Threema Safe

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Betriebssystem: Android (8)
    Threema Version: 3.6 (Gekauft über: Google Play)

    Problembeschreibung:
    Heya
    Was muss man tun wenn man das Safe Backup nutzen will mit owncloud ?
    Wie sieht die url aus das Threema dann uploaden kann auf owncloud ( eigender server )
    cya
    Betaman


    [hr]
    Erstellt über das Supportanfrage-Formular.

  • Hallo Betaman

    Threema Safe ist seit heute als Public Beta verfügbar.


    Das Backup kann auf einen beliebigen WebDAV-Server erfolgen. Wir werden in einigen Tagen eine entsprechende Anleitung veröffentlichen. Bis dahin bitten wir noch um etwas Geduld.

  • Threema Safe enthält nur die wichtigsten Informationen, d.h. deine Identität, deine Gruppen, deine Einstellungen, usw. Dies ermöglicht es, das Backup automatisch, zuverlässig und schnell im Hintergrund auf den Server zu laden, da es nur wenige Kilobyte gross ist.

    Würde man die Daten ebenfalls mit einschliessen, wäre das Backup potentiell riesig, was den Upload unzuverlässig machen würde. Zudem wäre der Datenverbrauch bei täglichen Uploads massiv höher, was für Leute ohne Flatrate problematisch wäre.

    Um die Chat-Inhalte und Medien ebenfalls zu sichern kann nach unter Android wie vor manuell ein klassisches Datenbankup erstellt werden. Bei iOS können die Inhalte über iTunes gesichert werden.

  • Ich denke, dass die Sicherung der Nachrichten und Medien genau das ist, was die Nutzer (unter anderem ich) von dem Feature "Threema Safe" erwarten.
    So kommt es mir so vor, als wäre das Feature gut gemeint, aber nicht komplett durchdacht.

    Damit möchte ich nicht sagen, dass die Entwickler keinen guten Job machen, sondern dass das Feature "Threema Safe" noch um die Sicherung der Nachrichten und Medien (meinetwegen als Opt-In) erweitert werden sollte.

    Viele Grüße
    Nudelsalat

  • Es ist jedenfalls ein Schritt in die richtige Richtung.
    Ich fände es allerdings auch gut, wenn es eine Möglichkeit gäbe, Chats plattformübergreifend übertragen zu können, zumindest im Rahmen z.B. eines "Umzugsassistenten" als einmalige, manuell auszulösende Aktion. Unter iOS hat man ja derzeit keine Chance, seine Chats zu exportieren/importieren (außer im Rahmen eines iTunes/iCloud Komplettbackups)


    Andy

  • Threema Safe reicht mir völlig. Ich kenne keinen Messenger bei dem ein vollständiges Chatbackup zuverlässig funktioniert. Da habe ich lieber eine abgespeckte funktionierende Version. Ausserdem wäre ein vollständiges Chatbackup vielen Leuten auch viel zu teuer.

    Aber um das Thema Backup abzuhaken, bräuchte iOS noch die Möglichkeit auch grosse Chats zu exportieren.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Hat jemand Threema Safe schon ausprobiert? (Habe kein Android und somit keine Möglichkeit, die Beta zu testen).
    Wohin werden die Daten gesichert? Funktioniert das nur mit einem eigenen WebDAV-Server? Dann wäre das wieder eher was für Nerds...
    Oder auf Google Drive (dann hoffentlich um so besser verschlüsselt) und ist per default aktiviert, so dass es auch DAU-tauglich ist? Oder bietet Threema gar dafür Speicherplatz an?


    Andy
    [hr]

    Zitat von "schuschu" pid='41534' dateline='1544166443'


    Ich kenne keinen Messenger bei dem ein vollständiges Chatbackup zuverlässig funktioniert.


    Na dann wird aber mal Zeit, dass das jemand mal angeht! Zum Mond fliegen kann die Menschheit seit Jahrzehnten, aber Chats exportieren ist auch im Jahr 2018 nach wie vor unmöglich?[emoji6]


    Andy

    Einmal editiert, zuletzt von andyg (7. Dezember 2018 um 08:35)

  • Die Daten werden bei Threema gespeichert, sofern man keinen eigenen WebDAV Speicher angibt.
    Bisher fehlt eine Doku zur Einrichtung eines eigene Speichers, da bei der Einrichtung von Threema Safe lediglich ne URL/IP angegeben werden kann (derzeit).

