Berichte über andere Messenger

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Die Linkvorschau hat die Schwäche, dass sie die E2E-Verschlüsselung zum Teil aushebelt. Man muss hier Signal einfach vertrauen. Prinzipiell wäre es aber für sie möglich rauszufinden, welche Links verschickt werden und können das analysieren.


  • Die Linkvorschau hat die Schwäche, dass sie die E2E-Verschlüsselung zum Teil aushebelt. Man muss hier Signal einfach vertrauen. Prinzipiell wäre es aber für sie möglich rauszufinden, welche Links verschickt werden und können das analysieren.

    Lies dir mal noch mal den heise-Artikel o.ä. durch. Was Signal macht, hat oft Hand & Fuß, das muss man ihnen lassen. In diesem Fall (TL;DR:) wird die Seite ganz normal über HTTPS geladen (also verschlüsselt) und aber über einen Proxy von Signal geleitet, sodass die Webseite deine IP nicht kennt (dank Proxy) und der Proxy die Webseite/den Inhalt der Webseite nicht kennt (dank HTTPS).
    Das wird, soweit ich weiß, von keinem anderen Messenger bisher so angewendet (und bricht hier dann also auch nicht die E2E-Verschlüsselung). Um also die Links heraus zu finden, müssten die in ihrem Proxy schon HTTPS "brechen".

  • Du hast schon recht. Ich meinte einfach nur, dass mit dieser Lösung die Sicherheit/Privatsphäre der Linkvorschau schlicht auf Vertrauen in den Proxy bzw. HTTPS basiert. Bei simplen Nachrichten kann man sich halt sicher sein, dass wirklich die E2E-Verschlüsselung geknackt werden müsste.
    In der Praxis ist das wahrscheinlich eher egal, aber nichtsdestotrotz fühlt es sich besser an, wenn ALLES was man verschickt zu 100 % durch die E2E-Verschlüsselung geschützt ist.

  • Ich verstehe ehrlich gesagt nicht wieso Signal so einen Aufwand betreibt. Wenn man einen Link verschicken möchte dann hat man den Inhalt ja meistens bereits aufgerufen, dann spielt es auch keine grosse Rolle mehr ob Signal diesen lokal ein zweites Mal aufruft.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.


  • Ich verstehe ehrlich gesagt nicht wieso Signal so einen Aufwand betreibt. Wenn man einen Link verschicken möchte dann hat man den Inhalt ja meistens bereits aufgerufen, dann spielt es auch keine grosse Rolle mehr ob Signal diesen lokal ein zweites Mal aufruft.

    Uhm, nein. Du kannst die IP-Adresse deines Gegenübers bestimmen, indem du ihm/ihr einfach einen Link sendest, dessen Server du selber kontrollierst.

  • Das geht aber auch wenn man einfach so einen Link verschickt. Natürlich wird die Vorschau auf dem Gerät des Senders und nicht auf dem Gerät des Empfängers erstellt. Machen WhatsApp, Wire und iMessage auch so.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.


  • Natürlich wird die Vorschau auf dem Gerät des Senders und nicht auf dem Gerät des Empfängers erstellt. Machen WhatsApp, Wire und iMessage auch so.

    Bist du sicher bei WhatsApp? Das ist mir neu, danke für den Hinweis.

    Bei Telegram bin ich mir zumindest ziemlich sicher, dass die Vorschau auf dem Endgerät generiert wird.

    Wenn die Vorschau mitgeschickt wird, eröffnet das zudem einen Angriffsvektor: Der Sender eines Phishing-Links kann die Vorschau so fälschen, dass es nach einer legitimen Website aussieht, wenn man draufklickt landet man aber ganz woanders.

  • 100% sicher bin ich mir nicht, Quellcode ist ja nicht öffentlich. Im Security Paper beschreiben sie auch nichts. Aber alle Berichte die ich dazu gefunden habe erwähnen dass die Previews lokal generiert werden. Auch tauchen die URLs der Linkpreviews nicht im DNS Log auf.
    [hr]


    Wenn die Vorschau mitgeschickt wird, eröffnet das zudem einen Angriffsvektor: Der Sender eines Phishing-Links kann die Vorschau so fälschen, dass es nach einer legitimen Website aussieht, wenn man draufklickt landet man aber ganz woanders.

