Hallo,
ich habe mich seit ein paar Tagen mit Teamspace 2.0 beschäftigt, mit dem Ziel zu prüfen ob es für meine Arbeitsgruppe als Tool in Frage kommt. Zum Hintergrund: wir sind eine Gruppe von 8 Nutzern, die mit OpenOffice arbeiten und zur Zeit unsere Dateien - mit BitKinex - auf einen gemeinsamen WebDav Server hochladen. Jeder Benutzer hat einen Account auf dem WebDav Server, Versionierung und andere USPs von Teamdrive stehen natürlich nicht zur Verfügung.
Meine ersten Eindrücke von der Benutzung sind sehr positiv. Das Interface ist übersichtlich gemacht, die Performance ist gut - der Rechner wird nicht verlangsamt, und Änderungen werden schnell mit dem Server synchronisert. Die History Funktion im linken Tab hat sich als nützliches Feature erwiesen ganz unabhängig von Teamdrive, zum Beispiel um Abend schnell eine Datei zu finden die man morgens bearbeitet hat. Stellenweise ist die Bedienung noch eigenwillig - wenn ich eine Datei doppelklicke, erwarte ich, dass sie sich öffnet - aber allgemein gefällt mir die Usability.
Meine Fragen beziehen sich auf die Sicherheit des Systems. Leider unterstützt die aktuelle Version keine WebDav-Verbindungen über HTTPS. Das macht für unser Team sofort die Nutzung unmöglich, da wir mit sicherheitsrelevanten Daten arbeiten und unsere IT-Policy vorschreibt, nur Netzwerkprotokolle mit starker Verschlüsselung zum Datenaustausch einzusetzen. Auch wenn Teamdrive noch ein eigenes, starkes Verschlüsselungsverfahren im Hintergrund einsetzt - wir dürfen diese Lösung so nicht benutzen. Ich denke, dass viele andere mögliche Geschäftskunden aus diesem Grund Teamdrive ebenfalls nicht benutzen können. Als Workaround konnte ich erfolgreich eine verschlüsselte Verbindung über einen SSH Tunnel aufbauen; das ist aber keine Lösung für nicht-technische Benutzer.
Interessehalber: Unterstützt TeamDrive HTTP Digest Authentication? So könnte zumindest eine Übertragung der Passwörter im Quasi-Klartext verhindert werden.
Teamdrive verschlüsselt gespeicherte Daten mit einem starken Algorithmus, aber es ist nicht klar welcher Schlüssel verwendet wird. Kann ich den (privaten) Schlüssel irgendwo auslesen und sichern? Wichtig für den Unternehmenseinsatz ist, dass man diese Verschlüsselung deaktivieren kann. In vielen Unternehmen gibt es bereits Policies zur Datenverschlüsselung, die u.A. Interoperabilität zwischen Applikationen berücksichtigen; die Teamdrive-Daten können scheinbar nicht ohne die Applikation entschlüsselt werden, was viele Probleme - nicht nur beim Backup - verursacht.
Weiterhin wurde mir ein "Access Key" erstellt, den ich an andere Nutzer als "sicheren Ersatz" für einen WebDav Account schicken soll. Ich habe dieses Feature nicht ausprobiert, doch wenn ich es richtig verstehe handelt es sich hier um verschlüsselte Zugangsdaten zu dem WebDav Server, die ein anderer Teamdrive Client entschlüsseln kann um sich so mit dem Drive zu verbinden.
Wenn das der Fall ist, möchte ich darauf hinweisen dass dieses Feature keineswegs sicher ist. Der Access Key muss entschlüsselbar sein, damit der entfernte Client eine Verbindung zum Server herstellen kann. Durch Code-Analyse könnte man den Algorithmus knacken und so von dem Access Key zurück auf das Passwort kommen. Es geht aber auch einfacher: man benutzt als Proxy ein Tool, das Verbindungsdaten im Klartext anzeigt. So bekommt man direkt den Authentication-Header angezeigt und kann binnen Sekunden das Passwort entschlüsseln. Wer es ausprobieren möchte - Fiddler von Microsoft (http://www.fiddlertool.com/) ist ein kostenloses Tool für diesen Zweck. Mein eigenes WebDav Passwort konnte ich so übrigens sofort ausspähen.
Ich möchte erstmal zu dem vielversprechenden Programm gratulieren, das gerade für Endnutzer sehr komfortabel zu bedienen ist und eine echte Marktlücke füllen könnte. Konkurrenzsysteme - Sharepoint von Microsoft, Novell's Teaming oder die Open Source Lösung Alfresco - haben alle ernsthafte Probleme: sie lassen sich nicht gut in die bestehende IT Infrastruktur des Unternehmens integrieren, sind langsam oder basieren auf veralteten, unsicheren Protokollen wie SMB. Teamdrive könnte diese Lücke sehr gut füllen, wenn es sich auf die Kernanforderung - Synchronisierung mit automatischer Versionierung - konzentriert und mit bestehenden Lösungen für Benutzerauthentifizierung und -authorisierung und Backup kooperiert.
Zusammenfassend, meine Wunschliste:
- HTTPS Support für WebDav
- Verschlüsselung deaktivierbar
Besten Dank und weiterhin viel Erfolg!
Batrick