Threema Safe mit Nextcloud nutzen

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Ich habe (vermutlich) das gleiche Problem wie Husky. Ich möchte das Backup auf einem eigenen Server mit eigenem Zertifikat abspeichern. Außerdem betreibe ich dafür noch eine eigene CA, d.h., ich muss das Root-Zertifikat explizit auf dem Smartphone ablegen, da ansonsten das Zertifikat des Webservers nicht akzeptiert wird. Leider hat Google seit Android 7 da eine Änderung vorgenommen: selbst hinzugefügten CAs wird nicht mehr automatisch vertraut. Apps müssen das explizit erlauben. Bei meinem S7 mit Android 8 hat das zur Folge, dass zwar Google Chrome und der Samsung Browser das Zertifikat akzeptieren und auf das Webdav-Verzeichnis zugreifen können, Firefox Klar und Threema aber anscheinend nicht.

    Es besteht also immer noch die Möglichkeit, dass das in Threema selbst behoben werden muss.


  • Hallo,

    Bei mir lag es daran, dass ich eine Option in Nextcloud nicht angeschaltet hatte:

    Code
    Settings → Administration → Sharing → Allow users on this server to send shares to other servers


    Quelle

    Oh - wer lesen kann ist klar im Vorteil:

    Nach Umschalten der Locale von Deutsch nach Englisch fiel mir auf, daß ich die genannte Option doch nicht gesetzt hatte.
    Nachgeholt - jetzt geht's :freuen: :freuen: :freuen:

    Tausend Dank! :daumen: :daumen: :daumen:

  • Vielleicht auf deinem Handy und im Hochformat...Bei Android gibt's ungefähr 10'000 verschiedene Handymodelle - alle mit verschiedenen Dimensionen und Auflösungen ;)

    Genau deshalb kann man das ja einfach anpassen. Man muß es nur tun.

    Im Hochformat die Knöpfe untereinander, und alles in einen ScrollView einpacken - und schon ist das Problem weg.
    [hr]


    Auf meinem Gerät mit 1080 x 1920 Pixeln ist die Beschriftung der Buttons vollständig. Selbst schnelle Anpassungen der Schrift- und Anzeigegröße haben das nicht geändert. Ich habe allerdings Threema Safe nach den Änderungen nicht neu aufgerufen.

    Geräte mit weniger Pixeln haben halt weniger Platz. Was hast Du für ein Gerät?

    Ein S5 mini mit 1280 × 720 Pixel.

    Einmal editiert, zuletzt von uwes (20. Dezember 2018 um 19:03)

  • Hat einer von euch schon die Nachricht "illegal content length" bekommen?

    Den Link habe ich auf x-verschiedene Versionen generiert und die Verbindung scheint zu funktionieren - zumindest meldet es die fehlende config-Datei, wenn ich diese testweise umbenenne.

    Allerdings scheitert der Server-Test immer mit obiger Meldung.
    Mein Server läuft mit ownCloud8 und nextcloud12 und beide reagieren gleich.

  • @"Andy" Du nutzt also ein selbssigniertes Zertifikat bzw. eine eigene CA. Wie in der Threema-FAQ steht, benötigt Threema Safe:

    Zitat


    ein gültiges TLS-Zertifikat


    Somit wird deine Möglichkeit nicht funktionieren. Und Threema wird daran aus Sicherheitsgründen sicherlich nichts ändern. Ich würde dir empfehlen, ein für alle gültiges Zertifikat von Let's Encrypt zu holen. Das geht automatisch, schnell und kostenlos.

  • Zitat von "rugk" pid='42015' dateline='1545775059'


    Ich würde dir empfehlen, ein für alle gültiges Zertifikat von Let's Encrypt zu holen. Das geht automatisch, schnell und kostenlos.


    Ich habe ein ähnliches Problem wie mein Namensvetter; momentan arbeite ich auch mit einem eigenen Root-CA-Zertifikat und selbstsigniertem Zertifikat. Ich würde stattdessen gerne ein "vernünftiges" Let's-Encrypt-Zertifikat nutzen, bin aber daran gescheitert, dass meine Synology nur im Intranet unter 192.168.178.2 erreichbar ist (kein eigener Domain-Name). Ist es möglich (und wenn ja, wie) ein Let's-Encrypt-Zertifikat für eine OP in einem lokalen C-Netz zu erhalten?


    Andy

    Einmal editiert, zuletzt von andyg (25. Dezember 2018 um 23:20)

  • Nein, das funktioniert nicht. Let's Encrypt überprüft den im Zertifikatsantrag vermerkten Domainnamen automatisch, und da 192.168.x.x per Definition nicht von außen erreichbar ist ...

    Sprich - Du brauchst 'ne Domain und must die Synology von außen erreichbar machen. Oder es klappt halt nicht mit Threema-Backup im Heimnetz.