    Das versucht WhatsApp sogar zu verhindern: [font="system, -apple-system, system-ui, system-ui,"]https://faq.whatsapp.com/en/iphone/2600…ategory=5245250[/font].

    Ich kann mir aber kaum vorstellen, dass man den Linkpreview aber nicht die Webseite selbst fälschen würde.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (11. Februar 2019 um 13:39)


  • Sehe ich genauso. Und ich selbst werde Threema auch treu bleiben, weil ich Threema mag. Und weil Threema lange der Vorreiter im Bereich verschlüsselte Messenger war, die auch Spaß machen. Also quasi das "Apple" unter den Kryptomessengern :tränenlachen: . Aber die (gratis-)Konkurrenz holt auf, der Abstand schwindet... Und von daher interessiere ich mich sehr dafür, wie man Threema weiter gut "bewerben" kann...
    Genau! Und das soll auch so bleiben!

    Andy

    Crixus schrieb: Ich möchte mit meinem Nutzen von Threema u. a. ausdrücken, dass ich Unternehmen unterstütze, die nachhaltig wirtschaften und Wert auf Privatsphäre legen.

    Jep, da ist was Wahres dran!

    Die Konkurrenz wird immer stärker, mit immer mehr Features wie Video-Calling, Multi Device fähig etc.
    Das Ganze dann auch noch gratis......
    Signal, Wire usw.
    Obwohl ich letztendlich einen dezentralen Standard in einem Messenger für die optimale Lösung halte, genauso wie es eben bei E-Mail, Jabber, Matrix auch gemacht wird, würde ich Threema auch weiterhin gerne nutzen, aber die Zeit läuft.....

    Artikel vom 4.2018 nur so nebenbei:
    https://www.golem.de/news/security-…804-134115.html

  • Laut Medienberichten können WhatsApp-User bald besser steuern, von wem sie zu einer Gruppe hinzugefügt werden können.

    Quelle: https://stadt-bremerhaven.de/whatsapp-bald-…nzufuegen-darf/

    Die teils etwas rudimentär vorhandenen Gruppenfunktionen halte ich bei Threema für eine der gefährlichsten Achillesfersen (nur ein Admin, keine Zustellbestätigungen, keine Gruppenanrufe, keine Beschreibungstexte, keine Einladungslinks, etc.).

    Obwohl Threema nach wie vor mein Lieblingsmessenger ist würde ich mir speziell für Gruppen schon ein paar sinnvolle Innovationen wünschen.

    Einmal editiert, zuletzt von stefan81 (13. Februar 2019 um 14:29)

  • Der gute Caschy könnte die Quelle angeben, die Info kommt nämlich von https://wabetainfo.com/whatsapp-is-de…itation-system/

    Gruppen sind bei WhatsApp mittlerweile ziemlich brauchbar und ist auch was viele Menschen davon abhält zu wechseln.
    [hr]


    Die teils etwas rudimentär vorhandenen Gruppenfunktionen halte ich bei Threema für eine der gefährlichsten Achillesfersen (nur ein Admin, keine Zustellbestätigungen, keine Gruppenanrufe, keine Beschreibungstexte, keine Einladungslinks, etc.).

    Wenn Threema das umsetzen würde wäre natürlich super, aber das Jahr ist ja noch Jung.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (13. Februar 2019 um 14:39)

  • Gruppenanrufe, genauer Nachrichtenstatus und Adminübertragung würde ich auch gerne mitnehmen ...
    Der große Vorteil bei Threema ist aber eben, dass die Gruppen dezentral gespeichert sind. Da kommt WhatsApp nicht mit. Das wollen sie sicher auch nicht. :D

    Getapatalked mit S7

    Einmal editiert, zuletzt von Miaz (13. Februar 2019 um 14:48)

  • Jup, mit dezentral gespeicherten Gruppen ist das sehr schwierig umzusetzen. Auch wenn es eigentlich Algorithmen für solche Dinge gibt. Das Problem sind wohl ältere Handys welche die grosse Anzahl Nachrichten welche durch die dezentrale Verwaltung entstehen nicht mitmachen.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Dezentral oder: lokal gespeicherte Gruppen.

    Ohne es getestet zu haben, kann mir jemand von euch berichten, wie es ist, wenn folgendes Szenario eintritt?

