De Nederlandse informaticus Vladimir van der Laan heeft in zijn vrije tijd een tool geschreven waarmee het mogelijk is om bestanden te delen op Dropbox, zonder dat iemand zijn Dropbox-mappen hoeft open te zetten. Zijn oplossing heet Dropship.

Spelen met hashes

“Ik vroeg me af hoe Dropbox werkte, toen heb ik een beetje naar het protocol gekeken. Het bleek dat files worden vergeleken door middel van hashcodes. Dus als je een file in een folder gooit om te synchroniseren en dit bestand is al bekend in het systeem, dan wordt de file niet daadwerkelijk verstuurd (geüpload, red) maar verschijnt meteen in je Dropbox,” vertelt Van der Laan tegen Webwereld.

Deze hashes zijn onderdeel van de deduplicatietechnologie van Dropbox, die hierdoor gigantisch veel opslagruimte bespaart. “Door de stappen die de client doet te herhalen, maar zonder het daadwerkelijke hashen kun je doen alsof je een file hebt.” Het enige wat je hoeft te doen met Dropship is het invoeren van een lijst van hashcodes en plop, alle geassocieerde bestanden staan in je Dropbox-folder. Het enige wat gebruikers dus hoeven te delen zijn de hashcodes, niet de bestanden zelf.

Dropbox wil Dropship offline

Van der Laan publiceerde Dropship onder de open source BSD-licentie. Niet snel daarna kreeg hij een mailtje van de cto van Dropbox, Arash Ferdowsi. “Die schreef: we vinden het interessant, maar het is niet de bedoeling dat DropBox zo gebruikt wordt en of ik het offline wilde halen. Maar geen narigheid of dreigementen.”

Van der Laan gaf gehoor aan het verzoek en haalde Dropship offline, maar anderen waren er al mee aan de haal gegaan via verschillende mirrors. Zo vindt Dan DeFelippi het principieel fout dat Dropbox een open sourcetool offline wil halen.

Hashcodes nu geblokkeerd

Veel nut heeft Dropship niet meer, want Dropbox heeft ook aanpassingen gedaan. De dienst checkt de hashcode nu pas nadat de eerste blokken van een bestand naar de servers zijn gestuurd. Alleen het invoeren van hashcodes werkt niet meer. Van der Laan: “Eigenlijk hadden ze dat gelijk moeten doen.”

Van der Laan noemt het controversiële deduplicatiesysteem van Dropbox hartstikke slim, maar ook een privacylek. Hierdoor kan immers eenvoudig worden gecontroleerd welke gebruiker welke files in z’n folders heeft staan.

Privacylek

Onlangs kwam Dropbox in het nieuws vanwege een ander privacylek. Door het host_id van de pc of mobiel van een Dropbox-gebruiker te kapen kunnen kwaadwillenden vanaf een andere locatie bij de bestanden van die gebruiker.