SpiderOak – backup client

Al een poos geleden ben ik begonnen met een gratis backup client van SpiderOak. Je kan er 2 Gb mee in een remote backup zetten. Het was tijd om ook de eee maar eens goed erin te hangen. Installatie gaat met een debje dus voor Ubuntu was er een officiele versie die zelfs in de update checks mee loopt, jammer genoeg niet met validatie.

Vanavond de boel weer even laten lopen en wat updates verzonden. Geen probleem, het liep allemaal goed. Echter, na het afsluiten van de client bleef ik heel zachtjes de HD horen ratelen. Blijkbaar bleven er een aantal processen hangen waaronder een inotify_dir_watcher.

/usr/lib/SpiderOak/inotify_dir_watcher 6059 /home/hans/.S….

In de logfiles zie ik dat er blijkbaar een DEBUG optie enabled staat.

2010-10-07 21:46:06,656 DEBUG    oak                  status: signal: ss.currently_polling_directory:

Wat jammer dat dit default aan staat, het triggerde me wel om eens te kijken naar hoe de config dir er nu eigenlijk uit ziet. Wat mij eigenlijk op valt is dat er veel aandacht in de client security is voor het remote gedeelte, ze gebruiken sleutels die niet zomaar zijn op te ontsleutelen door het te sniffen. De configdir zelf is echter waardeloos op het gebied van security. Ik wil nog even voorzichtig zijn met het beweren dat dit aan SpiderOak ligt, het aanmaken van gebruikers binnen Ubuntu laat ook veel steken vallen. Bij het aanmaken van een account met de grafische tools krijgt een gebruiker netjes een eigen groep. Echter, als je dan ziet dat de homedir van de gebruiker lees en execute rechten voor iedereen heeft ga je je achter de oren krabben. Hierbij kom ik gelijk bij het probleem dat SpiderOak heeft. Ze gooien die config dir met de zelfde rechten op het systeem.

drwxr-xr-x   6 xyz xyz     4096 2010-10-07 22:08 .SpiderOak

Hierin staan diverse directories en files. Elke file is te lezen en zo kun je dus als een andere gebruiker zomaar iemands logfiles doorspitten en zijn/haar sqlite 3 databases bekijken zonder dat je wachtwoorden hebt.  Je kunt je afvragen of je als thuisgebruiker problemen ermee moet hebben. Zelf heb ik dat niet maar ik zou er niet aan moeten denken dat men dit op een shared hosting platform zou gebruiken waarbij alle gebruikers kunnen zien wat andere mensen kunnen uploaden.

Er zijn nog wel meer problemen maar daar kom ik nog op terug als ik een reactie van SpiderOak heb ontvangen.

 

 

Tagged: , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: