Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support
  • Nein, das Passwort (=PIN) erstellen die Nutzer selber.

    Und Signal hat die Standardeinstellung angeboten und das Backup dann erstellt. Ich verstehe deine Aussage nicht.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Ich wollte damit nur sagen, dass die Nutzer die Backups ggf. mit unsicheren Passwörtern "geschützt" haben, nicht Signal selbst.

    Nein, Signal hätte eine Mindestlänge länger als 4 Zeichen erzwingen können.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Nein, Signal hätte eine Mindestlänge länger als 4 Zeichen erzwingen können.

    Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.

    Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...

  • Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.

    Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...

    ...geht mir auch so, weiß auch nicht so recht, was ich davon halten soll.

    Insbesondere, da man ja nicht weiß, ob auf den Signal-Servern wirklich der Code läuft, dessen Quellcode veröffentlicht ist, d. h. man muss den Signal-Betreiben vertrauen, dass sie tatsächlich das machen, was sie vorgeben zu tun...

  • Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.

    Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...

    Und genau hierfür wird auf Intel SGX gesetzt. Eine Technologie die in Vergangenheit immer wieder mal geknackt wurde, zuletzt eben vor wenigen Wochen: https://twitter.com/matthew_d_…tatus/1270406251063762944


    Zum Argument "die User müssen halt selber entgegen der 4-Ziffer-PIN-Empfehlung ein sicheres Passwort wählen": https://twitter.com/matthew_d_…tatus/1270414910531547141


    SGX ist das Einzige, was verhindert, dass das Signal-Online-Profil (inkl. den ganzen Kontakten aus dem Adressbuch) von jemandem mit Serverzugriff brute-forced wird. Was bei einem 4-Ziffer-PIN lächerlich schnell passieren kann.


    Im Signal-Forum gibt's dazu auch schon rege Diskussionen: https://community.signalusers.…g-stored-in-cloud/14057/1


    Hier die Diskussion zur SGX-Vulnerability: https://community.signalusers.…iscovery-vulnerable/14892


    Von einem Statement seitens Signal zur SGX-Sicherheitslücke wüsste ich derzeit nichts.

    Disclaimer: Ich arbeite als Entwickler bei Threema, bin aber privat hier und kann natürlich keine internen Informationen weitergeben. Für offizielle Statements, schreibt eine Nachricht an den Support.

  • Die sind doch nur neidisch weil bei Threema Safe die Standardeinstellung fürs Passwort nicht 4 Zeichen ist.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.


    Nur mit Threema Safe schläft man ruhig.

  • Harsche Kritik aus dem Signal-Forum (zuvor ging's darum, warum Threema keine Perfect Forward Secrecy bietet)

    Ach, das sind "Glaubenskriege", an denen ich mich nicht beteiligen würde. Threema ist ein sicherer und exellenter Privat Messenger und das gleiche gilt auch für Signal. Je nach persönlichen Präferenzen und dem sozialen Umfeld hat mal der eine oder der andere die Nase vorn.


    PFS ist sicher ein Argument für Signal, was aber nicht gleich bedeutet das Threema's Verschlüsselung löchrig wie Schweizer Käse wäre (ha, nette Metapher :) ) Gut, als Krimineller, Whistleblower oder bedrohter Aktivist würde mir die fehlende PFS nicht gefallen, aber als Normal-User, der seine Privatsphäre, Daten und Meta-Daten vor Facebook, Google und Co., aber auch vor dem Staat und neugierigen Dritten schützen möchte ist die fehlende FPS kein wirkliches Problem und mMn nur eine theoretische Schein-Diskussion.


    Und wäre ich ein bedrohter Aktivist, dann würde ich dafür trotzdem kein Signal nehmen und würde ganz andere Wege gehen... ;)

  • Ich bin auch schon lange der Meinung, dass man mit Threema und Signal die beiden Top-Messenger aus dem europäischen und dem amerikanischen Raum auf einem Gerät haben kann.


    Ich zumindest habe so auch die allermeisten meiner Kontakte abgedeckt, wobei Threema hier die Nase vorne hat!:thumbup:

  • Hoppla, jetzt gibt aber einer Gas: https://community.signalusers.…enger/7789/214?u=gundheri 8o:evil:


    So sieht wohl tiefsitzender Frust aus...!?

    Spannend, wie er auf libsodium-php herumreitet, das in der App gar nicht verwendet wird. Offenbar wird das nur im Beispielcode / SDK für Threema Gateway referenziert.


    Und offenbar sind ihm auch die zahlreichen Beiträge von Threema-Mitarbeitern an FOSS entgangen, z.B. hier

  • So als Nebenbemerkung, Threema unterstützt die Open Source Community neben Code-Contributions und Spenden auch auf anderen Wegen finanziell, zB durch Sponsoring von Konferenzen wie EuroBSDcon 2019 oder RustFest Rome 2018.

    Disclaimer: Ich arbeite als Entwickler bei Threema, bin aber privat hier und kann natürlich keine internen Informationen weitergeben. Für offizielle Statements, schreibt eine Nachricht an den Support.

  • Seit heute ist das Update raus, womit Signal einführt, dass Nachrichten nach dem Senden gelöscht werden können.
    Es kommt noch eine Abfrage, ob man die Nachricht nur für sich löschen oder für jeden möchte. Nach dem Löschen erscheint der Hinweis im Chat "Du hast diese Nachricht gelöscht".


    Ich finde es gut :)

  • Hm... wie schon mal erwähnt, würde ich mir das bei Threema nur für einen kurzen begrenztem Zeitraum (im Minutenbereich) wünschen, um ggf. falsche Nachrichten oder Tippfehler zu eliminieren, die den Zusammenhang stören.

    Ich wäre gegen eine Einführung dieser generellen Funktion bei Threema.

    __________________________
    Gruß - Miaz (Samsung Galaxy S7; Sony Xperia Z1C; Threema seit 08/14; Closed-Beta seit 02/18)

    Einmal editiert, zuletzt von Miaz () aus folgendem Grund: ergänzt: Minutenbereich und Zusammenhang

  • Soweit ich weiß lässt Signal das auch nur für Nachrichten zu, die in den letzten 3 Stunden geschrieben wurden.

    Es ist nur eine Frage der Zeit, bis Apps wie diese hier auch für Signal auftauchen:

    ...und viele mehr :)

    Disclaimer: Ich arbeite als Entwickler bei Threema, bin aber privat hier und kann natürlich keine internen Informationen weitergeben. Für offizielle Statements, schreibt eine Nachricht an den Support.

  • Seit heute ist das Update raus, womit Signal einführt, dass Nachrichten nach dem Senden gelöscht werden können.

    Interessant wie unterschiedlich die Meinungen dazu sind. Für mich jedoch ein klares No-Go Feature, was Signal (für mich) unattraktiver macht.

    Einzig eine Opt-Out Möglichkeit würde ich tolerieren. Ray! Gibt's die bei Signal?