Die Umstellung auf eine UUID ist gut, aber ein geschlossenes System bleibt auch Signal weiterhin.
Und nur weil es UUIDs gibt, heisst das noch nicht, dass man Signal ohne Telefonnummer nutzen kann. Ich vermute eher, dass es zunächst ein Telefonnummer-Wechsel-System gibt, aber dass Nutzer immer noch per Telefonnummer adressiert werden. Ich bin gespannt auf die Umsetzung.
WhatsApp sperrt Mitglieder von Gruppen mit "illegal klingendem Namen" permanent und ohne Vorwarnung: https://www.focus.de/digital/h…dahinter_id_11340170.html
Wire hat die Arbeit an einem föderierten Protokoll begonnen, um vor Ort Installationen zu verbinden und Nachrichtenübermittlung und Zusammenarbeit allgegenwärtig zu machen.
Wenn sie noch Privatkunden wollten entspräche das föderierte Wire wohl dem Traum von vielen. Die Oma kann es nutzen und man könnte es selber hosten.
Hmm, und dass Wire ihre Firma an eine US-Holding verkauft/übertragen hat, überlest ihr in dem Beitrag einfach? 
https://twitter.com/Snowden/status/1194396764293550080
Im Blogpost klingt das so, wie wenn sie einfach den Firmensitz verlegt hätten. Dabei kommen wohl noch viele (8.2 Millionen USD) zusätzliche VC-Investments dazu, zB von Morpheus: https://twitter.com/aral/status/1194010327870066688
Inzwischen gibt's auch einen Techcrunch-Artikel: https://twitter.com/Snowden/status/1194805615023050752
Zitat“Wire was always for profit and planned to follow the typical venture backed route of raising rounds to accelerate growth,” one source familiar with the company told us. “However, it took time to find its niche (B2B, enterprise secure comms).
“It needed money to keep the operations going and growing. [But] the new CEO, who joined late 2017, didn’t really care about the free users, and the way I read it now, the transformation is complete: ‘If Wire works for you, fine, but we don’t really care about what you think about our ownership or funding structure as our corporate clients care about security, not about privacy.'”
Unter iOS ist (meines Wissens) solch eine Konfiguration nicht möglich.
Doch, das funktioniert auch unter iOS: https://www.howtogeek.com/2936…ver-on-an-iphone-or-ipad/ Nennt sich da "Auto".
Die Methode mit einem PAC-File ist mir nicht bekannt, scheint mir aber auch relativ unsicher zu sein auf den ersten Blick
Den Standard gibt's schon seit 1996. Apple wird da schon entsprechende Massnahmen treffen, um zu verhindern dass mit dem PAC-File beliebiger Code ausgeführt werden kann.
Genau das meine ich nicht. Android/iOS kommunizieren ständig mit irgendwelchen Diensten, wenn man dafür überall z. B. Tor verwendet ist der Zweck dahin.
Vermutlich könntest du mit einem PAC-File, welches du im System für die Proxy-Konfiguration hinterlegst, den Traffic auf *.threema.ch durch den Tor-Proxy leiten. Tor kannst du ja zB mit Orbot lokal einrichten und kriegst dann irgend eine lokale Proxy-URL.
Habe ich selber so aber noch nie ausprobiert.
SOCKS5 sollte bereits jetzt funktionieren, sofern der Proxy systemweit aktiviert ist.
Gibt es ein Limit was die Anzahl der IDs pro Verteilerliste angeht, bei den Verteilerlisten? dbrgn
Ist mir ehrlich gesagt nicht bekannt. Soweit ich mich erinnern kann, gibt es keine Einschränkungen.
Ich gehe davon aus, dass dies in Verteilerlisten ähnlich gehandhabt wird, kann das aber leider nicht aus eigener Erfahrung bestätigen.
Verteilerlisten sind nichts anderes als ein UI-Feature um vereinfacht eine Nachricht an mehrere Leute zu senden. Das Verhalten ist identisch wenn du die Nachricht manuell an alle Empfänger sendest.
Wenn du eine Datei an eine Verteilerliste mit 20 Leuten schickst, wird diese also 20 mal uploaded und dann einzeln an jeden Empfänger gesendet.
Mit WLAN oder den heute üblichen Flatrates ist das aber überhaupt kein Thema.
Das ist eine verschlüsselte Datei, oder? Dafür braucht man ein Tool, welches die AES256-Verschlüsselung für ZIP-Dateien kann (zB 7Zip oder WinZip).
Es kann sein, dass 7Zipper für Android nicht alle Funktionen von 7Zip auf dem Desktop unterstützt.
Habe in Blokada https://web.threema.ch/ auf die Liste der "Erlaubten Hosts" gesetzt (unter Werbeblocker).
Weiterhin ist die Threema-App bei den Apps hinzugefügt, die "an der Überwachung durch Blokada vorbeigeleitet werden".
Im Browser sind alle Ad-Blocker deaktiviert.
Trotzdem kann ich keine Verbindung zu Threema web aufbauen. Bei 60% bricht es ab.
Kann mir jemand helfen oder betrifft das auch andere?
Statt Hosts zu whitelisten kannst du auch Apps whitelisten.
