URL Anriss/Vorschau

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Hi,

    hab gesucht aber nix dazu gefunden.
    Vorschau wie bei z.B. WhatsApp einer URL eingebunden in die Nachricht mit
    Titel und Anriss Text wenn vorhanden.

    Gibt es da schon was in der todo oder aus bestimmten Gründen gestrichen?

  • Naja um "schön" geht es mir erst einmal nicht sondern damit man ein ungefähre Vorstellung bekommt was einem erwartet.
    Aber klar, unter dem Threema Aspekt "protect everything" kann ich das verstehen und hoffe trotzdem auf ein Lösung.

  • Zitat von "Cris_" pid='37145' dateline='1522148268'

    Aber klar, unter dem Threema Aspekt "protect everything" kann ich das verstehen und hoffe trotzdem auf ein Lösung.

    Wie du schon selber erkannt hast, ist eine solche "Vorschau" datenschutztechnisch nicht ganz unproblematisch. Unter WA ist dieser Aspekt völlig egal, weil die Nutzer, welche FB/WA nutzen, den Schutz ihrer Privatsphäre sprichwörtlich an den Nagel gehängt haben. WA ist seit der Übernahme durch FB das klassische Beispiel für «security by obscurity» unter den Messengern.

    Eine Möglichkeit wäre vielleicht, den Kontakt zur Webseite über Proxy´s zu leiten oder über Tor zu tunneln. Aber ich kann mir gut vorstellen, dass sowas unter Threema vor dem Hintergrund «Threema - Seriously secure messaging» nicht so einfach implementierbar sein dürfte.

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(


  • WhatsApp besucht um die Vorschau anzuzeigen auch noch einmal die Website. Der Webseitenbetreiber sieht somit, dass seine Webseite geteilt wurde (falls du eingeloggt bist, weiss er sogar von wem) und je nach dem wie oft die Webseite besucht wird, weiss er auch mit wem die Webseite geteilt wurde.

    Da ich kein WhatsApp habe, dazu mal eine Frage: Bei WhatsApp muss man sich neben der Registrierung der Tel-Nr. nochmal einloggen? Übermittelt WA tatsächlich naben den üblichen Browser Header-Dateien noch Informationen vom Benutzer? Das alleine wäre schon ein Grund das Ding nicht zu installieren....

  • Ah, okay. Ich war etwas über ".. falls Du eingeloggt bist..." verwundert. Dann ist es so, wie ich erwartet habe. Was die Sache natürlich nicht besser macht.

    Solche Vorschauen sind für den Anwender augenscheinlich erstmal ein tolle Sache, was aber dahinter steckt, da machen sich leider die wenigsten Gedanken darüber. Das Problem besteht ja auch schon in E-Mail Programmen und alle Admins/IT-Abteilungen würden das lieber heute als Morgen abstellen....

    Ein unseriöser zugeschickter Link und schon taucht man in den Log-Dateien des Servers auf, das kann mal ordentlich in die Hose gehen....

    Einmal editiert, zuletzt von dana (27. März 2018 um 16:20)


  • Ein unseriöser zugeschickter Link und schon taucht man in den Log-Dateien des Servers auf, das kann mal ordentlich in die Hose gehen....

    Nein, die Webseite wird auf dem Handy des Senders geladen, auf dem Handy des Empfängers passiert erstmal gar nichts bis er draufdrückt.
    [hr]


    Ah, okay. Ich war etwas über ".. falls Du eingeloggt bist..." verwundert. Dann ist es so, wie ich erwartet habe. Was die Sache natürlich nicht besser macht.

    Beim Webseitenbetreiber eingeloggt. Zum Beispiel hier im Threema Forum.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

    Einmal editiert, zuletzt von schuschu (27. März 2018 um 16:36)

  • Achso, die Vorschau wird auf dem Handy des Absenders generiert und beim Empfänger kommt nur das Bild an? Aus Sicht des Empfängers ist das ganz gut umgesetzt. Ich kenne das bisher nur anders herum. In der Konstellation könnte ich mir theoretisch eine optionale Funktion vorstellen, da so der Absender es in der Hand hat, ob er den Link (zur Erstellung der Vorschau im Hintergrund) besuchen will. Auf Empfänger-Seite hätten ja die Threema-Entwickler es dann in der Hand, dass nur die URL (ohne weitere Infos) an den Browser übergeben wird. Mehr hat dann natürlich Threema nicht mehr in der Hand.

    Also ich selber brauche sowas nicht, aber wenn es den ein oder anderen dazu verleiten sollte zu wechseln, dann kann das gerne optional rein. Ich mag links weiterhin gerne in reinem text, dann weiß man wo man hingeleitet wird...