    Ansonsten max Größe 65,54 KB und Speicherdauer 180 Tage


  • Hat jemand Threema Safe schon ausprobiert?

    Ja.
    Um genau zu sein, finde ich es eine tolle Möglichkeit, auch wenn ich bisher nur den Standardserver (Threema) verwendet habe.
    Aber um deine Fragen zu klären, hier ein paar Bilder mit Texten.

    Threema bei der ersten Einrichtung mit neuer ID ab Punkt 2 (vor Nickname):

    Wenn man hier kein Kennwort vergibt, dann erfolgt eine Abfrage:

    Über Experten-Einstellungen bekommt man die Möglichkeit, einen eigenen Server anzugeben:

    Beim Wiederherstellen sieht es wie folgt aus:

    Wobei es unter Weitere Optionen die Möglichkeit zum Einspielen eines ID- oder Daten-Backups gibt:

    Wählt man die Wiederherstellung über den Threema Safe, kann bei Deaktivieren des Standardserver-Reglers ein eigener Server angegeben werden.

    Die Übersicht des Backups sieht dann z. B. so aus:

    Hoffentlich wurde es etwas klarer :)

  • Ja, vielen Dank für deine Mühe! Das ist extrem aufschlussreich!! [emoji3] [emoji106]

    Das heißt also, in Zukunft müssen die Nutzer sich nur noch das Passwort des Threema Safes merken/notieren. Auf jeden Fall ein großer Fortschritt zur momentanen Situation, wo zusätzlich auch noch ID- und Datenbackup sicher verwahrt werden mussten. Sehr schön!

    Wobei ich allerdings jetzt schon bei vielen Kandidaten ganz genau weiss, dass sie nach 3 Jahren—wenn der Ernstfall dann mal eintritt—, keine Ahnung mehr haben werden, was sie damals gleich wieder für ein Passwort gesetzt hatten... Ist ja schon jetzt so: einige haben sogar ihr ID-Backup tatsächlich noch gefunden (alle Achtung!), aber keinen Schimmer mehr, wie das Passwort lautete...
    Oder es wird bei der Installation 123456, QWERTZ etc. als Passwort vergeben, so dass ein hohes Risiko besteht, dass die ID (d.h. die Identität) recht einfach gestohlen werden kann...

    Bin gespannt, wie Threema Safe sich in der Praxis bewähren wird! [emoji3]

    Andy
    [hr]
    ...Vielleicht noch eine Frage:
    Wird das Backup automatisch Backup getriggert? Sinnvoll wäre mMn ein automatisches Backup immer dann, wenn Gruppendefinitionen und/oder Verifikationsstatus geändert wurden.

    Oder muss man das Backup manuell triggern?


    Andy

    Einmal editiert, zuletzt von andyg (7. Dezember 2018 um 10:19)

  • Wird damit zukünftig das ID-Backup entfallen? Würde Sinn machen.

    Ansonsten:

    • Das Passwort sollte min. acht Zeichen lang sein
    • Welchen WebDAV-Server nutzt Threema? Werden sie evtl. gar einen bereitstellen für die eigene Nutzung?

    Einmal editiert, zuletzt von Crixus (7. Dezember 2018 um 10:29)


  • vielen Kandidaten [...] nach 3 Jahren[...] keine Ahnung mehr haben werden, was sie damals gleich wieder für ein Passwort gesetzt hatten

    Das können wir als Freunde, Bekannte, ... und auch Threema nicht ändern oder noch weiter verbessern.
    Ich bin etwas perplex darüber, warum denn aber mit Einführung von ThreemaSafe die Android-Backup-Funktion entfernt wurde. Auch wenn die Leute ihr Threema-Backup-Kennwort vergessen, das für ihre Anmeldung bei Google kennen sie bestimmt eher und dann die Möglichkeit, das Backup aus Google Drive wiederherzustellen war doch auch ein schöner Weg. Zwar hat bei mir das Android-Backup nur ca. alle 2-3 Wochen mal funktioniert, aber immerhin :)

    Und wenn jemand ein einfaches Kennwort (12345678 oder QWERTZUI - es müssen ja min. 8 Zeichen sein :P) verwendet, dann ist es eben so. Ob Threema hier eine Prüfung hinterlegt hat, weiß ich nicht, habe es nicht getestet, meine es aber mal irgendwo hier gelesen zu haben. Ein Diebstahl wäre dann möglich durch eigene Leute (die die ID kennen) oder durch Zufall erraten. Nicht schön, aber man kann ja auch einen eigenen Server für sich und/oder Freunde etc. verwenden. Den müsste der zufallsfreudige Dieb erst einmal erraten.
    Den Diebstahl der Identität kann man aber auch über Android-Backup mit Google Mailadresse + Kennwort (vllt ebenso 12345678?) begehen. Meines Erachtens nach ist das schon gut gemacht und ausreichend, wie der ThreemaSafe derzeit funktioniert.
    [hr]


    Wird damit zukünftig das ID-Backup entfallen? Würde Sinn machen.