    EDIT:
    Ich hab keine Ahnung von Synology, weiß also nicht, wie LetEncrypt da einzubinden ist. Falls Du auf die Shell mußt - ich habe hervorragende Erfahrungen mit http://acme.sh/ gemacht - braucht nur 'ne Shell und Cron auf dem Server und funktioniert nach dem Einrichten völlig automatisch und problemlos, inkl. Einrichtung von Apache, NginX, Postfix, u.v.m..
    Und das Skript kann das Zertifikat sogar automatisch auf die Fritzbox kopieren, so daß die auch mit offiziellem Zertifikat erreichbar ist

    Einmal editiert, zuletzt von Husky (26. Dezember 2018 um 19:25)


  • Ich würde dir empfehlen, ein für alle gültiges Zertifikat von Let's Encrypt zu holen.


    Ja, ich betreibe meine eigene CA. Und der potentielle Backupserver ist selbstverständlich nicht vom Internet aus zu erreichen (Erreichbarkeit via VPN zählt da nicht). Damit fällt Let's Encrypt natürlich weg.
    Wie ich aber bereits schrieb, vermute ich immer noch, dass das wegen der in Android 7 vorgenommenen Änderung nur in Threema selbst behoben werden kann.

    Ganz so abwegig sollte meine Anforderung aber eigentlich nicht sein: innerhalb von Firmennetzwerken sind eigene CAs nicht ganz unüblich.

    Einmal editiert, zuletzt von Andy (29. Dezember 2018 um 18:45)


  • Ich habe (vermutlich) das gleiche Problem wie Husky. Ich möchte das Backup auf einem eigenen Server mit eigenem Zertifikat abspeichern. Außerdem betreibe ich dafür noch eine eigene CA, d.h., ich muss das Root-Zertifikat explizit auf dem Smartphone ablegen, da ansonsten das Zertifikat des Webservers nicht akzeptiert wird. Leider hat Google seit Android 7 da eine Änderung vorgenommen: selbst hinzugefügten CAs wird nicht mehr automatisch vertraut. Apps müssen das explizit erlauben. Bei meinem S7 mit Android 8 hat das zur Folge, dass zwar Google Chrome und der Samsung Browser das Zertifikat akzeptieren und auf das Webdav-Verzeichnis zugreifen können, Firefox Klar und Threema aber anscheinend nicht.

    Es besteht also immer noch die Möglichkeit, dass das in Threema selbst behoben werden muss.

    Es wäre eventuell möglich in den Experteneinstellungen ein trusted CA-File anzugeben.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Ich versuche ebenfalls das ganze in einer privaten Umgebung mit einer Synology einzurichten.

    Facts:

    - Synology mit WebDav eingerichtet (nur HTTPS)
    - selbstsigniertes Zertifikat
    - CA Zertifikat und Synology-Zertifikat in Android importiert
    - Huawei Smartphone mit Android 8.0

    Dies soll alles im internen Netz geschehen.
    NEIN ich will kein öffentliches Zertifikat und NEIN ich will die Synology nicht von aussen erreichbar machen.
    Für irgend etwas gibt es schliesslich VPN.

    Ich kann nicht verstehen, weshalb Threema einem importierten CA Zertifikat nicht vertrauen sollte?
    Und es muss doch ebenfalls möglich sein, dies alles innerhalb eines privaten Netzwerks zu lösen?

    Oder liege ich hier völlig daneben?

    Gruess

  • Das liegt daran, wie Android mit importierten Zertifikaten umgeht - und meines Wissens setzt Android das rigoros durch. Sprich - es geht halt nicht (vielleicht mit Root, aber das geht ja auch nicht bei jedem Handy ...)


  • NEIN ich will kein öffentliches Zertifikat und NEIN ich will die Synology nicht von aussen erreichbar machen.

    Au den FAQs:

    "Threema Safe lässt sich mit jedem WebDAV-Server (z.B. NextCloud) verwenden, der übers Internet erreichbar ist und über ein gültiges TLS-Zertifikat verfügt."

    Quelle: https://threema.ch/de/faq/threema_safe_webdav

    Einmal editiert, zuletzt von Claus (8. Januar 2019 um 08:27)


  • - selbstsigniertes Zertifikat
    - CA Zertifikat und Synology-Zertifikat in Android importiert

    Nutzt du den nun ein selbsigniertes Zertifikat, oder eine eine eigene CA?

    Ist das Zertifikat vertraut, wenn du über den Android-Systembrowser auf deine Synology-URL connectest?

    Einmal editiert, zuletzt von dbrgn (8. Januar 2019 um 11:24)

  • Hallo zusammen,

    ich sehe das ganz genauso.
    Wenn ich meine Threema DB auf meine private Synology sichern möchte, dann mache viele Benutzer sowie auch ich, lokal im eigenen Netzwerk.
    Wer bereits eine private Cloud verwendet und auf dieser Dienste laufen lässt die von außerhalb erreichbar sein müssen, der hat auch eine eigene Domäne registriert und dafür ein Zertifikat erhalten.
    Wer den externen Zugriff jedoch nicht benötigt, der muss auch kein Zertifikat von einer externen CA erstellen lassen.
    Jeder Dienst der mobile Synchronisation anbietet, lässt dies über einen externen Zugriff oder optional im eigenen Netzwerk zu.
    Genau dabei laufen Verbindungen über http völlig problemlos. Man erhält zwar eine visuelle Warnung aber da wir im privaten Netzwerk sind und nur die eigenen Clients darauf zugriefen könnten….
    Nach einer Autorisierung über Benutzer + PW kann die Synchronisation über Http stattfinden.

