaal en strafbaar in zowel Nederland als de VS als ook in vliegtuigen.

Mensen en bedrijven die jou "prive" bestanden die opgeslaan zijn in de VS in kijken in de VS zijn daar niet strafbaar. Sterker nog je weet 100% zeker dat het gebeurt (want: Edward Snowden) niet alleen door de overheid/geheime diensten maar dus blijkbaar ook door Dropbox zelf; ze geven dat hier op openlijk toe verpakt in technische termen.

Toch een redelijk verschil lijkt me?
Ik vind het nogal hypocriet om te zeuren dat je een item waar copyright op zit niet mag verspreiden via dropbox. Natuurlijk mag zoiets niet. Het is nou niet bepaald zo dat dit het zelfde werkt als torrents waar de bestanden niet op een server staan. Dropbox heeft een 1 op 1 kopie van je files op een server en moet dus opletten dat hier niets tussen staat dat voor verspreiding van illegaal materiaal gebruikt wordt. Zouden ze dit niet doen dan was dropbox binnen enkele weken gesloten vanwege de take down requests en aanklachten. Het blijft een Amerikaans bedrijf.

En alleen een hash bekijken is inprincipe afdoende om te zien of het bestand al bestaat maar wij zijn europeaan en dus mogen amerikaanse instanties in principe gewoon rondsnuffelen in onze files. Wij zijn immers niet beschermd door de amerikaanse grondwet (en de amerikanen wel door de onze :S )
Nou, het verspreiden van materiaal waar auteursrecht op staat is volgende de Nederlandse wetgeving niet toegestaan. Maar in dit geval ging het om materiaal dat in zijn persoonlijke Dropbox stond en dus ontoegankelijk voor derden was.

Ik snap dat alle cloud opslagdiensten gebruik maken van hashing om dezelfde bestanden te indentificeren om er voor te zorgen dat ze het bestand maar n keer hoeven op te slaan. Om vervolgens dezelfde hash te gebruiken om direct alle bestanden (automatisch) te verwijderen na een DMCA request is begrijpelijk, maar ze begeven zich op glad ijs zodra ze ook de persoonlijke en niet gedeelde folders automatisch opschonen.

Diverse landen staan het toe om kopieen van auteursbeschermd multimedia materiaal te maken voor persoonlijk gebruik. Zo ook in Nederland en het is voor ons toegestaan om hiervoor een illegale bron te gebruiken (zolang we het alleen maar downloaden natuurlijk). Of het gedownloade MP3/MP4/AVI/MPG/MKV/etc bestand nu lokaal staat, op een NAS of in een persoonlijke (en niet gedeelde) folder bij een cloud opslag dienst; dat doet niet terzake.

Gezien deze situatie zou het verschil tussen publiekelelijk en persoonlijke opslag bij het uitvoeren van DMCA requests toch zeker moeten meespelen.
Het verspreiden van bestanden is zeer zeker mogelijk. Je kan immers mappen delen en als je goed leest zie je dat de bestanden niet verwijderd worden maar dat ze alleen niet meer gedeeld kunnen worden met andere mensen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True