Threema Safe mit Nextcloud nutzen

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <

  • Nach einer Autorisierung über Benutzer + PW kann die Synchronisation über Http stattfinden.
    ...
    Es gibt keinen Sicherheitsaspekt den Threema hier ausführen kann der der diesen Vorgang hier bekräftigt.
    ...
    Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.

    Sehr schön, Threema Halbherzigkeit und Inkompetenz vorwerfen ohne selber sich mit der Funktionsweise von Threema Safe auseinanderzusetzen?

    Threema versucht im Hintergrund regelmässig (mind. 1 mal am Tag) das Backup auf den Server zu laden. Hier mal zwei Beispiele, die einfach möglich werden wenn du kein HTTPS verwendest:

    1. Du nutzt einen lokalen Server unter http://192.168.1.100/ mit Basic Authentication (die von dir erwähnte Absicherung über Benutzer + PW). Benutzer und Passwort werden via HTTP Header übertragen. Wenn du nun im Café-WLAN eingeloggt bist, wird dein Benutzername und dein Passwort im Plaintext durchs Netz gesendet und kann vom Betreiber (und in einem offenen WLAN von allen anderen Gästen) mitgelesen werden.
    2. Du konfigurierst http://192.168.1.100/ als Backup-Server. Du bist im Café-WLAN eingeloggt. Der Betreiber kann nun - wenn er möchte - den Request auf /config erkennen und weiss nun - da keine Verschlüsselung verwendet wird - dass dies ein Threema Backup-Request ist. Wenn er nun einen WebDAV-Server auf dieser IP startet, schickt ihm deine App bereitwillig das Backup.

    Natürlich kann man sagen, dass das egal ist, da verschlüsselt. Aber mit dem Argument könnte man auch gleich direkt bei Threema hosten. Es geht nicht nur im Autorisierung, sondern auch um Authentisierung.


  • Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.

    Bei Android ist ab API 28 TLS obligatorisch. Unverschlüsselte HTTP-Verbindungen sind nicht mehr zugelassen, ausser der Entwickler hat den Server, zu dem er eine HTTP-Verbindung aufbauen möchte, in network_security_config.xml angegeben. Damit ist es also gar nicht möglich, zu Adressen, die erst zur Laufzeit bekannt sind eine unverschlüsselte Verbindung aufzubauen.


    Manchmal muss man die User vor ihrer eigenen Dummheit schützen. Google macht das meiner Meinung nach bei Android richtig.

  • Aber öffnet Threema da nicht eine Sicherheitslücke wenn selbst signierte Zertifikat zugelassen werden? Hmm. Du kannst doch den Backupordner von Threema autom. mit einer App sychronisieren lassen, ist doch genau so gut und schnell.

    Unter iOS kansnt du das vergessen.
    Du kommst du an die App Struktur der Verzeichnisse nicht heran.
    Somit keine Synchronisation der App Verzeichnisse.
    Man konnte daher bei einem Wechsel von Android auf iOS nur mit dem ID Backup arbeiten.
    [hr]

    Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.

    Klar, wenn ich etwas übers Internet wo hinschieben will, ist das ein anderes Thema, da will ich natürlich HTTPS zwingend verwenden.

    Meiner Meinung nach ist die jetzige Umsetzung am Privatanwender vorbei entwickelt.

    Sehe ich leider nach wie vor genauso.
    [hr]

    Sehr schön, Threema Halbherzigkeit und Inkompetenz vorwerfen ohne selber sich mit der Funktionsweise von Threema Safe auseinanderzusetzen?

    Threema versucht im Hintergrund regelmässig (mind. 1 mal am Tag) das Backup auf den Server zu laden. Hier mal zwei Beispiele, die einfach möglich werden wenn du kein HTTPS verwendest:

    1. Du nutzt einen lokalen Server unter http://192.168.1.100/ mit Basic Authentication (die von dir erwähnte Absicherung über Benutzer + PW). Benutzer und Passwort werden via HTTP Header übertragen. Wenn du nun im Café-WLAN eingeloggt bist, wird dein Benutzername und dein Passwort im Plaintext durchs Netz gesendet und kann vom Betreiber (und in einem offenen WLAN von allen anderen Gästen) mitgelesen werden.
    2. Du konfigurierst http://192.168.1.100/ als Backup-Server. Du bist im Café-WLAN eingeloggt. Der Betreiber kann nun - wenn er möchte - den Request auf /config erkennen und weiss nun - da keine Verschlüsselung verwendet wird - dass dies ein Threema Backup-Request ist. Wenn er nun einen WebDAV-Server auf dieser IP startet, schickt ihm deine App bereitwillig das Backup.

