Beiträge von dbrgn

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support

    Daran arbeitet Signal seit Monaten, wenn nicht seit Jahren, leider bisher ohne greifbares Ergebnis. Und es ist ein Unterschied, ob ich zum Abgleich Hashwerte von Rufnummerns übertragen KANN oder meine Telefonnummer für ALLE in einer Gruppe, auf deren Mitgliedschaft ich keinen Einfluss habe, klar sichtbar IST.

    Meine Prognose ist, dass für die Signal-Registrierung weiterhin eine Telefonnummer nötig sein wird, dass man jedoch wie bei Telegram Leute kontaktieren kann, ohne dass diese die eigene Telefonnummer sehen. Damit wäre dann nur ein Teil der Nutzerbedürfnisse abgedeckt.


    We'll see!

    Im übrigen kann man in Whatsapp den Kontakt sehr wohl verifizieren, einfach auf den Kontakt gehen ==> Kontaktinfo => Verschlüsselung .. ist halt nur etwas doof umgesetzt, ist bei Threema besser da direkt am Kontakt die verifizierung steht und nicht erst in einem Untermenü.

    Man kann diese Verifizierung aber nirgendwo speichern. Das heisst, du müsstest dir für jeden Kontakt merken, ob du ihn bereits verifiziert hast oder nicht. Zudem musst du die (unabhängige) Konfigurations-Option aktivieren, damit du bei einer Schlüssel-Änderung bernachrichtigt wirst. Sonst bringt die ganze Verifizierung nichts. Und zuletzt musst du diese Verifizierung jedes mal wiederholen, wenn du eine Schlüssel-Änderungs-Warnung erhälst.


    Praxistauglich ist das in keinster Art und Weise.


    Edit: Bei Telegram ist das übrigens genau gleich. (Obwohl es da sein könnte, dass sich bei Secret Chats der Schlüssel nicht mehr ändern kann, so wie dies bei Threema der Fall ist. Habe ich nicht überprüft.)

    Ich fänd es generell nicht schlecht wenn auch Threema eine kostenlose Version bereitstellen könnte und über Firmenkunden dann versucht Gewinne zu erzielen, nicht umsonst werben sie ja mit vielen Firmenkunden.

    Neben dem, was lgrahl geschrieben hat, gibt's noch einen weiteren Aspekt: Jetzt machen die Privatnutzer einen nicht unerheblichen Teil der Threema-Kunden aus. Wenn die Privat-App nur noch über die Firmenkunden finanziert wird, dann sind 100% der zahlenden Kunden die Firmen. Dass in einem solchen Fall wirtschaftlich gesehen die Wünsche der FIrmenkunden wichtiger sind als die Wünsche der Privatnutzer, liegt auf der Hand. (Siehe Wire, die Privatnutzer sind da inzwischen relativ egal. Die fokussieren sich jetzt eigentlich nur noch auf Firmen.)


    PS: Gestern schon wieder +9 Kontakte. Ich glaube das waren in der letzten Woche sicher so zwischen 20 und 30, die neu dazu gekommen sind. Viele davon Technikmuffel. Zumindest in der Schweiz tut sich was!

    Weiss jemand, wie das protokollmässig umgesetzt ist? Wie werden Konflikte zwischen Admins aufgelöst (wenn zB gleichzeitig Admin A den Admin B aus der Gruppe entfernt, und umgekehrt)?


    Vermutlich läuft das wieder über den Server als zentrale (verschlüsselte) Autorität...

    ich mag kein Doodle!


    daher hätte ich wahnsinnig gerne eine Kalenderfunktion, bzw. einen Terminplaner

    Hä, wie jetzt? Du willst, dass Threema als Messenger deinen Kalender managed?


    Wie wär's mit einer... Kalender-App?

    dbrgn : Aber um ein Daten-Backup zu machen, muss er doch zuerst den PIN eingeben, oder?

    Ah, dass stimmt natürlich, ja ^^ Aber vielleicht bestand bereits vorher ein Backup?

    Durch ein Datenbackup, Deinstallation von Threema und Wiederherstellung des Backups könntest du wieder auf den Chat zugreifen.

    Gibt es auch einen Schutz, falls jemand die Nachricht auf dem Weg abfangen und dann verändern würde ?

    Ja, wie schuschu schon erwähnt hat:

    Dazu ist der MAC, der bei jeder Nachricht mitgeschickt wird, da. Eine sinnvolle bzw. entschlüsselbare Nachricht lässt sich nicht fälschen.

