Beiträge von dbrgn

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support

    ich mag kein Doodle!


    daher hätte ich wahnsinnig gerne eine Kalenderfunktion, bzw. einen Terminplaner

    Hä, wie jetzt? Du willst, dass Threema als Messenger deinen Kalender managed?


    Wie wär's mit einer... Kalender-App?

    dbrgn : Aber um ein Daten-Backup zu machen, muss er doch zuerst den PIN eingeben, oder?

    Ah, dass stimmt natürlich, ja ^^ Aber vielleicht bestand bereits vorher ein Backup?

    Durch ein Datenbackup, Deinstallation von Threema und Wiederherstellung des Backups könntest du wieder auf den Chat zugreifen.

    Gibt es auch einen Schutz, falls jemand die Nachricht auf dem Weg abfangen und dann verändern würde ?

    Ja, wie schuschu schon erwähnt hat:

    Dazu ist der MAC, der bei jeder Nachricht mitgeschickt wird, da. Eine sinnvolle bzw. entschlüsselbare Nachricht lässt sich nicht fälschen.

    Der Vorteil des NaCl Box-Modells ist, dass verschlüsselte Nachrichten durch den MAC (Message Authentication Code) immer auch authentisiert sind (sogenannte "authenticated encryption"). Dadurch können Manipulationen erkannt werden, bzw die Nachricht kann dann gar nicht entschlüsselt werden.

    Deine Nachricht wird von der Empfänger-App ignoriert werden, weil sie nicht entschlüsselt werden kann. Der Server kann die korrekte Verschlüsselung ja nicht verifizieren, weil er nicht über den Private Key des Empfängers verfügt.


    Bezüglich Warnung meinst du wohl die Warnung, die erscheint, wenn man auf eine Mixed Script URL tippt (ein potentieller Homographischer Angriff): https://www.theguardian.com/technology/2017/apr/19/phishing-url-trick-hackers Das kannst du testen, indem du zB die URL https://аpple.com an einen Kontakt sendest (per App oder Gateway, das ist egal). Dann erscheint ein Dialog mit einer Phishing-Warnung.

    Ich befürchte die Entwickler werden das Geld mitnehmen und über kurz oder lang die Segel streichen. Afinum wird sich das eine Weile anschauen und wenn keine großen Gewinne eingespielt werden, war's das.

    Und Threema wird ein Messenger wie viele andere werden. Datenschutz ade!

    Kleine Amerkung zu den Investoren-Ängsten: Die Angst kommt vermutlich vor allem dann auf, wenn man an das Silicon-Valley-Startupmodell denkt, wo ein Startup ohne selbsttragendes Geschäftsmodell extrem schnell wächst, möglichst viele User sammelt und dabei viele Schulden anhäuft. Wenn dann ein Risikokapitalgeber einsteigt, will dieser die grosse Userbase zu Geld machen (denn das Potential, diese Nutzer zu Geld zu machen, gibt der Firma den Wert). Das Hereinholen von Geld passiert dann meistens über Änderungen am Produkt, in der Regel auf Kosten der User, entweder über Bezahlfunktionen, Verkauf von Daten, oder anderen Anpassungen. Es geht auch mir so: Wenn ein US-Startup mit einem Gratisprodukt, welches bisher kein Geld gemacht hat, von einem Investor übernommen wird, gehe ich meistens von lukrativen aber negativen bis katastrophalen Veränderungen aus.


    Threema hingegen hat seit 8 Jahren ein selbst-tragendes Geschäftsmodell (zuerst einmalige Zahlungen von Usern, dann wiederkehrende Zahlungen von Firmen für Threema Work, mit einer inzwischen ziemlich ansehnlichen Liste von grossen Referenzkunden). Ein Investor muss nicht zuerst das Geschäftsmodell ändern, damit die Firma Gewinn abwirft, denn sie tut dies bereits. Es geht hier um eine Beteiligung, nicht um Risikokapital. Da setzt man auf langfristig nachhaltiges Wachstum. Und darin war Threema bisher nicht allzu schlecht. Mehr Mittel ermöglichen aber auch, Projekte und neue Ideen schneller umzusetzen.

    Wie ist das eigentlich bei Signal? Wenn man den Open-Source-Code dessen Clients 'runterlädt und selbst kompiliert (auch mit eigenen Änderungen), kann dieser sich dann mit den Signal-Servern verbinden? Wenn nein, wieso nicht und woran wird der "Nachbau" erkannt?

    Wenn die Builds reproducible sind, dann dürfte für die Signal-Server eine Serververbindung identisch aussehen, wenn sie von einer selber gebuildeten App kommt. Ohne explizite Authentisierung der Verbindung kann das Signal nicht erkennen. Die App-Signatur ist dafür ja irrelevant.


    Bei Threema wird das grundsätzlich auch so sein. Threema prüft aber seit einiger Zeit beim Erstellen einer ID (wie von Claus korrekt bemerkt) die Play Store Kaufquittung (oder die Threema-Lizenz, wenn Direktkauf). Das heisst, eine selber gebuildete (oder modifizierte) App kann zwar mit einer bestehenden ID aus einem Backup problemlos verwendet werden, allerdings kann man keine neue ID erstellen. (So ist zumindest der aktuelle Stand der Dinge.)


    (Damit keiner auf blöde Ideen wie "Vor-Generieren von IDs" kommt: Die ID-Erstellung ist natürlich rate-limited.)

    Die Bilder werden standardmässig nur in der verschlüsselten Datenbank, nicht aber im unverschlüsselten Dateisystem abgelegt.


    Wie schlingo bereits erwähnt hat, kann man die Bilder einzeln (oder via Mediengallerie alle aufsmal) auf das Dateisystem speichern. Alternativ kann man in den Einstellungen unter "Medien" die "Auto-save to gallery"-Option aktivieren.

    Dual SIM bedeutet nur, dass man zwei Telefonnummern gleichzeitig nutzen kann, nicht dass man eine App mehrfach installieren kann. Pro Threema-App ist nur eine ID möglich.


    Ist die ehrenamtliche Arbeit für eine zertifizierte Nonprofit-Organisation? Dann könnte die Organisation Threema Work mit 30% Rabatt kriegen.

    Klingt prinzipiell schon nach einem Problem mit der Echo-Unterdrückung. Wenn "Software-Echo-Unterdrückung" in den Einstellungen nicht hilft, würde ich den Wert wieder auf "Hardware-Echo-Unterdrückung" zurückwechseln.


    Achtung: Wenn du das Echo hörst, müssen die Echo-Unterdrückungs-Einstellungen auf dem Gerät der GEGENSEITE gewechselt werden! Denn da entsteht das Echo.


    Nutzt du oder dein Gesprächspartner ein Custom ROM?


    Ich habe Threema Videocalls schon mit vielen Geräten getestet und dabei nie starke Rückkopplungen erlebt. Aber Claus hat das schon gut zusammengefasst. Lautstärke reduzieren könnte helfen, ideal ist aber immer die Benutzung von Kopfhörern. Das verbessert auch dann die Audio-Qualität erheblich, wenn man keine Rückkopplungen hat. (Das Herausrechnen des Echos beeinträchtigt immer auch die Sprachqualität.)

    Kann diese Werte und Vermutung jmd bestätigen?

    Korrekt: https://threema.ch/de/faq/calls_video_quality

    Zitat

    Die Bildqualität von Videoanrufen ist abhängig von der verfügbaren Bandbreite sowie von den Einstellungen Ihres Gesprächspartners. Bei schlechter Netzwerkverbindung wird die Bildqualität automatisch verringert.

