Hab mal nachgeschaut: 8 Updates in den letzten drei Wochen.
Davon einige mit neuen Features, also nicht nur Bug- oder Security-Fixes.
Hab mal nachgeschaut: 8 Updates in den letzten drei Wochen.
Davon einige mit neuen Features, also nicht nur Bug- oder Security-Fixes.
Nein, das Passwort (=PIN) erstellen die Nutzer selber.
Und Signal hat die Standardeinstellung angeboten und das Backup dann erstellt. Ich verstehe deine Aussage nicht.
Ich wollte damit nur sagen, dass die Nutzer die Backups ggf. mit unsicheren Passwörtern "geschützt" haben, nicht Signal selbst. Ich halte meins für relativ gut (Entropie von 95,7 bit).
Ich wollte damit nur sagen, dass die Nutzer die Backups ggf. mit unsicheren Passwörtern "geschützt" haben, nicht Signal selbst.
Nein, Signal hätte eine Mindestlänge länger als 4 Zeichen erzwingen können.
Nein, Signal hätte eine Mindestlänge länger als 4 Zeichen erzwingen können.
Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.
Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...
Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.
Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...
...geht mir auch so, weiß auch nicht so recht, was ich davon halten soll.
Insbesondere, da man ja nicht weiß, ob auf den Signal-Servern wirklich der Code läuft, dessen Quellcode veröffentlicht ist, d. h. man muss den Signal-Betreiben vertrauen, dass sie tatsächlich das machen, was sie vorgeben zu tun...
Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.
Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...
Und genau hierfür wird auf Intel SGX gesetzt. Eine Technologie die in Vergangenheit immer wieder mal geknackt wurde, zuletzt eben vor wenigen Wochen: https://twitter.com/matthew_d_gree…406251063762944
Zum Argument "die User müssen halt selber entgegen der 4-Ziffer-PIN-Empfehlung ein sicheres Passwort wählen": https://twitter.com/matthew_d_gree…414910531547141
SGX ist das Einzige, was verhindert, dass das Signal-Online-Profil (inkl. den ganzen Kontakten aus dem Adressbuch) von jemandem mit Serverzugriff brute-forced wird. Was bei einem 4-Ziffer-PIN lächerlich schnell passieren kann.
Im Signal-Forum gibt's dazu auch schon rege Diskussionen: https://community.signalusers.org/t/dont-want-pi…n-cloud/14057/1
Hier die Diskussion zur SGX-Vulnerability: https://community.signalusers.org/t/sgx-cacheout…ulnerable/14892
Von einem Statement seitens Signal zur SGX-Sicherheitslücke wüsste ich derzeit nichts.
Harsche Kritik aus dem Signal-Forum (zuvor ging's darum, warum Threema keine Perfect Forward Secrecy bietet):
https://community.signalusers.org/t/threema-mess…/194?u=gundheri
Die sind doch nur neidisch weil bei Threema Safe die Standardeinstellung fürs Passwort nicht 4 Zeichen ist.
Harsche Kritik aus dem Signal-Forum (zuvor ging's darum, warum Threema keine Perfect Forward Secrecy bietet)
Ach, das sind "Glaubenskriege", an denen ich mich nicht beteiligen würde. Threema ist ein sicherer und exellenter Privat Messenger und das gleiche gilt auch für Signal. Je nach persönlichen Präferenzen und dem sozialen Umfeld hat mal der eine oder der andere die Nase vorn.
PFS ist sicher ein Argument für Signal, was aber nicht gleich bedeutet das Threema's Verschlüsselung löchrig wie Schweizer Käse wäre (ha, nette Metapher ) Gut, als Krimineller, Whistleblower oder bedrohter Aktivist würde mir die fehlende PFS nicht gefallen, aber als Normal-User, der seine Privatsphäre, Daten und Meta-Daten vor Facebook, Google und Co., aber auch vor dem Staat und neugierigen Dritten schützen möchte ist die fehlende FPS kein wirkliches Problem und mMn nur eine theoretische Schein-Diskussion.
Und wäre ich ein bedrohter Aktivist, dann würde ich dafür trotzdem kein Signal nehmen und würde ganz andere Wege gehen...
Ich bin auch schon lange der Meinung, dass man mit Threema und Signal die beiden Top-Messenger aus dem europäischen und dem amerikanischen Raum auf einem Gerät haben kann.
Ich zumindest habe so auch die allermeisten meiner Kontakte abgedeckt, wobei Threema hier die Nase vorne hat!
Hoppla, jetzt gibt aber einer Gas: https://community.signalusers.org/t/threema-mess…/214?u=gundheri
So sieht wohl tiefsitzender Frust aus...!?
Hoppla, jetzt gibt aber einer Gas: https://community.signalusers.org/t/threema-mess…/214?u=gundheri
So sieht wohl tiefsitzender Frust aus...!?
Spannend, wie er auf libsodium-php herumreitet, das in der App gar nicht verwendet wird. Offenbar wird das nur im Beispielcode / SDK für Threema Gateway referenziert.
Und offenbar sind ihm auch die zahlreichen Beiträge von Threema-Mitarbeitern an FOSS entgangen, z.B. hier
So als Nebenbemerkung, Threema unterstützt die Open Source Community neben Code-Contributions und Spenden auch auf anderen Wegen finanziell, zB durch Sponsoring von Konferenzen wie EuroBSDcon 2019 oder RustFest Rome 2018.
Seit heute ist das Update raus, womit Signal einführt, dass Nachrichten nach dem Senden gelöscht werden können.
Es kommt noch eine Abfrage, ob man die Nachricht nur für sich löschen oder für jeden möchte. Nach dem Löschen erscheint der Hinweis im Chat "Du hast diese Nachricht gelöscht".
Ich finde es gut
Hm... wie schon mal erwähnt, würde ich mir das bei Threema nur für einen kurzen begrenztem Zeitraum (im Minutenbereich) wünschen, um ggf. falsche Nachrichten oder Tippfehler zu eliminieren, die den Zusammenhang stören.
Ich wäre gegen eine Einführung dieser generellen Funktion bei Threema.
Soweit ich weiß lässt Signal das auch nur für Nachrichten zu, die in den letzten 3 Stunden geschrieben wurden.
Soweit ich weiß lässt Signal das auch nur für Nachrichten zu, die in den letzten 3 Stunden geschrieben wurden.
Es ist nur eine Frage der Zeit, bis Apps wie diese hier auch für Signal auftauchen:
...und viele mehr
Seit heute ist das Update raus, womit Signal einführt, dass Nachrichten nach dem Senden gelöscht werden können.
Interessant wie unterschiedlich die Meinungen dazu sind. Für mich jedoch ein klares No-Go Feature, was Signal (für mich) unattraktiver macht.
Einzig eine Opt-Out Möglichkeit würde ich tolerieren. @Ray! Gibt's die bei Signal?
Nein, die gibt es nicht. Würde in meinen Augen auch keinen Sinn machen.
Ja, dass die Meinungen unterschiedlich sind, haben wir ja hier im Forum schon an der Diskussion gemerkt,