Skip to content

Review: Team Beam

Das Versenden von großen Dateien ist entweder schwierig oder gar nicht möglich. E-Mail Anhänge sind in der Größe Limitiert, nicht alle Kunden haben Zugriff auf FTP, und das Betreiben eines eigenen Servers kostet Zeit und Geld. Ich kenne das aus meiner eigenen Praxis, da sollen schon mal schnell CD-Images, Patches oder Druckvorlagen übertragen werden, und man muss immer mit sftp Servern hantieren. Es muss hier also eine Lösung her. Dies hat sich auch die Skalio gedacht und bietet einen Hosted Service an: TeamBeam. Zahlende Kunden erhalten einen einfachen Upload Client mit dem Dateien auf den TeamBeam Server geladen werden können, und der Endkunde erhält eine Mail, die ein HTTP Download Link enthält. Großkunden können die Server sogar selbst betreiben und Customizing Dienstleistungen von Skalio erwerben. Skalio glaubt an die Macht der Blogs, so habe ich einen Test Zugang erhalten, mit der Bitte den Service zu reviewen. Das will ich gerne tun: Eine gute Idee Positiv finde ich den Server Ansatz und die Tatsache dass der Empfänger der Files keine spezielle Software außer einem Browser benötigt. Der Einsatz von HTTP ist zudem kompatibel mit den meisten Firmen-Policies. SSL bietet einen halbwegs vernünftigen Schutz der übertragenen Daten. (Der Empfänger erhält eine längere URL dadurch ist gewährleistet, dass Unbefugte die Datei ohne Zugriff auf die unverschlüsselte E-Mail nicht finden können). Einfache Software Negativ finde ich den Java Upload Client. Dieser bietet in der Version 1.0 nicht die Funktionen die man von einer Software für die Übertragung von Großen Files erwarten würde: Übertragungen werden nach einem Abbruch nicht erneut probiert, man muß diese noch einmal anstoßen. Startet man die Übertragung manuell erneut an, so wird diese anscheinend immer vom Anfang an begonnen, also keine Restart Funktion (der Empfänger kann immerhin einen Restartfähigen HTTP Client Download nutzen, da der Server den Range Header unterstützt). Wenn man mehrere Sendeaufträge parallel anstoßen möchte, so werden diese nicht in einer einzigen Upload Queue zusammengefasst, man kann also keine Parameter für maximale Parallelität, Bandbreite oder Prios vorgeben. Auch lassen sich einzelne Übertragungen nicht pausieren. Die Gui des Upload Clients ist simpel zu bedienen, die Buttons zum Browsen und der Pflege des "Addressbuchs" sind aber Gewöhnungssache. Sicherheitsschwächen Die Übertragungssicherheit bei Team Beam basiert ausschließlich auf SSL. Leider überprüft der TeamBeam Client das SSL Server Zertifikat nicht. So war es mit problemlos möglich einen eigenen SSL Proxy dazwischenzumogeln und die Komplette Übertragung mitzuschneiden. Dies ist leider ein massives Sicherheitsproblem, dürfte aber einfach zu beheben sein. Schwerwiegender ist die Tatsache dass die Download URLs in unverschlüsselten E-Mails versendet werden. Man sollte also die Daten selbst verschlüsseln (und dabei auch gleich eine elektronische Unterschrift anbringen). Im WebDAV Verzeichnis kann man an den Userids (ich hatte die Nummer 240) ablesen, dass bisher noch wenige Kunden aktiv sind (45 Postfächer mit wartenden Dateien). Auch hier kann Skalio noch für etwas mehr Privatsphäre sorgen (im eigenen Interesse). Fazit Jeder sollte selbst die Rechnung machen, ob er Open Source Tools und einen Root Server einsetzen möchte, oder lieber die Services von TeamBeam (z.B. 250Eur/Monat für 100 User) nutzen möchte. Für die Datensicherheit sollte man bei sensitiven Daten zusätzlich selbst sorgen. Die Funktionalität wie Erinnerungen, Lesebestätigungen und das Portal zur Verwaltung der Aufträge sind eine bequeme Sache (ich weiss nicht ob es hier schon Open Source Lösungen gibt). Neue Features wie z.B. die Weiterleitung von bereits auf dem Server befindlichen Dateien (im Portal) an neue Empfänger sind bereits angekündigt. Wie das Administrationsinterface für Firmenkunden aussieht (dort müssen die E-Mail Addressen der Mitarbeiter gepflegt werden) konnte ich in meinem Test nicht prüfen. Ich denke aber dass größere Kunden hier noch auf die Entwicklung Einfluss nehmen könnten. Update: ich habe den Artikel nach Feedback von Skalio etwas angepasst: Die Sicherheitsprobleme werden behoben, die Anzahl der Verzeichnisse im WebDAV spiegelt nicht die Anzahl der Kunden wieder und das Prinzipiellle Problem mit der E-Mail Sicherheit soll durch optionale Logins beim Download gelöst werden - für Skalio Kunden die ein my.teambeam.de Login haben. Update2: heute erhalte ich die Information von Skalio, dass eine neue Version 1.0.1 des TeamBeam Clients verfügbar ist, das mit einer SSL Zertifikatsprüfung daherkommt. Ebenso wurde eine XSS Schwäche beseitigt und die Zugriffsmöglichkeiten auf das WebDAV Verzeichnis sind nun eingeschränkt. Damit wurden die von Bloggern berichteten Schwächen recht zügig behoben. (Das Problem der unverschlüsselten Datenhaltung auf dem Salio Server und den ungeschützten Download Links besteht natürlich weiterhin, aber ist in der Einfachheit des Produktes bedingt)

Trackbacks

die-welt.net on : TeamBeam sicher? Noch nicht!

Wie Bernd Eckenfels mir in einem Kommentar zu meinen Posts über TeamBeam schrieb, hat er eine kleine Sicherheitsanalyse gemacht. Dabei kam er zu einem ähnl

Comments

Display comments as Linear | Threaded

Parken Schönefeld on :

Ich bin eher für die OpenSource Variante. Damit hat man zwar etwas mehr Mühe, dafür aber keine Kosten und man ist sein eigener Her... Und warum ist hier die Schrift beim Schreiben so klein??? :)

Bernd Eckenfels on :

Es gibt ein kleines Java Programm mit dem man auf seinen Amazon S3 Account hochladen kann. Das tool kann auch time limited (secret) links erzeugen: http://watchitlater.com/blog/archives/17 Gruss Bernd

Michael@213.23.31.107 on :

Eine sehr gute Alternative ist filede***. Wir selber nutzen es in unserem Haus und sind sehr zufrieden. http://www.filede***.de *Moderator*: der Poster dieses Kommentars kommt vom gleichen IP Block wie der Hoster des beworbenen Services.

Add Comment

BBCode format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA