Hi
welche (freie) cloud software würdet ihr empfehlen? Sollte man auf einem ARM gerät hosten?
Freie ios und android apps wären auch nett.

Gibt es da überhaupt eine ernsthafte Alternative zu Nextcloud?

Owncloud geht auch

Es gibt auch noch etwas anderes


https://cryptpad.fr/

Ich meine aber hier fehlt der Client für das Syncen...

Würde auch nextcloud wählen

Nextcloud funktioniert auf einen rpi (ab 3) hervorragend. Zusammen mit einem USB-SATA Adapter auf eine SSD.

Sparsam und wenn hinter einer VPN auch absolut sicher.

Nextcloud funktioniert auf einen rpi (ab 3) hervorragend. Zusammen mit einem USB-SATA Adapter auf eine SSD.

Sparsam und wenn hinter einer VPN auch absolut sicher.

FTYI :
"und wenn hinter einer VPN auch so sicher, wie es ohne weitere Ausgaben geht" :D

Single point of failure, nie vergessen. Je mehr Nextcloud benutzen umso.... you know.

Solange da nicht 24/7 ein Admin sitzt ist nix sicher, bis man merkt, dass was nicht stimmt ist alles längst vorbei ^^

(Will nur keine falsche Sicherheit sehen und dann packt einer seine hoch sensitiven Daten da rein)

FTYI :
"und wenn hinter einer VPN auch so sicher, wie es ohne weitere Ausgaben geht" :D

Single point of failure, nie vergessen. Je mehr Nextcloud benutzen umso.... you know.

Solange da nicht 24/7 ein Admin sitzt ist nix sicher, bis man merkt, dass was nicht stimmt ist alles längst vorbei ^^

(Will nur keine falsche Sicherheit sehen und dann packt einer seine hoch sensitiven Daten da rein)

Nun, vorausgesetzt, er hält seine VPN Daten geheim, dann sollte das reichen. Vorausgesetzt, jemand kommt in seine VPN, müsste er auch in die Nextcloud kommen.
Möglich, aber wenn man so eine Angst vor Attacken hätte, dann würde ich das Ethernet Kabel kappen und seine SIM-Karte ausm Handy holen :smile:

Hi
welche (freie) cloud software würdet ihr empfehlen? Sollte man auf einem ARM gerät hosten?
Freie ios und android apps wären auch nett.

Du willst von zu Hause aus hosten? Was genau soll diese "Cloud" denn können? "Cloud" kann alles und nichts bedeuten. Meinst du Cloud-Storage oder als SaaS gehostete Webanwendungen?

Ich will den Thread nicht derailen, aber je nach dem, was du haben willst, sind Nextcloud und Co. gar nicht die richtigen Lösungen. Vielleicht willst du nicht einmal eine "Cloud".

Nun, vorausgesetzt, er hält seine VPN Daten geheim, dann sollte das reichen. Vorausgesetzt, jemand kommt in seine VPN, müsste er auch in die Nextcloud kommen.

Das würde ich so nicht sagen. Viele VPNs werden oft vollkommen falsch konfiguriert. Moderne VPNs wie WireGuard machen das heute deutlich einfacher, aber ich würde eher nicht davon ausgehen, dass jemand auf Anhieb L2TP / IPSec oder OpenVPN korrekt und sicher konfiguriert bekommt. Deshalb ist "VPN" schon ein etwas schwammiger Begriff und nicht automatisch eine Verbesserung zu einem öffentlich gehosteten Dienst.

Eine Sicherheitslücke in einer Webanwendung auszunutzen ist auch ein vollkommen anderer Angriffsvektor als eine Lücke in einem falsch konfigurierten VPN auszunutzen. Das kann man so direkt gar nicht vergleichen.

Möglich, aber wenn man so eine Angst vor Attacken hätte, dann würde ich das Ethernet Kabel kappen und seine SIM-Karte ausm Handy holen :smile:

Der Vergleich ist ein wenig seltsam. Ich würde vielleicht kein Ethernet-Kabel kappen und meine SIM-Karte wegwerfen, sondern eher nachvollziehen wollen, welche Angriffvektoren gegen Webanwendungen und / oder VPNs existieren und wie ich damit umgehen will.

Liefert dein Konstrukt ein vertretbares Risiko für Dienste, die man alleine nutzt? Vielleicht, aber das muss jeder selbst entscheiden. Ich finde das enorm schwierig zu beurteilen, weil man natürlich nur vage über allgemeine Setups redet und nicht über konkrete Konfigurationen. Nur für Letzteres kann man aber halbwegs entscheiden, ob das wenigstens konzeptionell sicher ist, was man sich da überlegt hat. Zumal es auch von den Daten und deren Wert abhängt, die man absichern will. Man sollte sich da auch nicht selbst belügen, was natürlich aus pragmatischen Gründen gerne gemacht wird. Private Daten wie Fotos, wichtige Dokumente und Passwörter zu anderen Diensten haben oft einen höheren Wert als viele Leute zugeben wollen.

Man sollte aber nicht davon ausgehen, dass ein VPN automatisch alles magisch absichert, wenn man schon Probleme hat den eigentlichen Dienst richtig zu betreiben. Es ist in bestimmten Konstellationen sicher nützlich, keine Frage.

Es macht aber auch das gesamte Setup komplexer und liefert einen direkten Einstiegspunkt in dein eigenes Netzwerk, was wiederum vollkommen neue Angriffe ermöglicht, wenn man ein VPN falsch konfiguriert. Wenn du einen funktionierenden Einstiegspunkt in dein eigenes Netzwerk lieferst, stellen sich plötzlich neue Fragen, z.B. wie du mit Angreifern in deinem Netzwerk umgehst, was plötzlich ein realistisches Szenario sein kann.

Und ab da hört dann meistens die Betrachtung auch schon auf. Es ist leider ein offenes Geheimnis, dass Organisationen, die ein VPN als "sichere" Barriere in ihr Netzwerk nutzen, meistens das VPN dann auch als einzige, harte Barriere betrachten, die sie brauchen. Das sind dann Umgebungen mit einer (hoffentlich) harten Schale und einem sehr weichen Kern. Private Nutzer simulieren dann häufig genau diese Umgebungen, weil sie das von ihrer Arbeit kennen, verstehen aber nicht, dass sie sich damit exakt die gleichen Probleme ins Haus holen, für die wiederum nie eine Lösung gefunden wurde.

Ich kann dazu auch keine einfache Lösung liefern, aber man muss sich einmal bewusst machen, was man dort überhaupt konstruiert.

Der Vergleich ist ein wenig seltsam. Ich würde vielleicht kein Ethernet-Kabel kappen und meine SIM-Karte wegwerfen, sondern eher nachvollziehen wollen, welche Angriffvektoren gegen Webanwendungen und / oder VPNs existieren und wie ich damit umgehen will.


Was ich damit sagen wollte ist halt, dass man die Angst vor Hackern auch übertreiben kann.. Ich bin ja selbst kein Fachmann, was vllt ein paar Leute wissen. Ich sehe aber kein Problem darin, Daten die man Google oder anderen CloudAnbietern bietet auch in eine Nextcloud zu stellen, die man über Wireguard schützt. Ich selbst nutze auch Wireguard und finde es gut, dass das Script auch für DAUs geeignet ist. Ich kann mir vorstellen, dass ein falsch konfiguriertes IPSec (AVM VPN soll ja auch nicht 100% sicher sein) oder OpenVPN ein Sicherheitsrisiko darstellt.

Im Rahmen von hochsensiblen Daten (PasswortVault oä) würde ich ja noch dazu ein gezipptes Archiv empfehlen, natürlich auch mit einem entsprechend langem Passwort... Das sollte doch sicher sein, oder ist das mittlerweile auch schon gehackt worden?

Was ich damit sagen wollte ist halt, dass man die Angst vor Hackern auch übertreiben kann.. Ich bin ja selbst kein Fachmann, was vllt ein paar Leute wissen. Ich sehe aber kein Problem darin, Daten die man Google oder anderen CloudAnbietern bietet auch in eine Nextcloud zu stellen, die man über Wireguard schützt.

Die Sache ist eben die: Einige Leute hören VPN und denken, dass irgendetwas mit VPN im Namen automatisch alles sicher macht. Wenn du weißt, dass es da Unterschiede zwischen den Implementierungen gibt und WireGuard vermutlich einfacher sicher einzurichten ist als andere VPN-Software, dann weißt du schon mehr als 99,9% aller Anwender.

Im Rahmen von hochsensiblen Daten (PasswortVault oä) würde ich ja noch dazu ein gezipptes Archiv empfehlen, natürlich auch mit einem entsprechend langem Passwort... Das sollte doch sicher sein, oder ist das mittlerweile auch schon gehackt worden?

