RSS-Feed abonnieren

Passwort vergessen?

v Anmelden

4. Nov 2015

ownCloud-Update November

Verfasst von

Am Dienstag, den 10. November, wird zwischen 3 und 8 Uhr die zentrale ownCloud-Installation auf Version 8 aktualisiert. In dieser Zeit wird der Dienst nicht zur Verfügung stehen.

In diesem Zuge wird, wie bereits angekündigt, die serverseitige Verschlüsselung deaktiviert. Damit wird es notwendig, dass sich jeder aktive Nutzer einmalig an der Webschnittstelle anmeldet und seine Dateien entschlüsselt. Dies erfolgt unter Angabe des eigenen Passworts über die Persönlichen Einstellungen.

Sicherheitsbedenken zur Deaktivierung der Verschlüsselung?

Die serverseitige Verschlüsselung von ownCloud ist gedacht, falls die Daten auf externen Diensten (z.B. Amazon EC2, DropBox, Drive, etc.) gespeichert werden. Sie bietet im internen Fall keine zusätzliche Sicherheit.

Encryption keys are stored only on the ownCloud server, eliminating exposure of your data to third party storage providers. The encryption app does not protect your data if your ownCloud server is compromised, and it does not prevent ownCloud administrators from reading user’s files. This would require client-side encryption, which this app does not provide. https://doc.owncloud.org/server/7.0/admin_manual/configuration/encryption_configuration.html

Da sowohl die Schlüssel als auch die Daten auf dem Server gespeichert werden, hat ein potentieller Angreifer auch dann Zugriff auf die Daten, wenn sie serverseitig verschlüsselt wurden. Die serverseitige Verschlüsselung bringt in unserem Einsatzszenario leider keinen Nutzen, dafür aber einige Probleme. Wir haben uns deshalb entschlossen, sie abzuschalten, auch um unsere Kunden nicht in einer Scheinsicherheit zu wiegen.

Dessen ungeachtet bietet eine intern gehostete Cloud aber dennoch mehr Sicherheit als externe Anbieter. Eine absolute Sicherheit können aber leider auch wir nicht garantieren.

Update-Ziel

Im Rahmen der bestehenden Testphase sind diverse Probleme mit der serverseitigen Verschlüsselung in Erscheinung getreten, die wir mit dem anstehenden Update beheben möchten. Wir versprechen uns eine Verbesserung der folgenden Punkte:

  • Der Verlust von Daten bei Passwortverlust ist nicht mehr gegeben; eine manuelle Aktivierung der Passwortwiederherstellung entfällt
  • Die Serverlast nimmt signifikant ab
  • Das Teilen von Inhalten wird auch an noch nicht eingeloggte Nutzer möglich
  • Es wird möglich Byte-Range-Anfragen an den Server zu senden, die es ermöglichen z.B. in Videos jederzeit an eine beliebige Stelle zu springen
  • Es wird ca. 35% weniger Festplattenspeicher benötigt.

Über Robert Jäckel

Kommentieren


Seiten