Berichte über andere Messenger

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Der Ex Sicherheitschef von Facebook sieht das deutlich anders: „This could come from directly charging for the service, it could come from advertising, it could come from a WeChat-like services play. The first is very hard across countries, the latter two are complicated by E2E.„ Ich stelle es mir wesentlich ineffizienter vor, wenn du Analyse für werberelevante Inhalte nur auf dem Gerät passieren soll und aufgrund der ausgespielten Werbung lässt sich dann immer teilweise auf Inhalte zurück schließen.

  • Wie möchte man denn sonst Werbung individualisieren, wenn nicht durch Analyse der Inhalte und Metadaten? Es passiert doch genau das Gleiche, nur eben an einem anderen Ort (und mit weniger nutzbarer Leistung... unter Voraussetzung, dass WA den Akku nicht braten will, denn sonst ist durch die Masse sogar viel mehr Leistung verfügbar). Ob man nun die Schlagwörter auf dem eigenen Gerät generiert (kein E2EE Bruch) oder auf irgendeinem Server (E2EE Bruch)... übermittelt werden die Schlagwörter sowieso, nämlich zum Anzeigen der Werbung. Das bricht zwar auch die E2EE, aber nur partiell. Man könnte dem User immer noch sagen, dass die Inhalte ja verschlüsselt sind.

    Das ist nämlich das Problem - E2EE ist nicht immer E2EE. Als Beispiel: Im Marktbereich für Videotelefonie sind WebRTC-basierte Lösungen zwar E2EE, aber die Verbindungsdaten sind meist nur transportverschlüsselt. Wenn ich den Server kontrolliere, dann kann ich mich schön dazwischenhängen und mithören. Versteht aber der User häufig nicht. Es wird ja auch möglichst verschwiegen. Analog dazu das Thema mit der Werbung. Die E2EE wird zum Marketing-Gag.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

    Einmal editiert, zuletzt von f09fa681 (28. September 2018 um 14:52)

  • "Angreifer hätten es in diesem Fall sehr leicht, sich die Signal-Kommunikation zu schnappen, Zugriff auf den verwendeten Rechner vorausgesetzt. Laut Bleeping Computer liegt das an den automatisch generierten Keys bei der Installation der Software. Müsste der Nutzer ein Passwort für die Verschlüsselung des Keys eingeben, wäre dies direkt weniger problematisch."

    Naja Schwachstelle. Da wurde wohl eher Usability anstatt Security gewählt.
    [hr]
    https://blog.whatsapp.com/10000653/Introducing-Stickers

    WhatsApp hat jetzt genau wie Telegram auch Sticker. Das fehlt Threema halt schon.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (27. Oktober 2018 um 12:42)

  • Dann hast du die Sticker in Threema Web nicht und du musst eine andere Tastatur benutzen. Zumindest unter iOS sind die ziemlich schlecht.
    Auch werden die Sticker mit einem weissen Hintergrund angezeigt weil von Threema zu jpg konvertiert werden. Man könnte einfach den weissen Hintergrund weglassen.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Im Moment kann man sich eine Signal-Nachricht so vorstellen, dass der Inhalt verschlüsselt ist, auf dem "Briefkuvert" allerdings der Absender und der Empfänger draufsteht. Der Empfänger muss drauf, damit der Signal-Server weiß, wohin der Brief geschickt werden soll. Mit dieser sogenannten "Sealed Sender"-Funktion wird jetzt aber der Absender vom Kuvert genommen und sozusagen IN den Brief selbst reingesteckt. Somit weiß Signal selbst nicht, von WEM die Nachricht stammt, nur an wen sie geliefert werden soll.

    Das Problem, das man lösen muss: Irgendeine Person, die evtl. nicht mal einen Signal-Account hat, könnte auf diesem Wege eine Nachricht an z. B. Alice schicken, weil man sich davor nicht mehr beim Signal-Server authentifizieren muss. Deshalb werden die sogenannten Sender Certificates eingeführt. Jeder Signal-Nutzer bekommt von Signal also ein temporäres Zertifikat, dieses muss dann Teil der Nachricht sein. Somit kann man verhindern, dass unbefugte Nachrichten schicken oder fälschen.

    Alles in allem, definitiv eine interessante Idee und in dieser Hinsicht wären sie Threema sogar einen Schritt voraus, was Metadaten-Sparsamkeit angeht. Allerdings muss man dazusagen, dass Threema sowieso keine Telefonnummern speichert, somit ist es nicht ganz so brisant. Nichtsdestotrotz, wenn ich das richtig verstanden habe, wäre das auch für Threema umsetzbar und ein weitere Schritt Richtung Metadaten-Sparsamkeit.

    Einmal editiert, zuletzt von Crixus (30. Oktober 2018 um 13:58)

  • Ah, interessant. So hatte ich mir das nach lesen der ersten Zeile auch grob vorgestellt. Wenn eine Nachricht allerdings nicht zugestellt werden kann, kann der Signal-Server auch nicht mehr zurückgeben: "Hallo, kann Nachricht nicht zustellen". Ist sicherlich zu verschmerzen.

    Lesebestätigung und Co kann ja auch dem gleichen Wege vom Empfangsgerät zuückgesendet werden. Klingt interessent.

    Was ich wirklch interessant finde ist, dass Signal scheinbar ihren Geldsegen weiterhin in wirklich sicherheitsorientierte Funktionen stecken und nicht plötzlich zwanghaft in den Massenmarkt platzen wollen mit tollen Gimmicks.

  • Stimmt, eine "Nachricht wurde vom Server entgegengenommen" oder "Zustellbestätigung" gibt es dann so einfach nicht mehr, wenn ich das richtig verstanden habe.

    Mal schauen, was Threema für die Zukunft so plant. Selbstzerstörende Nachrichten gibt es auch noch nicht. :/


  • Alles in allem, definitiv eine interessante Idee und in dieser Hinsicht wären sie Threema sogar einen Schritt voraus, was Metadaten-Sparsamkeit angeht. Allerdings muss man dazusagen, dass Threema sowieso keine Telefonnummern speichert, somit ist es nicht ganz so brisant. Nichtsdestotrotz, wenn ich das richtig verstanden habe, wäre das auch für Threema umsetzbar und ein weitere Schritt Richtung Metadaten-Sparsamkeit.

    Mit dem Pushtoken kommt man bei den meisten Nutzern trotzdem via Google oder Apple an die Handynummer.

    Aber die Idee von Signal finde ich sehr interessant. Immerhin wird mit dem Geld von Facebook doch noch etwas schlaues angestellt.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (30. Oktober 2018 um 14:25)

  • So wie ich das verstanden habe, "arbeitet" der Threema Client aber nicht mit der Handynummer, das wird dann nur zur Anzeige genutzt, dass Benutzer x und y Threema hat und mit welcher Threema-id. Ab dem Zeitpunkt müsste doch eigentlich nur noch mit der Threema-id gearbeitet werden und auch an eine andere Threema-id die Nachricht addressiert werden.


  • Alles in allem, definitiv eine interessante Idee und in dieser Hinsicht wären sie Threema sogar einen Schritt voraus, was Metadaten-Sparsamkeit angeht.

    Allerdings von absolut beschränktem Nutzen, denn die IP-Adressen sind immer noch vorhanden und die ändern normalerweise auch nicht in kurzer Zeit. Der Empfänger bleibt ja immer noch lesbar für den Server (bei Signal ist das immer eine Handynummer). Kommt noch dazu, dass die meisten Chats Zwiegespräche sind, sich also Nachricht und Antwort innert kurzer Zeit abwechseln.

    Wenn also A eine Nachricht an B schreibt und von B kommt innerhalb von kurzer Zeit eine Empfangsbestätigung an A zurück, ist es für jemanden mit Zugriff auf dem Server (*) ein Leichtes, eine Korrelation zwischen A und B herzustellen und die Handynummern den IP-Adressen zuzuordnen. Damit ist also nichts gewonnen.

    Ich sehe deshalb diese "Sealed Senders" eher als PR-Massnahme, um von der Grundproblematik der Handynummer als Aufhänger der Identität bei Signal abzulenken, bzw. diesen Nachteil etwas abzuschwächen.

    (*) Signal ist meines Wissens in der Amazon-Cloud gehostet, also auf virtuellen Servern. Spätestens seit Spectre/Meltdown weiss man, dass das Szenario von Leaks durchaus realistisch ist.

  • Nun, das mit der IP-Adresse ist schon richtig, aber es macht schon einen großen Unterschied, ob zuzuordnen ist, ob eine bestimmte Telefonnummer/Signal-Account der Absender ist, oder irgendeine IP-Adresse vom WLAN-Hotspot in einer Großstadt. Selbst wenn man von zu Hause aus sendet, so könnten für die Nachricht mehrere Personen infrage kommen (Freunde, Geschwister, Eltern, Mitbewohner, etc.).