  • Ich habe meine Meinung mittlerweile geändert. Wie wichtig mir die URL-Vorschau ist, ist mir erst bewusst geworden als ich sie einige Tage nicht benutzen konnte (mehr Leute auf Threema umgestiegen). Man kann natürlich auch von Hand einen kleinen Vorschautext einfügen und ein Bild verschicken, aber der Aufwand ist dann doch sehr gross.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.


  • Achso, die Vorschau wird auf dem Handy des Absenders generiert und beim Empfänger kommt nur das Bild an? Aus Sicht des Empfängers ist das ganz gut umgesetzt.

    Na dann ist die Vorschau ja nutzlos, denn sie entspricht dann gar nicht zwingend dem, was man sieht wenn man auf den Link klickt. Darum geht es bei der Vorschau ja genau, man weiss dann, was sich hinter dem Link verbirgt. Wenn der Absender den Inhalt der Vorschau bestimmt, eignet sich das hervorragend für irgendwelche Phishing-Attacken oder Würmer.

    Wenn hingegen das Empfänger-Gerät die URL automatisch herunterlädt, sind wir zurück beim Privacy-Problem: Man taucht automatisch in den Serverlogs auf.


  • Wenn hingegen das Empfänger-Gerät die URL automatisch herunterlädt, sind wir zurück beim Privacy-Problem: Man taucht automatisch in den Serverlogs auf.

    Dann müsste Threema alle Zugriffe proxyen und keine Logs erstellen.
    Aber das ist natürlich wieder Vertrauenssache, darum besser solche Daten gar nicht erst entstehen lassen.

  • Eben, dann würde Threema ja alle gesendeten URLs im Klartext bekommen, dass würde die Ende-zu-Ende-Verschlüsselung ad absurdum führen.

    Der praktikabelste Weg wäre also noch der "beim Sender generieren", aber stimmt, für Phishing würde es sich dann auch missbrauchen lassen.

    Also kurz gesagt: Es gibt keine Variante, das sicher & privat zu realisieren. Das gilt natürlich für alle Messenger.
    Alle Messenger, die so etwas machen, nehmen also irgendwo Abstriche (bzgl. Privatsphäre oder Sicherheit) in Kauf.


  • Na dann ist die Vorschau ja nutzlos, denn sie entspricht dann gar nicht zwingend dem, was man sieht wenn man auf den Link klickt. Darum geht es bei der Vorschau ja genau, man weiss dann, was sich hinter dem Link verbirgt. Wenn der Absender den Inhalt der Vorschau bestimmt, eignet sich das hervorragend für irgendwelche Phishing-Attacken oder Würmer.

    Was wäre hier das Angriffsszenario? Man verschickt die URL reiffaisen.ch anstatt raiffeisen.ch aber mit der richtigen URL-Vorschau? Ich hätte gesagt, dass dies keinen grossen Unterschied macht.
    Aber man könnte die Vorschau ja für unbekannte Kontakte ohne vorhergehende Nachrichten ja nicht einblenden.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Wenn das Vorschau-Bild ohne Einfluss(-möglichkeit) des Anwenders beim Absender generiert wird, sollte das, gerade bei einem closed-source Programm, die Möglichkeiten die Sache zu mißbrauchen extrem einschränken. Gute Pishing-Seiten sehen dem original auf einem Screenshot sowieso immer extrem ähnlich, so dass das eh kein gutes Argument für/dagegen ist. Leider wird man wohl heutzutage kaum um eine solche Vorschau-Funktion herumkommen, außer man will eine App haben die nur einem extrem eingeschränkten Kreis von sehr sicherheitsorientierten Anwendern entgegenkommt (und diese werden sich wohl auch eher nicht von einem Screenshot/einer Vorschau "überlisten" lassen).

  • Naja, mit openMittsu kann man ja auch Nachrichten verschicken. Missbrauchspotential gäbe es demnach schon.
    Aber ich behaupte weiterhin, dass es trotzdem keinen Unterschied machen würde.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Ich sehe auch kein Problem damit, wenn das Vorschaubild vom sendenden Gerät generiert wird. Wenn ich die Webseite besuche sehe ich ja selbst, ob das Vorschaubild nun gepasst hat oder nicht. Abgesehen davon ist das für mich identisch zu "selber Screenshot anfertigen und als Bildtext den Link einfügen". Genau so könnte man es auch implementieren.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • WhatsApp macht noch etwas mehr. Die nehmen den Titel der Webseite als Titel, den Anfang des Haupttextes als Beschreibung und entweder das erste Bild im Haupttext oder das Favicon als Bild und der Link wird natürlich darunter auch hervorgehoben.
    Das passt für mich ganz gut und sieht auch meistens ziemlich ansprechend aus.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.