    Natürlich kann man sagen, dass das egal ist, da verschlüsselt. Aber mit dem Argument könnte man auch gleich direkt bei Threema hosten. Es geht nicht nur im Autorisierung, sondern auch um Authentisierung.

    -- Threema versucht im Hintergrund regelmässig..... :

    Dies hätte man via Implementierung steuern können. Daher ein weiterer Grund für halbherzig.
    Hier hätte man eine Funktion " Manuell " als Alternative für Push einbauen können.

    zu Punkt 1:
    Der gleiche Einwand wie oben. Stünde die Funktion zur Verfügung würde keiner auf die Idee kommen, über einen öffentlichen AP seine Daten ins eigene private Netzwerk zu senden. Wie denn auch... es ist ja nicht verfügbar.

    zu Punkt 2:
    ..... manuelle Übertragung und schon wird nichts im Hintergrund übertragen oder angefragt.
    [hr]

    Bei Android ist ab API 28 TLS obligatorisch. Unverschlüsselte HTTP-Verbindungen sind nicht mehr zugelassen, ausser der Entwickler hat den Server, zu dem er eine HTTP-Verbindung aufbauen möchte, in network_security_config.xml angegeben. Damit ist es also gar nicht möglich, zu Adressen, die erst zur Laufzeit bekannt sind eine unverschlüsselte Verbindung aufzubauen.


    Manchmal muss man die User vor ihrer eigenen Dummheit schützen. Google macht das meiner Meinung nach bei Android richtig.

    War das jetzt auf Threema bezogen ?
    Ich kann auf meinem alten Note 4 ( ab und zu mal rausgeholt) mit Android 6.1 noch im LAN über http synchronisieren.
    Meine Aufgaben und Termine werden so über das NAS synchronisiert.
    .....im übrigen manuell wenn ich es starten möchte.
    Also läuft das bei mehreren Apps noch genauso.

    Ich bin ansonsten immer mit iOS unterwegs aber ab und an synchronisiere ich mein Note 4 noch ;) .

    Einmal editiert, zuletzt von N3misis (5. Februar 2019 um 22:59)

  • Ich drück' dir die Daumen, dass du nicht aus Versehen mal in irgendeinem fremden Netz auf "manuell synchronisieren" drückst. Ich hoffe du verstehst, dass das für Threema keine Option ist. Mal völlig davon abgesehen, was API Level 28 voraussetzt.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)


  • Seit gerade läuft auf meinem Mac ein WebDAV-Server. Nur im lokalen/heimischen Netz erreichbar, HTTPS (selbst-signiertes Zertifikat) und Benutzeranmeldung aktiviert.
    Sollte ich diesen nun nicht mit Threema Safe verwenden können, so ist Threema Safe für mich ohne Nutzen und diesbzgl. für mich eine Fehlentwicklung. Ein schlechter Witz, wenn tatsächlich nur ein Server verwendet werden kann, der online erreichbar ist.

    Das Problem geht schon beim selbst signierten Zertifikat los.
    Hab es eben auch noch einmal probiert.
    Zugriff über eine https Verbindung (selbst-signiertes Zertifikat)..... Threema bockt sofort herum das dieses Zertifikat ungültig sei und damit wird der Vorgang abgebrochen.
    Für mich wirklich ein Schuß in den Ofen.

    Man hätte hier ebenso nach de Warnmeldung optinal die Möglichkeit lassen sollen die Daten zu übertagen oder den Vorgang abzubrechen.
    Nicht aber das eine App mir das explizit vorschreibt.
    Gerade für iOS User die an das Backupverzeichnis nicht so heran kommen wie ein Android User, wäre der Safe eine wunderbare Gelegenheit Daten im eigenem Netzwerk zu synchronisieren.
    Ab nein, man muss ja den Anwender gängeln......vielen Dank Threema.
    Aber iOS User mussten ja bisher schon immer in die Röhre gucken. :boese:
    [hr]


    Ich drück' dir die Daumen, dass du nicht aus Versehen mal in irgendeinem fremden Netz auf "manuell synchronisieren" drückst. Ich hoffe du verstehst, dass das für Threema keine Option ist. Mal völlig davon abgesehen, was API Level 28 voraussetzt.

