Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Hab mal nachgeschaut: 8 Updates in den letzten drei Wochen. 8|

    Davon einige mit neuen Features, also nicht nur Bug- oder Security-Fixes.

  • Nein, das Passwort (=PIN) erstellen die Nutzer selber.

    Und Signal hat die Standardeinstellung angeboten und das Backup dann erstellt. Ich verstehe deine Aussage nicht.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Ich wollte damit nur sagen, dass die Nutzer die Backups ggf. mit unsicheren Passwörtern "geschützt" haben, nicht Signal selbst.

    Nein, Signal hätte eine Mindestlänge länger als 4 Zeichen erzwingen können.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Nein, Signal hätte eine Mindestlänge länger als 4 Zeichen erzwingen können.

    Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.

    Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...

  • Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.

    Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...

    ...geht mir auch so, weiß auch nicht so recht, was ich davon halten soll.

    Insbesondere, da man ja nicht weiß, ob auf den Signal-Servern wirklich der Code läuft, dessen Quellcode veröffentlicht ist, d. h. man muss den Signal-Betreiben vertrauen, dass sie tatsächlich das machen, was sie vorgeben zu tun...

  • Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.

    Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...

    Und genau hierfür wird auf Intel SGX gesetzt. Eine Technologie die in Vergangenheit immer wieder mal geknackt wurde, zuletzt eben vor wenigen Wochen: https://twitter.com/matthew_d_gree…406251063762944

    Zum Argument "die User müssen halt selber entgegen der 4-Ziffer-PIN-Empfehlung ein sicheres Passwort wählen": https://twitter.com/matthew_d_gree…414910531547141

    SGX ist das Einzige, was verhindert, dass das Signal-Online-Profil (inkl. den ganzen Kontakten aus dem Adressbuch) von jemandem mit Serverzugriff brute-forced wird. Was bei einem 4-Ziffer-PIN lächerlich schnell passieren kann.

    Im Signal-Forum gibt's dazu auch schon rege Diskussionen: https://community.signalusers.org/t/dont-want-pi…n-cloud/14057/1

    Hier die Diskussion zur SGX-Vulnerability: https://community.signalusers.org/t/sgx-cacheout…ulnerable/14892

    Von einem Statement seitens Signal zur SGX-Sicherheitslücke wüsste ich derzeit nichts.

  • Die sind doch nur neidisch weil bei Threema Safe die Standardeinstellung fürs Passwort nicht 4 Zeichen ist.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Harsche Kritik aus dem Signal-Forum (zuvor ging's darum, warum Threema keine Perfect Forward Secrecy bietet)

    Ach, das sind "Glaubenskriege", an denen ich mich nicht beteiligen würde. Threema ist ein sicherer und exellenter Privat Messenger und das gleiche gilt auch für Signal. Je nach persönlichen Präferenzen und dem sozialen Umfeld hat mal der eine oder der andere die Nase vorn.

    PFS ist sicher ein Argument für Signal, was aber nicht gleich bedeutet das Threema's Verschlüsselung löchrig wie Schweizer Käse wäre (ha, nette Metapher :) ) Gut, als Krimineller, Whistleblower oder bedrohter Aktivist würde mir die fehlende PFS nicht gefallen, aber als Normal-User, der seine Privatsphäre, Daten und Meta-Daten vor Facebook, Google und Co., aber auch vor dem Staat und neugierigen Dritten schützen möchte ist die fehlende FPS kein wirkliches Problem und mMn nur eine theoretische Schein-Diskussion.

    Und wäre ich ein bedrohter Aktivist, dann würde ich dafür trotzdem kein Signal nehmen und würde ganz andere Wege gehen... ;)

  • Ich bin auch schon lange der Meinung, dass man mit Threema und Signal die beiden Top-Messenger aus dem europäischen und dem amerikanischen Raum auf einem Gerät haben kann.

    Ich zumindest habe so auch die allermeisten meiner Kontakte abgedeckt, wobei Threema hier die Nase vorne hat!:thumbup:

  • Hoppla, jetzt gibt aber einer Gas: https://community.signalusers.org/t/threema-mess…/214?u=gundheri 8o:evil:

    So sieht wohl tiefsitzender Frust aus...!?

    Spannend, wie er auf libsodium-php herumreitet, das in der App gar nicht verwendet wird. Offenbar wird das nur im Beispielcode / SDK für Threema Gateway referenziert.

    Und offenbar sind ihm auch die zahlreichen Beiträge von Threema-Mitarbeitern an FOSS entgangen, z.B. hier

  • Seit heute ist das Update raus, womit Signal einführt, dass Nachrichten nach dem Senden gelöscht werden können.
    Es kommt noch eine Abfrage, ob man die Nachricht nur für sich löschen oder für jeden möchte. Nach dem Löschen erscheint der Hinweis im Chat "Du hast diese Nachricht gelöscht".

    Ich finde es gut :)

  • Hm... wie schon mal erwähnt, würde ich mir das bei Threema nur für einen kurzen begrenztem Zeitraum (im Minutenbereich) wünschen, um ggf. falsche Nachrichten oder Tippfehler zu eliminieren, die den Zusammenhang stören.

    Ich wäre gegen eine Einführung dieser generellen Funktion bei Threema.

    Einmal editiert, zuletzt von Miaz (13. Oktober 2020 um 08:00) aus folgendem Grund: ergänzt: Minutenbereich und Zusammenhang

  • Seit heute ist das Update raus, womit Signal einführt, dass Nachrichten nach dem Senden gelöscht werden können.

    Interessant wie unterschiedlich die Meinungen dazu sind. Für mich jedoch ein klares No-Go Feature, was Signal (für mich) unattraktiver macht.

    Einzig eine Opt-Out Möglichkeit würde ich tolerieren. @Ray! Gibt's die bei Signal?

  • Nein, die gibt es nicht. Würde in meinen Augen auch keinen Sinn machen.

    Ja, dass die Meinungen unterschiedlich sind, haben wir ja hier im Forum schon an der Diskussion gemerkt, ;)