    Der Vorteil des NaCl Box-Modells ist, dass verschlüsselte Nachrichten durch den MAC (Message Authentication Code) immer auch authentisiert sind (sogenannte "authenticated encryption"). Dadurch können Manipulationen erkannt werden, bzw die Nachricht kann dann gar nicht entschlüsselt werden.

    Deine Nachricht wird von der Empfänger-App ignoriert werden, weil sie nicht entschlüsselt werden kann. Der Server kann die korrekte Verschlüsselung ja nicht verifizieren, weil er nicht über den Private Key des Empfängers verfügt.


    Bezüglich Warnung meinst du wohl die Warnung, die erscheint, wenn man auf eine Mixed Script URL tippt (ein potentieller Homographischer Angriff): https://www.theguardian.com/technology/2017/apr/19/phishing-url-trick-hackers Das kannst du testen, indem du zB die URL https://аpple.com an einen Kontakt sendest (per App oder Gateway, das ist egal). Dann erscheint ein Dialog mit einer Phishing-Warnung.

    Ich befürchte die Entwickler werden das Geld mitnehmen und über kurz oder lang die Segel streichen. Afinum wird sich das eine Weile anschauen und wenn keine großen Gewinne eingespielt werden, war's das.

    Und Threema wird ein Messenger wie viele andere werden. Datenschutz ade!

    Kleine Amerkung zu den Investoren-Ängsten: Die Angst kommt vermutlich vor allem dann auf, wenn man an das Silicon-Valley-Startupmodell denkt, wo ein Startup ohne selbsttragendes Geschäftsmodell extrem schnell wächst, möglichst viele User sammelt und dabei viele Schulden anhäuft. Wenn dann ein Risikokapitalgeber einsteigt, will dieser die grosse Userbase zu Geld machen (denn das Potential, diese Nutzer zu Geld zu machen, gibt der Firma den Wert). Das Hereinholen von Geld passiert dann meistens über Änderungen am Produkt, in der Regel auf Kosten der User, entweder über Bezahlfunktionen, Verkauf von Daten, oder anderen Anpassungen. Es geht auch mir so: Wenn ein US-Startup mit einem Gratisprodukt, welches bisher kein Geld gemacht hat, von einem Investor übernommen wird, gehe ich meistens von lukrativen aber negativen bis katastrophalen Veränderungen aus.


    Threema hingegen hat seit 8 Jahren ein selbst-tragendes Geschäftsmodell (zuerst einmalige Zahlungen von Usern, dann wiederkehrende Zahlungen von Firmen für Threema Work, mit einer inzwischen ziemlich ansehnlichen Liste von grossen Referenzkunden). Ein Investor muss nicht zuerst das Geschäftsmodell ändern, damit die Firma Gewinn abwirft, denn sie tut dies bereits. Es geht hier um eine Beteiligung, nicht um Risikokapital. Da setzt man auf langfristig nachhaltiges Wachstum. Und darin war Threema bisher nicht allzu schlecht. Mehr Mittel ermöglichen aber auch, Projekte und neue Ideen schneller umzusetzen.

    Wie ist das eigentlich bei Signal? Wenn man den Open-Source-Code dessen Clients 'runterlädt und selbst kompiliert (auch mit eigenen Änderungen), kann dieser sich dann mit den Signal-Servern verbinden? Wenn nein, wieso nicht und woran wird der "Nachbau" erkannt?

    Wenn die Builds reproducible sind, dann dürfte für die Signal-Server eine Serververbindung identisch aussehen, wenn sie von einer selber gebuildeten App kommt. Ohne explizite Authentisierung der Verbindung kann das Signal nicht erkennen. Die App-Signatur ist dafür ja irrelevant.


    Bei Threema wird das grundsätzlich auch so sein. Threema prüft aber seit einiger Zeit beim Erstellen einer ID (wie von Claus korrekt bemerkt) die Play Store Kaufquittung (oder die Threema-Lizenz, wenn Direktkauf). Das heisst, eine selber gebuildete (oder modifizierte) App kann zwar mit einer bestehenden ID aus einem Backup problemlos verwendet werden, allerdings kann man keine neue ID erstellen. (So ist zumindest der aktuelle Stand der Dinge.)


    (Damit keiner auf blöde Ideen wie "Vor-Generieren von IDs" kommt: Die ID-Erstellung ist natürlich rate-limited.)

    Die Bilder werden standardmässig nur in der verschlüsselten Datenbank, nicht aber im unverschlüsselten Dateisystem abgelegt.


    Wie schlingo bereits erwähnt hat, kann man die Bilder einzeln (oder via Mediengallerie alle aufsmal) auf das Dateisystem speichern. Alternativ kann man in den Einstellungen unter "Medien" die "Auto-save to gallery"-Option aktivieren.