Nach einer Autorisierung über Benutzer + PW kann die Synchronisation über Http stattfinden.
...
Es gibt keinen Sicherheitsaspekt den Threema hier ausführen kann der der diesen Vorgang hier bekräftigt.
...
Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.
Sehr schön, Threema Halbherzigkeit und Inkompetenz vorwerfen ohne selber sich mit der Funktionsweise von Threema Safe auseinanderzusetzen?
Threema versucht im Hintergrund regelmässig (mind. 1 mal am Tag) das Backup auf den Server zu laden. Hier mal zwei Beispiele, die einfach möglich werden wenn du kein HTTPS verwendest:
1. Du nutzt einen lokalen Server unter http://192.168.1.100/ mit Basic Authentication (die von dir erwähnte Absicherung über Benutzer + PW). Benutzer und Passwort werden via HTTP Header übertragen. Wenn du nun im Café-WLAN eingeloggt bist, wird dein Benutzername und dein Passwort im Plaintext durchs Netz gesendet und kann vom Betreiber (und in einem offenen WLAN von allen anderen Gästen) mitgelesen werden.
2. Du konfigurierst http://192.168.1.100/ als Backup-Server. Du bist im Café-WLAN eingeloggt. Der Betreiber kann nun - wenn er möchte - den Request auf /config erkennen und weiss nun - da keine Verschlüsselung verwendet wird - dass dies ein Threema Backup-Request ist. Wenn er nun einen WebDAV-Server auf dieser IP startet, schickt ihm deine App bereitwillig das Backup.
Natürlich kann man sagen, dass das egal ist, da verschlüsselt. Aber mit dem Argument könnte man auch gleich direkt bei Threema hosten. Es geht nicht nur im Autorisierung, sondern auch um Authentisierung.