    Ist-Zustand:
    A eröffnet Gruppe 1
    A fügt B, C und D hinzu

    Alle Personen (A bis D) machen schön ihre Backups (Datenbackup oder Threema Safe). Nun entfernt A jedoch C aus der Gruppe.
    C hat Gründe ein Backup einzuspielen und nimmt das letzte Backup, in dem C noch Mitglied der Gruppe 1 war.

    Meine Frage: Klappt das? Kann C nun wieder Nachrichten in der Gruppe an A, B und D schicken oder kommt eine Nachricht von A bzgl. der neuen Gruppenverteilung?

    Dass neue Mitglieder bei obiger Testnachricht außen vor sind ist klar, da die Verteilung von A an C nicht geschehen ist.


    Allgemein wünsche ich mir für die Threema Gruppen zwar eine weiterhin lokale Verwaltung/Speicherung, jedoch mit "unsichtbaren" Nachrichten, sodass bei obigem Beispiel Person C eine "unsichtbare" Nachricht an A geht und nach dem Aufbau Gruppe 1 fragt, in der C Mitglied war. Oder eben noch B oder D, wenn A gerade nicht erreichbar ist. Nebenfrage: Muss für das Wiederherstellen eines Daten-Backups eine Internetverbindung bestehen? Habe es noch nie ohne getestet :D

    Mit diesen "unsichtbaren" Nachrichten könnte man dann auch das Thema "Es gibt nur 1 Admin" abschaffen, da dann die Gruppenverwaltung auf mehreren Geräten lokal gespeichert ist und verteilt (oder sogar abgefragt; Backup...) werden kann.

  • Also IMHO wird C keine Nachrichten von den anderen bekommen.
    Bei denen wird ja das Senden nicht ausgelöst, weil er nicht im Verteiler ist

    Ob C aber an die Gruppe etwas abschicken kann, das wäre die Frage...

    Getapatalked mit S7

  • Ja, C kann eine Nachricht an die Gruppe versenden. Allerdings werden die Geräte von A, B und D die Nachricht nicht annehmen. Denn als A den Nutzer C aus der Gruppe entfernt hat, hat A den Nutzerinnen B und D auch die neue Gruppenkonfiguration mitgeteilt. Somit wissen B und D, dass C nicht mehr Teil der Gruppe ist.

    Ich bin mir ziemlich sicher dass Threema die Nachrichten in der Reihenfolge in der sie eingangen sind ausliefert, darum ist auch sicher gestellt, dass B und D die neue Konfiguration vor der Nachricht von C herunterladen.
    [hr]


    Mit diesen "unsichtbaren" Nachrichten könnte man dann auch das Thema "Es gibt nur 1 Admin" abschaffen, da dann die Gruppenverwaltung auf mehreren Geräten lokal gespeichert ist und verteilt (oder sogar abgefragt; Backup...) werden kann.

    Das Problem mit mehreren Admins ist, dass die Gruppe in eine komische Konfigruation geraten könnte.
    Stell dir vor du hast 3 Admins Alice, Bob und Charlie. Bob möchte Charlie entfernen und Charlie möchte Bob entfernen. Beide haben eine schlechte Internetverbindung und die Nachrichten treffen nicht in der selben Reihenfolge bei allen Gruppenmitgliedern ein. Nun gibt es Gruppenkonfigurationen mit den Admins Alice und Bob und Gruppenkonfigurationen mit Admins Alice und Charlie, niemand weiss mehr welche Konfiguration die richtige ist.

    Hier müssten einem Adminwechsel alle Admins manuell zustimmen um solche Probleme zu verhindern. Dies ist natürlich sehr aufwändig.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (13. Februar 2019 um 16:17)


  • Hier müssten einem Adminwechsel alle Admins manuell zustimmen


    Entweder so, oder Admins können sich nicht gegenseitig entfernen. Erst, wenn Admin Bob die Berechtigung von Admin Charlie entfernt werden soll und Bob diesem zustimmt (Bob ist dann nur einfaches Mitglied), dann kann Admin Charlie den User Bob entfernen.
    Ansonsten (bei Admin möchte Admin entfernen) muss der Gruppenersteller sein "Machtwort" sprechen.

    Man kann viel darüber diskutieren - gerne dann im eigenen Fred* dafür, denn hier soll es ja hauptsächlich um andere Messenger gehen :)

    * und da gibt es doch schon einige, wenn ich mich recht entsinne :D