In https://fahrplan.events.ccc.de/congress/2016/…vents/8062.html haben sich 2 Leute mal Threema angeschaut.
Threema Analyse vom 33C3
Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
-
-
Weißt du, ob es den Beitrag online zum anschauen geben wird? Wenn ja, wo genau?
-
Zitat
... we have fully reverse-engineered the Threema app and can therefore analyze and present its protocol and our analysis of it in detail.Klingt sehr interessant![hr]Die Aufzeichnung ist nun auch online: https://media.ccc.de/v/33c3-8062-a_…aging_black_box
-
Kann jemand einmal eine kurze Zusammfassung darüber schreiben
Da ich leider momentan nicht das Internet habe über 400 MB Videos herunter zu laden -
http://www.golem.de/news/reverse-e…612-125286.html
Die haben meiner Meinung nach etwas zu lange Basiswissen über asymmetrische Verschlüsselung erklärt.
Das sollten die Leute am 33C3 eh wissen -
https://github.com/o3ma/o3 hat Code .
Vielleicht was für Openmitsu als Vergleich. -
Ich finde, Threema kommt in dem Beitrag gut weg. Ist halt die Frage, was das für Threema bedeutet, wenn der Code quasi offen liegt?
-
Threema hatte doch das Verbot von Reverse Engeniering dafür extra entfernt, damit man die zerlegen kann.
OpenMittsu akzeptieren sie ja auch. -
Für mich stellt sich allerdings die Frage, wer dann in Zukunft die Serverkosten trägt, wenn keine mehr Geld für die APP entrichten muss?
-
Ich hoffe, dass es erstmal so bleibt, dass die ID Vergabe auf die originial App beschränkt bleibt. Somit muss man die App erstmal kaufen. So wie bei Openmittsu
-
Der folgende Artikel in der ZEIT fasst einige Punkte des Vortrags allgemeinverständlich auf.
Hinsichtlich Threema wird der Authentifizierungsansatz mittels der Ampel besonders gelobt, da er Nutzer dazu motiviere, sich gegenseitig tatsächlich zu authentifizieren. Auch die Möglichkeit, die ID nicht an die Telefonnummer zu binden sei positiv im Kontext der Datensparsamkeit. Negativ wird erwartungsgemäß bewertet, dass der Quellcode nicht offengelegt werde. Den perfekten Messenger gebe es jedoch nicht. -
Kann jemand einmal eine kurze Zusammfassung darüber schreiben
Da ich leider momentan nicht das Internet habe über 400 MB Videos herunter zu ladenDu kannst dir hier die Folien ansehen: https://fahrplan.events.ccc.de/congress/2016/…inal/slides.pdf
Für mich stellt sich allerdings die Frage, wer dann in Zukunft die Serverkosten trägt, wenn keine mehr Geld für die APP entrichten muss?Das ist schon immer ein Irrglaube und ein Kardinalfehler von Threema. Open Source bedeutet nicht, dass ich kein Geld mehr für die Appnutzung bezahlen muss. Open Source bedeutet Quelloffenheit und die schadet in keinster Weise – ganz im Gegenteil, sie wäre dringend notwendig (und ist eigentlich eine unverhandelbare Voraussetzung für ein sicheres Produkt!). Threema kann weiterhin Geld für die Ids verlangen, denn man bezahlt doch nicht für die App. Man bezahlt für die Nutzung. Jeder kann sich die App selbst bauen – aber noch nicht nutzen, solange man keine Id hat. Und die Id-Erstellung geht nur mit Lizenzcode. Insofern waren und sind das schon immer zwei Paar Schuhe.
-
Und die Id-Erstellung geht nur mit Lizenzcode. Insofern waren und sind das schon immer zwei Paar Schuhe.
Verzeih bitte, aber das ist so nicht korrekt. Ich kann auch mit Einer Lizenz mehrere IDs (im Prinzip x-beliebige IDs) erstellen. -
Ich hatte seinerzeit auch mal die Befürchtung, dass das Open Source Projekt OpenMittsu (der Desktop-Client) das Geschäftsmodell von Threema zerstören könnte, da ein daraus abgeleiteter Gratis-Client den kostenpflichtigen Original-Client möglicherweise verdrängen könnte. Diese Befürchtung hat sich zum Glück nicht bewahrheitet - jedenfalls ist nach meinem Kenntnis daraus zumindest bisher kein alternativer Smartphone-Client hervorgegangen, und ich habe auch bisher von keinen Leuten gehört, die massenweise IDs mit einer Lizenz erzeugen und diese dann auf verschiedene OpenMittsu-Clients verteilen.
Von daher stellt OpenSource vielleicht tatsächlich doch gar keine so große Bedrohung dar wie befürchtet?