    Das Threema hier ausschließlich nur über Https und ein WebDAV der von außen erreichbar sein muss diese Synchronisation anbietet ist gelinde gesagt sehr halbherzig überlegt.
    Es gibt keinen Sicherheitsaspekt den Threema hier ausführen kann der der diesen Vorgang hier bekräftigt.
    Da ich Threema User der ersten Stunde bin, bin ich eigentlich mehr als enttäuscht über diese halbfertige Implementierung.
    Ganz ehrlich in die Runde….. durch simple private Cloud-Lösungen, hat mittlerweile recht viele Anwender eine dieser Lösungen im Haus um ihre Fotos, Videos usw. darauf zu sichern.
    Meist läuft oder kann optional einfach konfiguriert werden, ein WebDav Server darauf.
    Für die zuvor genannten Dinge funktioniert auch alles wunderbar.
    Aber wieviel dieser Anwender haben darauf einen Dienst der nach außen verfügbar sein muss oder eine eigene Domäne.
    Warum stellt man also so einen so unfertigen Kram in die sonst zufriedene Anwendung ???

    Ich war heute selber voller Vorfreude und bemerkte erste bei der Konfiguration am mobilen Endgerät was hier für ein Unfug umgesetzt wurde.

  • Seit gerade läuft auf meinem Mac ein WebDAV-Server. Nur im lokalen/heimischen Netz erreichbar, HTTPS (selbst-signiertes Zertifikat) und Benutzeranmeldung aktiviert.
    Sollte ich diesen nun nicht mit Threema Safe verwenden können, so ist Threema Safe für mich ohne Nutzen und diesbzgl. für mich eine Fehlentwicklung. Ein schlechter Witz, wenn tatsächlich nur ein Server verwendet werden kann, der online erreichbar ist.


  • Das Threema hier ausschließlich nur über Https und ein WebDAV der von außen erreichbar sein muss diese Synchronisation anbietet ist gelinde gesagt sehr halbherzig überlegt.
    Es gibt keinen Sicherheitsaspekt den Threema hier ausführen kann der der diesen Vorgang hier bekräftigt.

    Ich behaupte: Doch, den gibt es. DNS-Spoofing. Und wenn du eine IP verwendest garantiert dir niemand, dass dahinter auch immer dein Server sitzt. Daher: HTTPS wird Anforderung bleiben. Selbst signierte Zertifikate sollten ja funktionieren, wenn sie in Android/iOS importiert werden (geht das überhaupt in iOS?). Und wenn nicht, dann ist Threema sicherlich gesprächsbereit zu schauen, wo es hakt.

    Edit: Offenbar kann man in iOS Zertifikate installieren (nicht getestet).

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

    Einmal editiert, zuletzt von f09fa681 (5. Februar 2019 um 19:43)


  • Seit gerade läuft auf meinem Mac ein WebDAV-Server. Nur im lokalen/heimischen Netz erreichbar, HTTPS (selbst-signiertes Zertifikat) und Benutzeranmeldung aktiviert.
    Sollte ich diesen nun nicht mit Threema Safe verwenden können, so ist Threema Safe für mich ohne Nutzen und diesbzgl. für mich eine Fehlentwicklung. Ein schlechter Witz, wenn tatsächlich nur ein Server verwendet werden kann, der online erreichbar ist.

    Aber öffnet Threema da nicht eine Sicherheitslücke wenn selbst signierte Zertifikat zugelassen werden? Hmm. Du kannst doch den Backupordner von Threema autom. mit einer App sychronisieren lassen, ist doch genau so gut und schnell.

    -------
    ʕ•ᴥ•ʔ

    Note II / Android 4.*

    Note 8 / Android 9

    ===============================================================================
    „Der Zweifel ist der Beginn der Wissenschaft. Wer nichts anzweifelt, prüft nichts. Wer nichts prüft,
    entdeckt nichts. Wer nichts entdeckt, ist blind und bleibt blind.“


  • Aber öffnet Threema da nicht eine Sicherheitslücke wenn selbst signierte Zertifikat zugelassen werden?

    Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.

    Klar, wenn ich etwas übers Internet wo hinschieben will, ist das ein anderes Thema, da will ich natürlich HTTPS zwingend verwenden.

    Meiner Meinung nach ist die jetzige Umsetzung am Privatanwender vorbei entwickelt.

    Einmal editiert, zuletzt von mibere (5. Februar 2019 um 20:20)