Audit-Report nur nach Geheimhaltungsvereinbarung

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Wie ihr wahrscheinlich alle wisst, wurde Threema im Jahr 2015 von einem externen Unternehmen auditiert. Mehr dazu siehe hier: https://threema.ch/de/blog/posts/…s-es-verspricht

    Da der (öffentliche) Report der Firma sehr dünn ausfällt und eigentlich relativ wenig aussagt, hat wohl ein interessierter User mal bei Threema nachgefragt, ob man den vollständigen Report sehen darf.

    Da ich die Antwort von Threema interessant fand, hier der Link:

    Man müsste eine Geheimhaltungsvereinbarung unterschreiben, um Zugang zu bekommen.
    https://www.reddit.com/r/Threema/comm…report/dbi49l4/


  • Uuuh, was da direkt an Verschwörungstheorien hochkommen. :rolleyes:

    Nun, dann sind wir doch hier richtig. ;) Die Praktiken von NSA & Co. waren auch mal Verschwörungstheorien. :exfreude:

    Im Ernst:
    Der Report, der von Threema veröffentlicht wurde, ist in der Tat etwas dünn. Sie hätten schon etwas mehr bekanntgeben sollten, z. B. wie viele Sicherheitslücken gefunden wurden (in Kategorien unterteilt: informational/low/medium/high/critical) und vielleicht eine kurze Erklärung dazu. Oder ein paar Worte zur Qualität des Quellcodes, vielleicht auch ein paar Infos von der Firma, mit welchen Mitteln der Audit durchgeführt wurde, wie lange er gedauert hat usw.
    Den Quellcode selbst muss man ja dann gar nicht veröffentlichen.

    Ja, wahrscheinlich gibt es keinen Grund, sich Verschwörungstheorien auszumalen. Trotzdem hätte Threema von Anfang an anders agieren und einen etwas ausführlicheren Report für die Öffentlichkeit anbieten sollen.

    Einmal editiert, zuletzt von Crixus (24. Januar 2017 um 18:44)


  • Der Report, der von Threema veröffentlicht wurde, ist in der Tat etwas dünn. Sie hätten schon etwas mehr bekanntgeben sollten, z. B. wie viele Sicherheitslücken gefunden wurden (in Kategorien unterteilt: informational/low/medium/high/critical) und vielleicht eine kurze Erklärung dazu. Oder ein paar Worte zur Qualität des Quellcodes, vielleicht auch ein paar Infos von der Firma, mit welchen Mitteln der Audit durchgeführt wurde, wie lange er gedauert hat usw.

    Wieso unterschreibst du nicht einfach die Geheimhaltungsvereinbarung? Dann wirst du es vermutlich erfahren :)

    Ich kann mir vorstellen, dass es gute Gründe hat, wieso der Report nicht öffentlich ist (z.B. Namen der beteiligten Personen - auch Programmierer wollen Privatsphäre).


  • Dann wirst du es vermutlich erfahren :)


    Dann dürfte er uns es aber nicht sagen.


    (z.B. Namen der beteiligten Personen - auch Programmierer wollen Privatsphäre).

    Die werden da ja wohl nicht drin stehen. Das ist ja ein Quellcode-Audit und kein Mitarbeiter/Firma-Check.

  • Mit einem Canary kann er uns das indirekt schon sagen. Ich stimme aber grundsätzlich zu, dass Threema hier ruhig offener sein könnte. Nur befürchte ich, dass es Verschwörungstheorien nur noch anheizt, wenn da geschwärzt wird.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)


  • Mit einem Canary kann er uns das indirekt schon sagen.

    Na toll. Wenn er da erst einmal ein Canary aufsetzt um die Geheimhaltungsregel zu umgehen. Außerdem würde dies ja das Vertrauen von/zu Threema zerstören und evt. würde Threema dann gar nicht erst zur Einsicht zustimmen.
    Außerdem müsste er ja vorher schon eine Vermutung treffen (z.B. keine offenen schweren Sicherheitslücken vorhanden) und kann dann nur im Nachhinein bestätigen, dass das z.B. eben nicht erfüllt war.


  • [...] das Vertrauen von/zu Threema zerstören und evt. würde Threema dann gar nicht erst zur Einsicht zustimmen.


    Das Vertrauen ist doch schon beschädigt, sobald dieses Thema aus reddit die Runde macht.
    Ich habe bis heute nicht verstanden warum Threema nicht auf volle Transparenz setzt, obwohl es soweit ich gelesen haben, genügend Experten gab die ihnen das ans Herz gelegt haben. Ich kann das "wenn wir open source gehen verdienen wir nix mehr"- Argument auch nicht glauben, wurde das hier mal belegt?


  • Das Vertrauen ist doch schon beschädigt, sobald dieses Thema aus reddit die Runde macht.
    Ich habe bis heute nicht verstanden warum Threema nicht auf volle Transparenz setzt, obwohl es soweit ich gelesen haben, genügend Experten gab die ihnen das ans Herz gelegt haben. Ich kann das "wenn wir open source gehen verdienen wir nix mehr"- Argument auch nicht glauben, wurde das hier mal belegt?

    Sehe ich auch so.
    Entweder Threema wird das Protokoll und den Quellcode bald veröffentlichen, oder andere Messenger laufen Threema den Rang ab.