    Warum auch sollte man das machen?.... Wer sein privates Netzwerk kennt, wird niemals auf den Gedanken kommen!
    Wer sich damit nicht auseinder setzt, nutzt die Safe Version nicht oder nimmt wenn, gleich die Threema Cloud Variante.
    Von daher ist das subjektiv für mich keine Entschuldigung.
    Daher nach der Warnung eine Option " Daten trotzdem senden " oder " Abbrechen "
    Aber nicht den Weg den Threema hier einschlägt.
    [hr]
    Mal so ganz nebenbei....

    Müsste Threema GmbH sofern man den Threema Server verwendet, nicht mit jedem Nutzer einen Auftragsverarbeitungs-Vertrag laut DSGVO abschließen ?
    Hier werden doch personenbezogene Daten an Threema GmbH übergeben.
    Das die Übertragung verschlüsselt und die Daten anonymisiert werden, ist ja gut und schön, trotzem bleibt es beim dem Inhalt der Daten.
    Fällt mir gerade mal so ein.

    Einmal editiert, zuletzt von N3misis (5. Februar 2019 um 23:54)


  • Müsste Threema GmbH sofern man den Threema Server verwendet, nicht mit jedem Nutzer einen Auftragsverarbeitungs-Vertrag laut DSGVO abschließen ?
    Hier werden doch personenbezogene Daten an Threema GmbH übergeben.

    Nein. Es handelt sich um Datenmüll, bei dem kein Personenbezug hergestellt werden kann. Nicht mal die Threema-ID ist dem Server-Betreiber bekannt.
    Sonst müsstest du mit jedem Internet-Provider der Welt einen Auftragsverarbeitungs-Vertrag abschliessen...
    [hr]


    Ich kann auf meinem alten Note 4 ( ab und zu mal rausgeholt) mit Android 6.1 noch im LAN über http synchronisieren.

    Es war die Rede von API 28. Das ist Android 9 und nicht 6.1. Es geht übrigens darum, für welche API eine App getargeted wird.

    "If your app targets Android 9 or higher, the isCleartextTrafficPermitted() method returns false by default. If your app needs to enable cleartext for specific domains, you must explicitly set cleartextTrafficPermitted to true for those domains in your app's Network Security Configuration".

    Quelle: https://developer.android.com/about/versions…-9.0-changes-28

    Ganz abgesehen davon finde ich die Diskussion eh müssig. Wer es im Jahr 2019 nicht zustande bringt, seinen Server mit einem gültigen Zertifikat abzusichern, sollte sowieso lieber die Finger von solchen Dingen lassen und sich einem anderen, gefahrloseren Hobby zuwenden. Zum Beispiel Modelleisenbahnen.

    Einmal editiert, zuletzt von Claus (6. Februar 2019 um 08:50)


  • Zugriff über eine https Verbindung (selbst-signiertes Zertifikat)..... Threema bockt sofort herum das dieses Zertifikat ungültig sei und damit wird der Vorgang abgebrochen.

    Hast du es als Zertifikat in iOS hinzugefügt? Wenn ja, klappt es im Browser? Wenn ja, hast du dich beim Support gemeldet?

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Hi,

    mal unabhängig von der ganzen Diskussion über Threema's Implementierung habe ich noch eine wichtige Anmerkung zur Sicherheit deiner Anleitung. Nach deiner Beschreibung werden Nutzername und Passwort im Klartext in der URL angegeben. D.h. jeder, der diese URL mitlesen kann (dein Internetanbieter, ggf. alle im selben WLAN, alle Stellen, über die deine Anfrage geroutet wird, etc.) hat Zugriff auf den threemasafe Ordner.
    Daran ändert auch HTTPS nichts, da die Login-Daten in der URL und nicht in den verschlüsselten Nutzdaten übertragen werden.

    Ich würde an dieser Stelle nicht den Weg über einen geteilten Nextcloud-Link gehen, sondern Zugriff über die normale Nutzer-Authentifizierung. Dabei werden die Login-Daten per HTTPS geschützt.
    Wenn man dann noch einen eigenen Nutzer Nutzer anlegt, wie du es empfiehlst, der für nichts anderes da ist, als Threema Safe zu verwenden, hat auch Threema keinen Zugriff auf andere Daten.

    Auf diesem Blog ist das gut beschrieben: https://www.timoschindler.de/threema-safe-b…ebdav-funktion/


  • Nach deiner Beschreibung werden Nutzername und Passwort im Klartext in der URL angegeben. D.h. jeder, der diese URL mitlesen kann (dein Internetanbieter, ggf. alle im selben WLAN, alle Stellen, über die deine Anfrage geroutet wird, etc.) hat Zugriff auf den threemasafe Ordner.
    Daran ändert auch HTTPS nichts, da die Login-Daten in der URL und nicht in den verschlüsselten Nutzdaten übertragen werden.

    Das ist falsch. #GefährlichesHalbwissen


  • Hi,

    mal unabhängig von der ganzen Diskussion über Threema's Implementierung habe ich noch eine wichtige Anmerkung zur Sicherheit deiner Anleitung. Nach deiner Beschreibung werden Nutzername und Passwort im Klartext in der URL angegeben. D.h. jeder, der diese URL mitlesen kann (dein Internetanbieter, ggf. alle im selben WLAN, alle Stellen, über die deine Anfrage geroutet wird, etc.) hat Zugriff auf den threemasafe Ordner.
    Daran ändert auch HTTPS nichts, da die Login-Daten in der URL und nicht in den verschlüsselten Nutzdaten übertragen werden.

    ...


    Gut Formuliert, aber Unsinn. Sieht aus als wenn hier nur, gut verpackt, ein "externer Link" platziert werden sollte.
    YM2C

    Einmal editiert, zuletzt von Malt (2. August 2019 um 14:22)

  • Der ganz Vorteil von Threema gegenüber sämtlichen bekannten anderen Messengern ist doch der Umstand, dass es keine Cloudspeicherung gibt. Wenn Threema das ändert dann gibt es für mich keinen Grund mehr, mich mit manchen Umständlichkeiten herumzuplagen (kein MultiDevice, keine Desktopinstallation). Dann bin ich sofort weg.


  • Der ganz Vorteil von Threema gegenüber sämtlichen bekannten anderen Messengern ist doch der Umstand, dass es keine Cloudspeicherung gibt. Wenn Threema das ändert dann gibt es für mich keinen Grund mehr, mich mit manchen Umständlichkeiten herumzuplagen (kein MultiDevice, keine Desktopinstallation). Dann bin ich sofort weg.

    Hier im Thread finde ich keine einzige Stelle wo es darum ginge dass Threema eine Zwangs-Cloud errichten will. Die einzige optionale Cloud auf Seiten der Threema GmbH ist Threema Safe. Kann man nutzen, muss man aber nicht. Und selbst dann liegen in dieser selbstgewählten Cloudspeicherung keine Nachrichteninhalte.

    Dieser Thread dreht sich stattdessen um die Möglichkeit, dass interessierte Anwender Threema Safe mit Nextcloud (oder generell WebDAV-kompatiblen Diensten) in Eigenregie betreiben können. Genauer gesagt zuletzt um die nötigen Zertifikate und die Authentifizierung.

    Es ging zu keinem Zeitpunkt darum, dass Threema irgendwelche Clouddienste verpflichtend für seine User erstellen will. Das widerspäche auch sämtlichen Aussagen von Threema.
    Solltest du für deine Befürchtung eine seriöse Quelle nennen können, wäre ich aber wirklich besorgt und an der Quelle sehr interessiert. Aber bitte in einem eigenen Thread, denn hier geht es ja um etwas ganz anderes.

    Einmal editiert, zuletzt von stefan81 (7. August 2019 um 13:38)

  • Hallo.

    Ich weiß der Thread ist schon alt. Aber ich wollte keinen neuen aufmachen, weil er für mich noch aktuell ist. Ich habe ThreemaSafe auf meiner Nextcloud eingerichtet. (Nach o.a. Anleitung.) Wenn ich auf jetzt sichern gehe, wird sofort ein Backup erstellt. Aber zurückspielen klappt nicht. Jedesmal kommt die Meldung: Kein Backup auf dem Server gefunden. Überprüfen sie ID und Passwort.

    Seltsam, Backup wird erstellt aber nicht zurückgespielt. ID und Passwort sind korrekt (habe ich mehrfach überprüft.)

    MfG,

    Suwo

  • Hast du auch die richtige URL für den Server angegeben?

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Der Server müsste richtig sein, ich kann die Datei ja sehen. Und die hat eine Größe von mehr als 0 Byte.

    Retired: Vorteil? Einfach Spaß an der Freud. Ich probiere gerne mal aus. Ist auch nicht superwichtig. Ist einfach eine zweite Lizenz auf meinem Tablet, mit der ich Sachen teste (z.B. rauche threema libre).

    Gruß,

    Suwo