Auch das ist schwierig zu beantworten. 7-Zip hatte z.B. jahrelang unter bestimmten Angriffsszenarien eine relativ wirkungslose Verschlüsselung, weil der Initialisierungsvektor für den CBC-Mode falsch gewählt wurde. Praktisch konnte man den Inhalt der verschlüsselten Dateien fast schon manuell erraten, auch wenn man die Dateien nicht vollständig entschlüsseln konnte (was dann auch gar nicht mehr notwendig war, um an den Inhalt zu kommen).

Viele Passwortmanager nutzen oder nutzten vor einigen Jahren auch keine authentifizierte Verschlüsselungsmodi. Eigentlich sind so verschlüsselte Datenbanken deshalb auf z.B. Cloud-Storage nicht sicher verwendbar, wenn man von einem aktiven Angreifer ausgeht. Jemand könnte dir manipulierte Datenbanken unterjubeln und könnte darüber potentiell Rückschlüsse über den Inhalt ziehen, was ein sogenannter Chosen-Ciphertext-Angriff wäre. Die Länge deines Passworts spielt dafür auch keine Rolle.

Ist das ein realistischer Angriff gegen private Anwender? Vielleicht, vielleicht auch nicht. Ich will damit auch eher zeigen, dass es subtile Fragen gibt, die oft nicht oder nur unzureichend betrachtet werden. Das kann problematisch werden, wenn man sich auf bestimmte Eigenschaften verlässt (meine-verschlüsselte-Passwortdatenbank-ist-auf-jedem-Medium-sicher), weil man intuitiv davon ausgeht, dass sie die erfüllen, aber das praktisch gar nicht der Fall ist. Das muss auch nicht pauschal schlecht sein, solange man die Limitierungen der jeweiligen Software genau versteht und eben vermeidet, dass man sie "falsch" benutzt.

Deshalb macht es auch keinen Sinn zu fragen, ob XY pauschal sicher ist. Man kann nur fragen, ob es unter bestimmten Annahmen gegen konkrete Angriffsszenarien sicher ist. Auf alles andere wird man nie eine nützliche Antwort erhalten.

Die Sache ist eben die: Einige Leute hören VPN und denken, dass irgendetwas mit VPN im Namen automatisch alles sicher macht. Wenn du weißt, dass es da Unterschiede zwischen den Implementierungen gibt und WireGuard vermutlich einfacher sicher einzurichten ist als andere VPN-Software, dann weißt du schon mehr als 99,9% aller Anwender.



Auch das ist schwierig zu beantworten. 7-Zip hatte z.B. jahrelang unter bestimmten Angriffsszenarien eine relativ wirkungslose Verschlüsselung, weil der Initialisierungsvektor für den CBC-Mode falsch gewählt wurde. Praktisch konnte man den Inhalt der verschlüsselten Dateien fast schon manuell erraten, auch wenn man die Dateien nicht vollständig entschlüsseln konnte (was dann auch gar nicht mehr notwendig war, um an den Inhalt zu kommen).

Viele Passwortmanager nutzen oder nutzten vor einigen Jahren auch keine authentifizierte Verschlüsselungsmodi. Eigentlich sind so verschlüsselte Datenbanken deshalb auf z.B. Cloud-Storage nicht sicher verwendbar, wenn man von einem aktiven Angreifer ausgeht. Jemand könnte dir manipulierte Datenbanken unterjubeln und könnte darüber potentiell Rückschlüsse über den Inhalt ziehen, was ein sogenannter Chosen-Ciphertext-Angriff wäre. Die Länge deines Passworts spielt dafür auch keine Rolle.

Ist das ein realistischer Angriff gegen private Anwender? Vielleicht, vielleicht auch nicht. Ich will damit auch eher zeigen, dass es subtile Fragen gibt, die oft nicht oder nur unzureichend betrachtet werden. Das kann problematisch werden, wenn man sich auf bestimmte Eigenschaften verlässt (meine-verschlüsselte-Passwortdatenbank-ist-auf-jedem-Medium-sicher), weil man intuitiv davon ausgeht, dass sie die erfüllen, aber das praktisch gar nicht der Fall ist.

Deshalb macht es auch keinen Sinn zu fragen, ob XY pauschal sicher ist. Man kann nur fragen, ob es unter bestimmten Annahmen gegen konkrete Angriffsszenarien sicher ist. Auf alles andere wird man nie eine nützliche Antwort bekommen.

Danke für deine Ausführungen :thumpsup:

Ich werde mich da Mal einlesen