    Ansonsten:

    • Das Passwort sollte min. acht Zeichen lang sein
    • Welchen WebDAV-Server nutzt Threema? Werden sie evtl. gar einen bereitstellen für die eigene Nutzung?

    Das ID-Backup ist nicht mehr vorgeschrieben und es wird nicht extra hingewiesen, wenn man ThreemaSafe aktiviert hat.
    Es ist dennoch möglich - nicht mehr über Meine Backups, aber über Meine ID.

    Und ich finde, es sollte weiterhin erlaubt sein, denn nicht jeder möchte/kann seine ID auf (s)einem Server speichern, sondern exportiert kurzerhand nur die ID. Oder verwendet ein Datenbackup.

    Passwort mindestens 8 Zeichen ist richtig. Wie zuvor geschrieben, vielleicht ist ja eine Prüfung enthalten, ob es Standardkennwörter sind, die verwendet wurden.

    Welcher Server der "Standardserver (Threema)" ist, habe ich noch nicht prüfen können, denke aber mal er ist direkt von Threema bereitgestellt (so wie für den Nachrichtenversand, die ID-Verwaltung, ...).

    Einmal editiert, zuletzt von jnL (7. Dezember 2018 um 10:35)

  • Hatte jetzt die Chance "Threema Safe" zu testen. Mir sind folgende Fehler aufgefallen:

    • Wenn man ein zu kurzes Passwort eingibt und dann in das "Passwortwiederholung"-Feld springt, überlagern sich die Texte "Passwort zu kurz" und "Passwortwiederholung". Siehe Screenshot -> http://oi65.tinypic.com/2py6r2c.jpg
    • Wenn man seinen Threema-Account mit Hilfe von Threema Safe wiederherstellt, wird nicht automatisch "Kontakte synchronisieren" durchgeführt. Weiß nicht, ob das so gewünscht ist, aber wenn das in den Einstellungen aktiviert ist nach der Wiederherstellung, sollte das initial einmal durchgeführt werden. Ansonsten sind etliche Kontakte rot in der Kontaktliste.
    • Ein sehr ärgerlicher Fehler: Wenn man im "Threema Safe wiederherstellen"-Menü die Option "Standardserver (Threema)" deaktiviert UND DANN wieder aktiviert, so steht "https://" im Feld für den eigenen Server (versteckt, da man ja "Standardserver (Threema)" wieder aktiviert hat). Jedenfalls funktioniert dann die Wiederherstellung nicht mehr, egal ob man ein richtiges oder falsches Passwort eintippt, kommt folgende Fehlermeldung: http://oi63.tinypic.com/15yg2sk.jpg
  • Jetzt war ich doch zu neugierig und habe mir schnell ein Android-Gerät zugelegt - allerdings in "virtueller" Form des NOX-Players :)


    Wenn man ein zu kurzes Passwort eingibt und dann in das "Passwortwiederholung"-Feld springt, überlagern sich die Texte "Passwort zu kurz" und "Passwortwiederholung". Siehe Screenshot -> http://oi65.tinypic.com/2py6r2c.jpg


    Ja, kann ich reproduzieren. Unschöner, wenngleich aber nicht tragischer, GUI-Fehler.


    Ein sehr ärgerlicher Fehler: Wenn man im "Threema Safe wiederherstellen"-Menü die Option "Standardserver (Threema)" deaktiviert UND DANN wieder aktiviert, so steht "https://" im Feld für den eigenen Server (versteckt, da man ja "Standardserver (Threema)" wieder aktiviert hat). Jedenfalls funktioniert dann die Wiederherstellung nicht mehr, egal ob man ein richtiges oder falsches Passwort eintippt, kommt folgende Fehlermeldung: http://oi63.tinypic.com/15yg2sk.jpg


    Auch das kann ich reproduzieren: nach Standardserver de- und dann wieder aktivieren ist zunächst kein Wiederherstellen mehr möglich.
    Work-Around bis Bugfix: Hardware-"zurück"-Button betätigen und erneut Wiederherstellen wählen.