Verstehe auch nicht, wieso Signal nicht einfach mit der Initialisierung des Anrufs wartet, bis er akzeptiert wurde... Klar dauert das ein paar 100ms länger als wenn man gleich von Anfang an mit der Netzwerkkonfiguration beginnt, aber bei Signal sollten die Tradeoffs ja eigentlich klar zu Gunsten der Security entschieden werden... 🤷♂️
Ein Smartphone ist die wohl größte Datenschleuder, die es nur gibt.
Unabhängig von der Diskussion zu Threema auf dem Desktop: Ein Smartphone bietet aber auch viel mehr Sandboxing / Isolation gegenüber einem PC. Ein PC (sei es nun Windows, Linux oder macOS) bietet keinerlei Programm-Isolation, jede Software kann grundsätzlich mal alle Daten von anderen Programmen lesen, sofern keine speziellen Vorkehrungen getroffen werden. Ein kompromittiertes Programm = ein kompromittierter PC.
Bei Smartphones hingegen hast du App-Isolation. Eine App sieht grundsätzlich mal nichts von anderen Apps und kann nicht mit diesen Kommunizieren (vorausgesetzt man hat die Security-Updates installiert und das Gerät ist nicht gerootet). Das ist sicherheitstechnisch durchaus ein grosser Fortschritt! Ich würde behaupten, bei den meisten von euch ist der Threema Private Key auf dem Smartphone sicherer aufgehoben als auf dem PC.
Wenn du natürlich eine App installiert, die deine Daten sammelt und auf irgendwelche Server hochlädt, dann ist die App schuld (und du, weil du sie installierst und ihr die Berechtigungen dazu gibst). Diese App kann aber beispielsweise nicht auf deine Threema-Chats zugreifen.
Fazit: Es ist nicht so, dass Smartphones grundlegend unsicher und PCs grundlegend sicherer sind. (Abgesehen von der Update-Policy der meisten Smartphone-Anbieter.)
Was für ein Smartphone hat sie? Von dem Problem habe ich bei Xiaomi-Geräten schonmal gehört...
In der aktuellen Version müsste eine entsprechende Fehlermeldung angezeigt werden, statt nur das Hintergrundbild. Klappt das?
Kurt: Da du ein Freund von Legacy-Software bist, kannst du auch https://web.threema.ch/archive/2.1.7/ weiterhin verwenden. Aber - ich wiederhole mich - Firefox 52 enthält eine ganze Reihe bekannter Sicherheitslücken. Threema selbst ist auch nur so sicher wie das Host-System oder - in deinem Fall - der Browser.
Kurt: Ich werde das mal genauer anschauen. Unabhängig davon: Firefox 52 ist seit einem Jahr nicht mehr von Mozilla unterstützt und kriegt auch keine Sicherheitsupdates mehr:
Threema Web unterstützt Firefox ab Version 60. Ich empfehle stark, auf die aktuelle Firefox-Version (von mir aus die ESR) zu wechseln.
Welche Browserversion nutzt du?
Die URL ist bei HTTPS selbstverständlich mitverschlüsselt.
Verschlüsselung hin oder her, die Bundesregierung wurde gehackt, in Krankenhäusern und Kommunalverwaltungen sind Hacker in Systeme eingedrungen, es gibt keine 100 %-ige Sicherheit. Das ist eine Illusion. Es gibt nur ein "möglichst sicher".
Es gibt durchaus grundlegende Unterschiede bei der Art, wie Telegram und Threema die Nutzeridentitäten und -daten verwalten.
Bei Telegram hat man einen User-Account auf dem Server. Dieser ist an die Telefonnummer gebunden. Bei Threema hingegen gibt es nur einen privaten Schlüssel auf deinem Gerät, der Server kontrolliert deine Identität nicht.
Dadurch sind solche Tricks bei Telegram möglich und werden - wie heute bekannt wurde - auch rege genutzt: How hackers are getting access to 1000s of Telegram accounts. Sofern der Nutzer keine 2-Faktor-Authentisierung benutzt, muss man nur ein paar Sekunden lang Zugriff auf die Telefonnummer kriegen (entweder via Tricks wie in Brasilien, über Social Engineering, oder alternativ mit etwas Geld über SS9-Hacks) und schon hat man Zugriff auf alle historischen Unterhaltungen!
Bei Threema ist sowas aus technischen Gründen fundamental nicht möglich. Zu sagen, dass es keine absolute Sicherheit gibt, und mit dieser Begründung alle Messenger in den selben Topf zu werfen, geht nicht ganz auf. Es sind nicht alle Messenger gleich möglichst sicher.
Ich verstehe nicht ganz wo das Problem liegt? Wenn Threema nichts anzeigt, dann steht die Verbindung. Die grüne Linie ist daher völlig redundant. Bei Verbindungsproblemen ist die Linie Rot, d.h. man sieht sofort dass ein Problem besteht. Die Änderung ist rein kosmetisch.
Zitat
Es kommt tagtäglich vor, dass Android zwar sagt: "Internetverbindung steht", aber in der Realität ist das leider nicht so. Dank Threema konnte ich in der Vergangenheit so immer feststellen, ob die Verbindung auch wirklich seht.
Das ist nach wie vor möglich. Wenn da keine rote Linie ist, funktioniert die Verbindung. Es gibt *keinen* Funktionsverlust in irgend einer Art und Weise.
Rot/orange/grün ist der "Standard" und das sollte auch so beibehalten werden!
Welche anderen Apps zeigen denn den Verbindungsstatus so an?