Allerdings ist OpenMittsu auch noch etwas "unhandlich" in der Bedienung, insbesondere beim Einbinden einer ID, und eben nur auf PC verfügbar. Wenn aber eine ähnlich benutzerfreundliche Gratis-Alternative fürs Smartphone existieren würde könnte das aber evtl. anders aussehen...?
- Andy -
Irgendwo habe ich es schonmal geschrieben.
Ich bin für ein Bezahlmodell pro ID und fertig!
Vielleicht noch um ein paar anonyme Bezahlarten erweitert und schon kann es einem egal sein ob alternative Clients benutzt werden.
Das was passieren kann ist, dass dadurch das Gateway an Bedeutung verliert.
-
Interessanter Bericht http://ift.tt/2htF0yw
-
Verzeih bitte, aber das ist so nicht korrekt. Ich kann auch mit Einer Lizenz mehrere IDs (im Prinzip x-beliebige IDs) erstellen.Pardon, da war ich etwas unsauber in der Formulierung.
Du hast diesbezüglich natürlich recht – und das ist eben ein weiterer Grund, warum nichts gegen OpenSource spricht. Denn theoretisch könnte ich auch jetzt beliebig viele „kostenlose“ IDs erzeugen.
Threema benötigt diesbezüglich die Umgestaltung "pro Lizenzcode == 1 Id erzeugen", sprich wer eine Id erzeugt und (automatisch) auf die Server hochläd, muss einen Lizenzschlüssel (automatisch) mitschicken und nur wenn bisher damit noch keine Id erzeugt wurde, wirds zugelassen.Das Argument "dann kauft keiner mehr" zieht nicht, wenn man sich vor Augen führt, dass schon jetzt ein simples „Angriffsszenario“ gegen die Bezahlung exisitert. Vielmehr muss Threema den eigentlichen Fehler beheben – mit OpenSource hat das ganze aber nichts zu tun.
-
Das Modell "Zahlen-pro-ID" würde für viel Frust sorgen: ich habe da so einige Kandidaten in meiner Kontaktliste, die dann schon 5x hätten zahlen müssen - die schaffen es trotz Unterstützung einfach nicht, ihre ID zu sichern und tauchen nach jedem Handywechsel u. dgl. ständig mit einer neuen ID auf.
Andererseits wäre das vielleicht ein Motivationsschub für die Threema-Entwickler, sich endlich mal um das mehr als leidige Thema der doppelten IDs ernsthaft zu kümmern. -
Das Modell "Zahlen-pro-ID" würde für viel Frust sorgen: ich habe da so einige Kandidaten in meiner Kontaktliste, die dann schon 5x hätten zahlen müssen - die schaffen es trotz Unterstützung einfach nicht, ihre ID zu sichern und tauchen nach jedem Handywechsel u. dgl. ständig mit einer neuen ID auf.
Andererseits wäre das vielleicht ein Motivationsschub für die Threema-Entwickler, sich endlich mal um das mehr als leidige Thema der doppelten IDs ernsthaft zu kümmern.Es wäre wohl auch ein Motivationsschub für einige User, sich mal mit dem Thema "ID Backup" zu beschäftigen. Viele Leute sind leider erst lernfähig, wenn es ihnen ans Portemonnaie geht.
Der Preis pro ID sollte dann aber auch angepasst werden. Die jetzigen Preise, mit der Möglichkeit zig IDs zu erzeugen, wären (in meinen Augen) für das vorgeschlagene Modell zu hoch. -
Es wäre wohl auch ein Motivationsschub für einige User, sich mal mit dem Thema "ID Backup" zu beschäftigen. Viele Leute sind leider erst lernfähig, wenn es ihnen ans Portemonnaie geht.
...könnte sein, wäre toll! [emoji23]Ich fürchte jedoch viel mehr, dass das den meisten Nutzern dann "zu doof" ist und sich in der Folge anderen Messengern zuwenden, bei denen ja "eh viel mehr Leute dabei sind". Man darf nicht vergessen, dass viele Leute gleich wieder weg sind, wenn die Alternativlösung, zu dessen Testen sie meist eh nur überredet wurden, dann auch noch 'rumzickt - oder gar auch noch an's Portemonnaie will.
Die neuen Nutzer müssten am Besten sofort einen Mehrwert für sich erkennen. Die Threema-Ampel und das Einscannen der QR-Codes zur Authentifizierung zum Beispiel kommt oft gut an, macht viele neugierig, da auch sofort eingängig ist, was der Nutzen ist (rot-gelb-grün für den Authentifizierungsstatus, das versteht jeder!), und hat schon einige Male den ein oder anderen spontan motiviert, auch mitzumachen!- Andy
-