    Andy


  • Das können wir als Freunde, Bekannte, ... und auch Threema nicht ändern oder noch weiter verbessern.

    Ja, das schaut wohl leider so aus... aber vergessene Safe-Passwörter werden in der Praxis wieder das Hauptproblem - und folglich die größe Frustquelle - darstellen, darauf würde ich jetzt schon wetten. Insbesondere selten benutzte Passwörter werden gerne vergessen, wenn sie nicht a) irgendwo notiert wurden (und noch auffindbar sind!), oder b) ein Standardpasswort sind...



    Und wenn jemand ein einfaches Kennwort (12345678 oder QWERTZUI - es müssen ja min. 8 Zeichen sein :P) verwendet, dann ist es eben so. Ob Threema hier eine Prüfung hinterlegt hat, weiß ich nicht, habe es nicht getestet, meine es aber mal irgendwo hier gelesen zu haben.

    Hier kommen wir zu einem weiteren Bug:

    Das Passwort "12345678" wird zwar als "zu kurz" bezeichnet, wird aber anstandslos akzeptiert, wenn man es korrekt im Wiederholfeld einträgt. Das scheint im Übigen alle rein numerischen Passwörter zu betreffen: so ist auch "82376523165081650813643753673" angeblich zu kurz, wird aber bei korrekter Wiederholung dennoch gefressen.
    Das Passwort "QWERTZUI" wird übigens auch akzeptiert.

    Fazit: schlechte Passwörter scheinen nicht ausgesiebt zu werden.

    Es scheint im Übrigen auch kein Limit der Wiederherstellungs-Versuche zu existieren: auch nach 10 absichtlichen Passwort-Fehleingaben konnte ich problemlos weiterprobieren. Um Brute-Force-Angriffe zu vermeiden fände ich es sehr sinnvoll, dass der Server ab der z.B. dritten Fehleingabe zu einer ID eine z.B. 3-minütige Zwangspause bis zum nächsten Wiederherstellungsversuch verlangt, die bei weiteren Fehleingaben immer länger wird. Das sollte ein simples Durchprobieren von Passwörtern durch einen Angreifer zumindest erschweren.

    Was ich auch sinnvoll fände: es könnte auch eine Mitteilung an die betreffende ID gesendet werden, wenn ein Wiederherstellungsversuch stattfand (sei er nun erfolgreich oder nicht verlaufen) - dann bemerkt das Opfer vielleicht immerhin, dass sich da jemand zu schaffen macht...

    Andy
    [hr]


    Kommt Threema Safe auch für iOS?

    Ja. Das schliesse ich aus dieser   Aussage, die sozusagen von höchster Stelle (Julia) kommt.

    Die Frage ist nur, mit wie viel Verspätung die iOS-Version folgt. Hoffentlich nicht wieder über ein Jahr später wie beim Webclient...

    Andy
    [hr]


    Bisher fehlt eine Doku zur Einrichtung eines eigene Speichers, da bei der Einrichtung von Threema Safe lediglich ne URL/IP angegeben werden kann (derzeit).

    Mit meiner Synology geht's nicht per WebDAV... die Fehlermeldung lässt aber stark vermuten, dass es an dem selbst unterschriebenen Zertifikat liegt...

    Andy
    [hr]


    Wird das Backup automatisch Backup getriggert? Sinnvoll wäre mMn ein automatisches Backup immer dann, wenn Gruppendefinitionen und/oder Verifikationsstatus geändert wurden.

    Oder muss man das Backup manuell triggern?

    Was ich bis jetzt hierzu herausgefunden habe:

    • das Erstellen/Löschen einer Gruppe triggert leider kein neues Safe-Backup (erkennbar an unveränderter Größe und am Zeitstempel des Safe-Backups).
    • Beenden der App leider auch nicht.


    [Nachtrag]
    Nach 10 Minuten habe ich nochmal nachgesehen: Update ist automatisch aktualisiert worden! Sieht mir nach einem Timer aus, der alle 15(?) Minuten den Updateprozess anstößt.

    Andy

    Einmal editiert, zuletzt von andyg (7. Dezember 2018 um 15:49)