Quellcode

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <

    Hallo

    Ich hab mal ne frage an alle IT Experten.

    Ich lese oft, das der Quellcode, bei Threema, nicht offen ist.
    Und dadurch nicht geprüft werden kann, was da alles passiert...

    Warum legt man den nicht offen? Gibt es dafür bestimmte Gründe?
    Damit wird doch das Vertrauen zum System (Threema) gestärkt.

    Danke für eure Informationen.

    Einmal editiert, zuletzt von ictag (24. Juli 2014 um 12:03)

    Das hat sicher verschiedene Gründe. Einer davon ist wohl, dass die Leute von Threema nicht möchten, dass es plötzlich hundert Gratis-Varianten und Abspaltungen von Threema gibt, welche die Server von Threema benutzen. Die Entwicklung und der Betrieb kosten ja Geld und meines Wissens ist Threema unabhängig und hat keinen Social Media-Mogul im Rücken, wie z.B. Telegram.

    Der Verschlüsselungsteil von Threema ist allerdings Open Source und es gibt einige gute Dokumentationen über das Protokoll, die von interessierten Dritten mittels Reverse-Engineering erstellt wurden, z.B. diese hier: Threema Protokoll-Analye von Jan Ahrens

    Abgesehen davon ist die Verfügbarkeit des Quellcodes überhaupt keine Garantie, dass der Code fehlerfrei ist, wie man am Heartbleed-Bug von OpenSSL sieht, der jahrelang unentdeckt blieb. Sich blind darauf zu verlassen, dass andere vielleicht den Code prüfen, ist auch keine Lösung.

    Okay...:)
    Es ist halt so das Einzige, was ich als "negativ" lese.
    Deswegen dachte ich mir, warum, wenn andere das auch machen/können...
    Vielleicht könnte man den Code einem "Institut" zum Prüfen geben, und ein Zertifikat ausstellen...;)

    Zitat von Mayo


    Vielleicht könnte man den Code einem "Institut" zum Prüfen geben, und ein Zertifikat ausstellen...;)


    Angeblich wollen sie das eh machen, hat Herr Kasper in einem Interview gesagt, nur kostet so etwas extrem viel, soweit ich weiß mehrere 100.000€ von einem vertrauenswürdigen Institut.

    Zitat von Mayo


    Vielleicht könnte man den Code einem "Institut" zum Prüfen geben, und ein Zertifikat ausstellen...;)

    Leider sind solche Zertifikate nichts wert, ausser dass sie hohe Kosten verursachen und den Kunden lediglich einer Scheinsicherheit bieten.

    - Für jedes Update der Apps (für alle Plattformen) und der Serversoftware müsste eine neue Prüfung gemacht werden, denn es könnte ja sein, dass sich in der Zwischenzeit etwas geändert hat, was sicherheitsrelevant ist. Das wäre unbezahlbar und würde zu grossen Verzögerungen führen.

    - Trotz Prüfung weiss man immer noch nicht, ob die in den App Stores angebotene Version der App dem vorgelegten Quellcode 100%ig entspricht. Dieses Problem haben auch andere Apps, wie TextSecure, das zwar als Quellcode verfügbar ist, aber als Paket nur über Google Play verteilt wird. Niemand kann sagen, ob die Version in Google Play nicht doch Code vom NSA enthält. Ein Entwickler könnte dann zwar, nach eingehender Prüfung des Source Codes (was Wochen in Anspruch nehmen kann) selber ein Paket erstellen, aber die wenigsten haben das Wissen und die Kompetenz dazu.

    Die Amerikaner haben einen Spruch: "Buy the seller, not the product". Das gilt ganz besonders bei sicherheitsrelevanten Themen.

    Auch wenn ich wenig zur "Erleuchtung" beigetragen habe:
    evtl. magst ja deinen Beitragstitel noch anpassen!?
    Man(n) spricht vom Quellcode oder auch Quelltext!:D
    Pingeliger Schotti wieder. . . .:icon_mrgreen::icon_eek: