Mike Kuketz testet Messenger.

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Na also, geht doch!!! Ich finde, das ist ein sehr guter Test mit einem fairen Fazit!!!

    Im Grunde was wir alle erhofft, bzw. erwartet hatten ;) Dennoch hatte ich mir mehr Zusatz- oder Background-Infos erhofft a la

    Zitat

    ...Fun fact: Im Gegensatz zur Nachrichtenverschlüsselung bietet die Verschlüsselung der Sprachanrufe auf Ende-zu-Ende-Ebene Perfect Forward Secrecy (PFS).

    Trotzdem fühle ich mich in meiner Wahl bestätigt, bin aber auch auf die anderen Kandidaten gespannt... ;)

  • finde ich auch!


    Allerdings finde ich trotzdem zwei Punkte erwähnenswert (habe ich Mike auch geschrieben):

    Punkt 5 Identifier: "Diese Threema-ID kann an andere Threema-Nutzer weitergegeben werden, um darüber miteinander in Kontakt zu treten. Standardmäßig werden also keine Adressbuchdaten ausgelesen bzw. an externe Server übermittelt. Optional kann die Threema-ID mit der eigenen Telefonnummer und E-Mail-Adresse verknüpft werden. Dies kann sinnvoll sein, wenn man das eigene Adressbuch mit den Threema-Servern abgleichen möchte. Stimmt die Telefonnummer oder E-Mail-Adresse eines Kontakts im Adressbuch mit der Threema-Datenbank überein, wird die Kontakt-ID automatisch in die Threema-Kontaktliste eingefügt."

    Das ist etwas missverständlich. Die Möglichkeit das eigene Adressbuch gehashed abzugleichen ist unabhängig davon, ob man selbst eine Telefonnummer oder E-Mail Adresse verknüpft hat. Ich selbst bin nicht verknüpft (Anonym) und kann aber mein Adressbuch regelmäßig gehashed vergleichen, um zu sehen, ob jemand neues aus meinem AB bei Threema ist.


    Opensource (ich selbst bin Befürworter von OS): Der Verweis auf den properitären Code und dem nötigen Vertrauen in Threema.ist etwas akademisch! Denn als User, der Quellcode nicht lesen kann muss ich in jedem Fall dem Urteil eines anderen vertrauen. Und auch das ist versionsabhängig, da mit jedem neuen Compilat neuer Code eingebaut worden sein kann! Wer überprüft, jede Version einer Opensource-Software?

  • Zitat

    Überprüfbar sind die Aussagen leider nicht, da weder Server- noch Clientpart quelloffen sind. Als Nutzer muss man diesen Aussagen letztendlich vertrauen.

    Ich bin gespannt wie weit er dieses Argument treiben wird. Denn im Moment beweist ja kein Anbieter, dass eine bestimmte Version auf dem Server läuft.

    Telegram hat reproducible builds für die Clients und das wars dann auch schon oder?

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • im Moment beweist ja kein Anbieter, dass eine bestimmte Version auf dem Server läuft

    Genau so ist es. Auch bei z.B. Signal kann ich, trotz offenen Client/Server Code, nicht wissen was wirklich auf deren Serverfarm betrieben wird. Das Thema Vertrauen ist unumgänglich!

    P.S.: Einen nach ISO 27001 zertifizierten Server mit dem Standort CH, schenke ich eher Vertrauen als Signals AWS Servern welche auch in US stehen können.

    Einmal editiert, zuletzt von Malt (4. Februar 2020 um 13:53) aus folgendem Grund: P.S. ergänzt.

  • Auf Coversations bin ich auch gespannt. Ich "teste" es gerade auf zwei Phones und mit zwei unterschiedlichen Servern, damit man auch von Föderation reden kann8o. Soweit läuft auch alles prima. Was mir etwas zu denken gibt:

    • Meines Wissens werden meine Kontakte (im Moment halt einer pro Server) im Klartext auf dem Server gespeichert. Da muss man einem Serverbetreiber schon ganz schön trauen, wenn bspw. der vollständige Name als Benutzername verwendet wird.
    • Damit Textnachrichten nach der Ankunft beim Empfänger nicht für 4 Wochen (verschlüsselt) auf dem Server gespeichert bleiben, muss man in den Einstellungen für den Server den Punkt 'MAM (Message Archive Management)' finden und erst mal deaktivieren, bzw. 'Niemals' auswählen.
    • Versendet man ein Foto oder irgendeine andere Datei, ist dem Server die MAM-Einstellung schnurz und er speichert die Datei 4 Wochen. Die Begründung des Serverbetreibers: "Alles, was kein Text ist, sondern Grafik oder eine andere Art von Datei, wird erst nach 4 Wochen gelöscht. Das hat technische Gründe, da der Server in dem Fall bei einer erfolgreichen Zustellung die Datei nicht sofort löschen kann (anders als bei Textnachrichten). Dateiupload und Nachrichtenprotokollierung werden durch verschiedene Komponenten realisiert, die bisher nur begrenzt miteinander kommunizieren. Damit User längere Zeit (und ggf auf zweitgeräten etc) auch nach längerer Zeit die Upload noch verfügbar haben, habe ich mich für die 4 Wochen entschieden. Dateien werden also immer 4 Wochen gespeichert. Das ist vom Benutzer nicht beeinflussbar." Ich gehe hierbei davon aus, dass die Datei ebenfalls verschlüsselt da liegt.

    Ich will das jetzt gar nicht zu negativ darstellen, aber da ich, wie erwähnt, mit zwei verschiedenen Servern teste, sind es auch schon zwei XMPPler, denen man vertrauen muss, dass sie ihre Sache sauber und anständig machen. Mit Dismail.de und Trashserver.net ist man da aber sicherlich auf der sicheren Seite.

    Walled Garden hin oder her: Mir gefällt die Idee, dass die Threema-Server lediglich als Relais dienen, um Nachrichten von A nach B zu bringen. Ist dies passiert, dann bleibt nix auf den Servern zurück. Mein Bauchgefühl als Nicht-ITler sagt mir, dass die in der Schweiz machen was sie sagen.

    Es läuft immer auf's Gleiche raus: Sich informieren und eine Entscheidung fällen!

  • "Allerdings wurde Threema Anfang 2019 vom Labor für IT-Sicherheit der FH Münster einem" Raum D118:) dort habe ich auch so einige Stunden und Tage verbracht :P...

    -------
    ʕ•ᴥ•ʔ

    Note II / Android 4.*

    Note 8 / Android 9

    ===============================================================================
    „Der Zweifel ist der Beginn der Wissenschaft. Wer nichts anzweifelt, prüft nichts. Wer nichts prüft,
    entdeckt nichts. Wer nichts entdeckt, ist blind und bleibt blind.“

  • Mike erwähnt in seiner Analyse, dass Föderation den Vorteil bringt, dass man Metadaten bei einem eigenen Server selber unter Kontrolle hat, sofern alle Chatpartner den selben Server nutzen. Das klingt so, als ob Föderation immer gleich gut oder besser ist als zentralisierte Architektur.

    Er vergisst aber zu erwähnen, dass Föderation auch schlechter sein kann als zentralisierte Architektur: Wenn man mit n Servern kommuniziert, muss man n-1 Admins bezüglich Metadaten vertrauen.

    • Zentralisiert = 1 mal vertrauen
    • Föderiert = 0 bis n mal vertrauen

    Föderiert gewinnt nur bei n <= 1.

    Beispiel E-Mail: Natürlich ist es cool, wenn ich meinen Mailanbieter selber wählen kann. Das bringt mir aber herzlich wenig, wenn meine Kollegen alle eine Gmail-Adresse haben, wo Google die ganzen Metadaten abgreift und ver-machine-learned.

  • Mike Kuketz würde bestimmt anders über XMPP schreiben, wenn er mal von seinem geliebten "Conversations" abrücken und andere Messenger testen würde. Vor allem, wenn er es mal unter iOS probieren würde. Denn da gibt es (mWn) nur 2 Messenger, die OMEMO unterstützen: ChatSecure und Monal. Und das noch nicht mal in Gruppen. Und wenn, dann nur sehr unzuverlässig und umständlich. ChatSecure bekam vor über 6 Monaten das letzte Update, und der Entwickler von Monal kümmert sich lieber um die UI, als um gravierendere Probleme.

    Klar ist dezentral eine feine Sache. Wenn sie massentauglich funktionieren würde. Von daher haben die "walled Garden"-Messenger ganz klar die Nase vorne.

    Ich fahre mit der Kraft der 8 Kerzen...

  • Ich denke da eher z.B. an Publikumsmedien, wie SPIEGEL, FAZ, SZ, Stern, Bunte, Tageszeitungen, ÖRR....etc.

    Im aktuellen STERN ist nun auch ein kleiner Messenger-Test der WhatsApp-Alternativen: Getestet werden Telegram, Signal, Threema, Wire und iMessage.

    Auch an diesem Test ist Mike Kuketz beteiligt.

    Testsieger ist Signal. Als Nachteile von Threema (insbesondere gegenüber Signal) werden geltend gemacht:

    1. Weniger Nutzer (Widerspruch im Test selbst: erst werden 6 Mio. genannt, an späterer Stelle dann nur 5 Mio.)
    2. Kosten von 3,99 Euro
    3. Quellcode nicht offen
    4. Kaum Vorteile von Threema gegenüber dem kostenlosen Signal
  • Im aktuellen STERN ist nun auch ein kleiner Messenger-Test der WhatsApp-Alternativen: Getestet werden Telegram, Signal, Threema, Wire und iMessage

    Meinst Du diese hier auf STERN PLUS (hinter einer Paywall)?

    Schön finde ich, dass im ersten der obigen Artikel ganz offen und klar geschrieben wird, dass Telegram keine Alternative ist (keine Verschlüsselung in Gruppen, und in Einzelchats per default deaktiviert)!

    3 Mal editiert, zuletzt von andyg (9. Februar 2020 um 18:40) aus folgendem Grund: Fehler in URL korrigiert

  • Es ist der zweite Artikel, den ich allerdings nicht online, sondern tatsächlich in der gedruckten Ausgabe gelesen habe. 8|

    In dem Heft-Artikel steht auch klar drin: "(...) findet in Telegram keine Alternative."

  • Testsieger ist Signal. Als Nachteile von Threema (insbesondere gegenüber Signal) werden geltend gemacht:

    Die Argumente pro Signal sind klar nachvollziehbar und auch gerechtfertigt, jedoch für mich nicht entscheidend.

    Ich hatte auch lange zwischen Threema und Signal hin und her überlegt. Mich aber dann für Threema entschieden, weil...

    4. Kaum Vorteile von Threema gegenüber dem kostenlosen Signal

    ...die scheinbar kleinen Vorteile für mich letztlich entscheidend waren:

    1. Die Möglichkeit mich ohne Telefonnummer oder e-Mail anzumelden, bzw. die Threema-ID nicht an meine Telefonnummer zu koppeln.
    2. Server- und Gerichtstandort ist die Schweiz bzw. assoziiert mit der EU

    Der einzige wirkliche Nachteil ist für mich die fehlende Videotelefonie, was hoffentlich bald der Vergangenheit angehört. ;)

    Trotzdem spricht ja für viele nichts dagegen einfach beide zu nutzen...