    Die bevorzugte Bildqualität lässt sich in Threema unter «Einstellungen > Threema-Anrufe > Bevorzugte Bildqualität» anpassen. Folgende Optionen stehen zur Verfügung:

    • Ausgewogen (empfohlen): Hohe Bildqualität im WLAN, reduzierter Datenverbrauch im Mobilfunknetz
    • Niedriger Datenverbrauch: Reduzierte Bildqualität
    • Maximale Qualität: Achtung: Diese Einstellung kann hohen Datenverbrauch verursachen!

    Bevorzugen Sie und Ihr Gesprächspartner eine unterschiedliche Bildqualität, wird bei beiden die niedrigere Qualität verwendet. Wenn Sie also z.B. «Maximale Bildqualität» festlegen, kommt diese Einstellung nur zur Anwendung, wenn Ihr Gesprächspartner ebenfalls diese Option gewählt hat.

    Gehe ich Recht in der Annahme, dass dieses Problem Nutzer von Customer ROMs wie LineageOS nicht betrifft?

    Generell ja, die Energiesparmassnahmen sind ein Feature des ROMs, nicht der Hardware.


    Mit Custom ROMs hat man dafür teilweise andere Probleme, vor allem bei älteren Geräten die zB mit Android 5 ausgeliefert wurden, und auf denen jetzt inoffiziell Android 8-10 (mit Lineage oder anderen ROMs) läuft. Die Treiber (zB für die Kamera) sind meist "Binary Blobs" die für alte Android-Schnittstellen gemacht wurden und die einfach in das Lineage-ROM reinkopiert werden. Bei Inkompatibilitäten gibt's teilweise merkwürdige App-Crashes.

    Meines Wissens ist das temporäre kostenlose Anbieten einer Paid App im iOS App Store und Android Play Store schlichtweg nicht möglich.


    Rabatt-Aktionen hingegen sind möglich, und die gibt's regelmässig.

    Aufgrund dieser Verknüpfung kann man mir doch die TID zuordnen und wiedergeben, von mir aus mit einem neuen Fingerabdruck.

    Das geht deshalb nicht, weil eine Threema-ID unveränderlich mit einem Schlüsselpaar verknüpft ist. Wenn ein Gerät einmal den öffentlichen Schlüssel zu einer Threema-ID gespeichert hat, wird es diesen nicht mehr abfragen. Dies hat den Vorteil, dass dir Threema (im Gegensatz zu WhatsApp) nicht temporär einen "falschen" öffentlichen Schlüssel unterjubeln kann. Zudem kann die Kontakt-Verifikation (die drei grünen Punkte) einmalig getätigt werden und gilt dann für immer, ohne dass man sich bei jedem Gerätewechsel neu verifizieren muss.


    Die UX-Konsequenz darau ist, dass sich der User ein Passwort merken / aufschreiben können muss. Wenn das nicht gemacht wird, muss man halt eine neue ID erstellen und mit den Konsequenzen leben.

    Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.

    Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...

    Und genau hierfür wird auf Intel SGX gesetzt. Eine Technologie die in Vergangenheit immer wieder mal geknackt wurde, zuletzt eben vor wenigen Wochen: https://twitter.com/matthew_d_…tatus/1270406251063762944


    Zum Argument "die User müssen halt selber entgegen der 4-Ziffer-PIN-Empfehlung ein sicheres Passwort wählen": https://twitter.com/matthew_d_…tatus/1270414910531547141


    SGX ist das Einzige, was verhindert, dass das Signal-Online-Profil (inkl. den ganzen Kontakten aus dem Adressbuch) von jemandem mit Serverzugriff brute-forced wird. Was bei einem 4-Ziffer-PIN lächerlich schnell passieren kann.


    Im Signal-Forum gibt's dazu auch schon rege Diskussionen: https://community.signalusers.…g-stored-in-cloud/14057/1


    Hier die Diskussion zur SGX-Vulnerability: https://community.signalusers.…iscovery-vulnerable/14892


    Von einem Statement seitens Signal zur SGX-Sicherheitslücke wüsste ich derzeit nichts.