Berichte über andere Messenger

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Was bedeutet, dass 100% open-source keine Garantie sind. Das ist interessant, denn es gibt ja schon Leute, die Software ablehnen, weil sie eben nicht 100% offen sind. Ein gutes Argument für Diskussionen über dieses Thema. Vielen Dank!:thumbup:

    Vorsicht, mir scheint damit wieder das Kind mit Bade ausgeschüttet zu werden!

    Open Source erlaubt zunächst mal die Überprüfung, was wirklich passiert. Auch kann man sich sein eigenes "Signal" aufbauen. Für manchen geschlossenen Anwenderkreise ist das durchaus interessant.

    Man weiß aber nicht, ob Server und Client, den man selbst nutzt auch wirklich aus diesen Sourcen kompiliert wurden. Es könnte ja noch Sourcen mit undokumentierten Funktionen geben. Diese Unsicherheit besteht bei Closed Source aber auf jeden Fall. Dort kann man nichts prüfen und benötigt daher weit mehr Vertrauen, nicht belogen zu werden.

  • Was bedeutet, dass 100% open-source keine Garantie sind.

    Open Source schafft Transparenz. Wer selbst nicht die Kompetenz hat Quellcode zu lesen und zu verstehen, dem bleibt trotzdem nur der Faktor Vertrauen übrig. Und selbst bei vollem Verständnis für die Materie, wer außer dem Betreiber weiss od der Veröffentlichte Serverquellcode sich mit dem tatsächlich installierten deckt? Eben, niemand!

    Am Ende des Tages bleibt du auf Vertrauen angewiesen. Meiner Meinung nach ist Vertrauen in Threema bestimmt gut investiert.

  • Bei Closed Source muss ich genau einem vertrauen: dem Hersteller.

    Bei Open Source kann ich mich - zumindest potentiell - auf eine ganze Gruppe unabhängiger vertrauen.

    Was ich auch bei Open Source nicht machen sollte: Aus der Moglichkeit, dass viele den Quellcode prüfen können, zu folgern dass dies auch passiert. Das Internet bietet aber die Möglichkeit, sich zu informieren, ob sich jemand damit auseinandersetzt. Natürlich muss ich dem dann auch wieder vertrauen, also Informationen über ihn einholen.

    Man kann es sich natürlich einfach machen, wie es in der Praxis auch meistens passiert:

    Wenn man keine Ahnung hat, glaubt man der Werbung. Kritische Stimmen - wie bei den immer zunehmenden Verbindungen von WIndows zu Microsoft - gibt man kein Gewicht, weil

    1. die Kritiker ja aufgrund der Verschlüsselung nicht nachweisen können, was genau übermittelt wird

    2. die Sorge vor dem Verlust liebgewonnener Anwendungen besteht

    3. das Erlernen von Alternativen den Lernaufwand erzwingt und - wie bei Spielen - freiwillig ist

    Threema versucht die fehlende Transparenz durch unabhängige Audits abzufedern und das ist schon mal ein lobenswerter Ansatz, schließlich macht das nicht jeder und erhöht deshalb das Vertrauen. Offener Quellcode ist dennoch besser, wenn auch für sich alleine immer noch nicht die beste aller Möglichkeiten. Vor allem nicht wie am Beispiel Telegram zu sehen, wo mit freiem Code geworben wird, bei genauer Betrachtung aber eben nicht alles frei ist, sondern stattdessen seit Jahren nur vollständige Freigabe angekündigt wird.

    Signal muss sich gefallen lassen, dass offener Quellcode alleine noch nicht ausreicht. Ich muss mir daraus auch meine Anwendungen kompilieren können. O ich das dann mache, oder doch den fertigen Binärpakten vertraue, ist dann meine Entscheidung.

  • Ja, aber ich kann meinen kompilierten Server nur für mich bzw. meine geschlossene Gruppe nutzen. Ob man kompilierten Client mit dem offiziellen Signal-System nutzen kann, weiß ich leider nicht. Jedenfalls hat Janus Frijs sich gegen externe Clients ausgesprochen.

  • Was bedeutet, dass 100% open-source keine Garantie sind. Das ist interessant, denn es gibt ja schon Leute, die Software ablehnen, weil sie eben nicht 100% offen sind. Ein gutes Argument für Diskussionen über dieses Thema. Vielen Dank!:thumbup:

    Das ist aber nicht wirklich neu. Als bestes Beispiel nenne ich immer TrueCrypt. (Ein Tool zum verschlüssen von Festplatten und USB-Sticks).
    TrueCrypt war auch immer openSource und erst nach ca. 10 Jahren wurde festgestellt, dass es doch nicht so sicher war, wie immer angenommen.

  • TrueCrypt war auch immer openSource und erst nach ca. 10 Jahren wurde festgestellt, dass es doch nicht so sicher war, wie immer angenommen.

    PGP und S/MIME sind noch älter und es wurden vor gar nicht langer Zeit grundsätzliche Probleme festgestellt, die die Sicherheit gefährden.

    Man kann soetwas feststellen, ist eben nicht gleichbedeutend mit "man stellt fest" und sagt nichts darüber aus, wann die Fehler entdeckt werden.

    Bei Closed Source ist aber nicht einmal die Möglichkeit gegeben, konzeptionelle Fehler direkt zu identifieren. Das fürhen manche als Argument pro Closed Source an. Jedoch lassen sich eben nicht nur keine Fehler erkennen, sondern auch nicht, was alles an wen übertragen wird.

  • Man kann soetwas feststellen, ist eben nicht gleichbedeutend mit "man stellt fest" und sagt nichts darüber aus, wann die Fehler entdeckt werden.

    Bei Closed Source ist aber nicht einmal die Möglichkeit gegeben, konzeptionelle Fehler direkt zu identifieren. Das fürhen manche als Argument pro Closed Source an. Jedoch lassen sich eben nicht nur keine Fehler erkennen, sondern auch nicht, was alles an wen übertragen wird.

    OpenSource ist absolut wichtig und auch absolut notwendig, es wird aber leider sehr oft so dargstellt, als ob OpenSource DIE ultimative Lösung wäre und das ist sie leider nicht.

  • Ist doch wunderbar. Wer hätte gedacht, dass Whatsapp selbst dabei unterstützt User von Alternativen zu überzeugen. Top! ^^

    Hast das jemand von euch mal ausprobiert oder eine vertrauenswürdigere Quelle?

    Die Quelle von focus.de ist ein Blogpost von wabetainfo über einen Tweet und zwei Posts auf Reddit. Das sind maximal drei verschiedene Accounts bei WhatsApp.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Wenn man Software vollständig quelloffen zugänglich macht und etwas Aufwand in sogenannte „Reproducible Builds“ steckt, dann hat man die gewünschte Nachvollziehbarkeit.

    Siehe hierzu Signal: https://signal.org/blog/reproducible-android/

    Aber halt auch nur beim Client und nicht beim Server. Die Frage nach den Metadaten ist damit noch nicht geklärt.

    Ob man kompilierten Client mit dem offiziellen Signal-System nutzen kann, weiß ich leider nicht. Jedenfalls hat Janus Frijs sich gegen externe Clients ausgesprochen.

    So weit ich weiss darf man Wire selber kompilieren und mit den offiziellen Servern nutzen. Man darf halt einfach keinen Schabernack damit treiben.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Nö. Das ist mir jetzt auch echt nicht wichtig genug, um da in die Tiefe zu gehen.

    Mir auch nicht auch wenn ich eigentlich noch zwei übriggebliebene Telefonnummern habe mit denen ich es ausprobieren könnte.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Gut, aber das ist ein unlösbares Problem. Selbst wenn die richtige Server-Software läuft, könnte man noch zusätzliche Dinge tun (z. B. IP-Adressen loggen).

    Nein, mit Federation könnte man seinen eigenen Server betreiben. Dann musst du nur noch deinen eigenen Fähigkeiten oder den lokalen Freifunkern vertrauen.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Nein, mit Federation könnte man seinen eigenen Server betreiben. Dann musst du nur noch deinen eigenen Fähigkeiten oder den lokalen Freifunkern vertrauen.

    Was in der Praxis aber oftmals nicht wirklich gut funktioniert. Außerdem ist mit der Vorteil nicht ganz klar: Wenn ich mir sicher bin die richtige Client-Software zu nutzen (z. B. aufgrund von Reproducible Builds), dann kann ich auch sicher sein dass alles schön verschlüsselt ist etc. Das einzige Problem wären Dinge wie IP-Logging, was man durch Dinge wie VPNs oder Proxies lösen kann.

  • Im Ergebnis betont der Bundesrat, es gäbe «aktuell» keine Bestrebungen, Anbieter von Instant Messaging-Diensten in der Schweiz zum Einbau von Hintertüren zu verpflichten.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Was in der Praxis aber oftmals nicht wirklich gut funktioniert.

    E-Mail hat es hingekriegt und Wire versucht es im Moment.

    Das einzige Problem wären Dinge wie IP-Logging, was man durch Dinge wie VPNs oder Proxies lösen kann.

    Nöö, man hat ja jeweils Sender und Empfänger. Und aus der Menge gleichzeitig versendeter Nachrichten kann man auf Gruppenzusammensetzungen schliessen.

    Aber die Diskussion sollten wir vielleicht mal in einen anderen Thread verschieben.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.