Hallo zusammen,
Ich suche eine sichere Webseite wo man verschlüsselt (Ende zu Ende) ein paar Daten hinterlegen kann damit der Partner diese für kurze Zeit (Zeiteinstellung für die Löschung, z.B. 12 Stunden) anschauen kann.
Aus der Empfehlungsecke
Disroot Upload (2 GB): Der Disroot-Uploader ermöglicht den Upload von Dateien bis zu 2 GB und basiert auf Lufi, das die Dateien noch vor dem Upload im Browser verschlüsselt und anschließend eine URL ausgibt, die vom Server nicht eingesehen werden kann. Damit ist eine Ende-zu-Ende-Verschlüsselung der Dateien bzw. zwischen den Teilnehmern möglich. Die Verfallszeit (wann die Downloadmöglichkeit erlischt) einer Datei kann auf 24 Stunden, 7 oder 30 Tage – oder auch nach dem ersten Download – eingestellt werden. Der Upload kann zusätzlich mit einem Passwort geschützt werden. Gehostet wird der Dienst von Disroot.
Das gleiche gibt es bspw. gehostet von adminforge → https://upload.adminforge.de/
Ist das nicht vielleicht etwas viel verlangt, dafür, dass es auch noch kostenlos (ohne Konto & Registrierung) sein soll?
Ebenfalls ist in der Empfehlungsecke https://gitlab.com/jirafeau/Jirafeau aufgeführt, was dem https://share.anoxinon.de/ Dienst zugrunde liegt, der allerdings auf 100 MB im Upload begrenzt ist.
Wo auch immer die Grenzen eines Aufwandes für ein Selbsthosting bei einem liegen, Jirfeau ist eine PHP Anwendung und falls man sowieso ein Webhosting besitzt, kann man durch einfaches Kopieren der Dateien von der Jirfeau Gitlabseite den Dienst erreichbar unter einer eigenen Domain betreiben.
Die Uploadgröße unterliegt damit erst einmal keine Beschränkung, je nachdem was der Speicherplatz, der Webhoster und die Geduld beim Hochladen zulässt (bei einer Uploadgeschwindigkeit von 10 Mb (Mbit) würde eine 2GB Datei knapp 30 Minuten dauern).
Damit nicht jeder mit Kenntnis der Domain ein Upload von Dateien durchführen kann, ist es möglich den Zugang durch ein Passwort zu schützen.
Danke für die Links, habe getestet , ist einfach und praktisch.
Ist adminforge auch Ende zu Ende verschlüsselt? Wo oder wie kann man überprüfen, dass diese Seite die Daten wirklich Ende zu Ende verschlüsselt verschickt.
Bei Emails (z.B. Thunderbird) kann man überprüfen oder auch bei Telegram kann man die 4 Symbolzeichen während dem Call mit dem Gesprächspartner abgleichen.
pCloud Transfer könnnte man noch erwähnen: https://transfer.pcloud.com/de/
Ob aber all diese Anforderungen - v.a. in Bezug auf trackingfrei - erfüllt werden kann ich zu diesem Zeitpunkt noch nicht sagen.
Wie bereits erwähnt ist es das gleiche wie bei Disroot (der gleiche Dienst nämlich Lufi) nur der Hoster ist eben hier adminforge anstatt Disroot. Die Antwort lautet also Ja.
Hier muss nichts abgeglichen werden. Die Verschlüsselung findet nur browserseitig bei dir statt. Den Schlüssel dazu übergibst du mitsamt der Url. Er befindet sich hinter dem #. Dieser bekommt der Server nie zu sehen. Informationen dazu findest du hier → https://de.wikipedia.org/wiki/Fragmentbezeichner
Danke für den Hinweis! Das mit # höre ich zum ersten Mal. Interessant!
Kann man problemlos via Torbrowser über diese adminforge Daten verschicken oder ist es doch riskant?
Sollte man generell keine Dokumente via Torbrowser herunterladen auch wenn es Ende zu Ende verschlüsselt wäre?
Ich nutze gelegentlich https://nowtransfer.de/ (von adminForge)
Das erfüllt nicht die Kriterien nachdem was gesucht wird.
https://adminforge.de/services/nowtransfer-dateien-senden/ 
Software: PsiTransfer
There is no (end-to-end) payload encryption (yet).
https://psi.cx/2017/psitransfer/
As weak compromise, I’ve implemented encryption for the download list. If the download app requests the files from the server it will receive a list of AES encrypted strings. After entering the key the decryption gets computed by the browser. But consider, the key goes over the wire at upload time and the files are unencrypted on the server’s filesystem.
Hervorhebung durch mich.
Ja und? Ich verschlüssele meine Sendungen Client-seitig und gebe das Passwort auf einem anderen Kanal als den DL-Link weiter. Also z.B. DL-Link per E-Mail, PW per Telefon oder Chat (Signal, Threema).
Soweit ich weiß schützen Fragmentbezeichner nicht vor bösartigen Servern.
Also wenn man es möglichst sicher will, kann man diese ganzen Uploadseiten vergessen, da man immer dem bereitgestellten JS vertrauen muss. Lieber Syncthing, Localsend oder die Apps von Ende-zu-Ende-verschlüsselten Cloud-Providern nutzen.
Theoretisch könnte man dann zur Erhöhung der Sicherheit den Linkteil hinter den # separat über einen anderen Kanal schicken und der Empfänger kann ihn dann zum empfangenen Link dazufügen. Okay, ein Passwort zu vergeben hätte denselben Effekt.
Funktioniert bei Jirfeau so nicht, dort gibt es kein # als Fragmentbezeicher und auch ein anderes Zeichen konnte ich dafür nicht ausmachen. Wobei das Prinzip dasselbe ist. Im Browser kann clientseitig verschlüsselt werden und im Link steckt dann der Schlüssel zum entschlüsseln.
Syncthing, Localsend und die Apps von E2EE Cloudprovidern setzen aber vorraus, dass sie bei meinem Gegenüber auch vorhanden sein müssen.
Lediglich von filen.io (und ente.io) kenne ich, dass trotz clientseitiger E2EE ein Empfänger nur einen Browser braucht, um die verschlüsselte Datei entschlüsselt herunterladen zu können. Der Schlüssel steckt halt wieder im Link.
Deswegen finde ich Jirfeau auch ganz gut, kaum Aufwand beim „selber hosten“ auf einem Shared Webspace, das bereitgestellte JS kann ich selber einsehen und ich sehe die entsprechenden hochgeladenen Dateien verschlüsselt in einem Ordner liegen.
Knackpunkt bleibt, wie sicher der Link verschickt werden kann, wobei man als zusätzliche Sicherheit noch ein Passwort vergebne könnte.
Mike Kuketz empfiehlt Torbrowser für das Surfen und Firefox für Logins. Kann man z.B. mit https://upload.adminforge.de
auch sicher via Torbrowser schicken oder empfangen?
Ende zu Ende ist verschlüsselt + mit Passwortschutz via Torbrowser trotzdem sicher?
Das ist sollte alles browserunabhängig sein, außer ein Service sperrt IP-Adressen, z.b. von Tor-Exit-Nodes