Beiträge von dbrgn

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support

    Ich befürchte die Entwickler werden das Geld mitnehmen und über kurz oder lang die Segel streichen. Afinum wird sich das eine Weile anschauen und wenn keine großen Gewinne eingespielt werden, war's das.

    Und Threema wird ein Messenger wie viele andere werden. Datenschutz ade!

    Kleine Amerkung zu den Investoren-Ängsten: Die Angst kommt vermutlich vor allem dann auf, wenn man an das Silicon-Valley-Startupmodell denkt, wo ein Startup ohne selbsttragendes Geschäftsmodell extrem schnell wächst, möglichst viele User sammelt und dabei viele Schulden anhäuft. Wenn dann ein Risikokapitalgeber einsteigt, will dieser die grosse Userbase zu Geld machen (denn das Potential, diese Nutzer zu Geld zu machen, gibt der Firma den Wert). Das Hereinholen von Geld passiert dann meistens über Änderungen am Produkt, in der Regel auf Kosten der User, entweder über Bezahlfunktionen, Verkauf von Daten, oder anderen Anpassungen. Es geht auch mir so: Wenn ein US-Startup mit einem Gratisprodukt, welches bisher kein Geld gemacht hat, von einem Investor übernommen wird, gehe ich meistens von lukrativen aber negativen bis katastrophalen Veränderungen aus.


    Threema hingegen hat seit 8 Jahren ein selbst-tragendes Geschäftsmodell (zuerst einmalige Zahlungen von Usern, dann wiederkehrende Zahlungen von Firmen für Threema Work, mit einer inzwischen ziemlich ansehnlichen Liste von grossen Referenzkunden). Ein Investor muss nicht zuerst das Geschäftsmodell ändern, damit die Firma Gewinn abwirft, denn sie tut dies bereits. Es geht hier um eine Beteiligung, nicht um Risikokapital. Da setzt man auf langfristig nachhaltiges Wachstum. Und darin war Threema bisher nicht allzu schlecht. Mehr Mittel ermöglichen aber auch, Projekte und neue Ideen schneller umzusetzen.

    Wie ist das eigentlich bei Signal? Wenn man den Open-Source-Code dessen Clients 'runterlädt und selbst kompiliert (auch mit eigenen Änderungen), kann dieser sich dann mit den Signal-Servern verbinden? Wenn nein, wieso nicht und woran wird der "Nachbau" erkannt?

    Wenn die Builds reproducible sind, dann dürfte für die Signal-Server eine Serververbindung identisch aussehen, wenn sie von einer selber gebuildeten App kommt. Ohne explizite Authentisierung der Verbindung kann das Signal nicht erkennen. Die App-Signatur ist dafür ja irrelevant.


    Bei Threema wird das grundsätzlich auch so sein. Threema prüft aber seit einiger Zeit beim Erstellen einer ID (wie von Claus korrekt bemerkt) die Play Store Kaufquittung (oder die Threema-Lizenz, wenn Direktkauf). Das heisst, eine selber gebuildete (oder modifizierte) App kann zwar mit einer bestehenden ID aus einem Backup problemlos verwendet werden, allerdings kann man keine neue ID erstellen. (So ist zumindest der aktuelle Stand der Dinge.)


    (Damit keiner auf blöde Ideen wie "Vor-Generieren von IDs" kommt: Die ID-Erstellung ist natürlich rate-limited.)

    Die Bilder werden standardmässig nur in der verschlüsselten Datenbank, nicht aber im unverschlüsselten Dateisystem abgelegt.


    Wie schlingo bereits erwähnt hat, kann man die Bilder einzeln (oder via Mediengallerie alle aufsmal) auf das Dateisystem speichern. Alternativ kann man in den Einstellungen unter "Medien" die "Auto-save to gallery"-Option aktivieren.

    Dual SIM bedeutet nur, dass man zwei Telefonnummern gleichzeitig nutzen kann, nicht dass man eine App mehrfach installieren kann. Pro Threema-App ist nur eine ID möglich.


    Ist die ehrenamtliche Arbeit für eine zertifizierte Nonprofit-Organisation? Dann könnte die Organisation Threema Work mit 30% Rabatt kriegen.

    Klingt prinzipiell schon nach einem Problem mit der Echo-Unterdrückung. Wenn "Software-Echo-Unterdrückung" in den Einstellungen nicht hilft, würde ich den Wert wieder auf "Hardware-Echo-Unterdrückung" zurückwechseln.


    Achtung: Wenn du das Echo hörst, müssen die Echo-Unterdrückungs-Einstellungen auf dem Gerät der GEGENSEITE gewechselt werden! Denn da entsteht das Echo.


    Nutzt du oder dein Gesprächspartner ein Custom ROM?


    Ich habe Threema Videocalls schon mit vielen Geräten getestet und dabei nie starke Rückkopplungen erlebt. Aber Claus hat das schon gut zusammengefasst. Lautstärke reduzieren könnte helfen, ideal ist aber immer die Benutzung von Kopfhörern. Das verbessert auch dann die Audio-Qualität erheblich, wenn man keine Rückkopplungen hat. (Das Herausrechnen des Echos beeinträchtigt immer auch die Sprachqualität.)

    Kann diese Werte und Vermutung jmd bestätigen?

    Korrekt: https://threema.ch/de/faq/calls_video_quality

    Zitat

    Die Bildqualität von Videoanrufen ist abhängig von der verfügbaren Bandbreite sowie von den Einstellungen Ihres Gesprächspartners. Bei schlechter Netzwerkverbindung wird die Bildqualität automatisch verringert.

    Die bevorzugte Bildqualität lässt sich in Threema unter «Einstellungen > Threema-Anrufe > Bevorzugte Bildqualität» anpassen. Folgende Optionen stehen zur Verfügung:

    • Ausgewogen (empfohlen): Hohe Bildqualität im WLAN, reduzierter Datenverbrauch im Mobilfunknetz
    • Niedriger Datenverbrauch: Reduzierte Bildqualität
    • Maximale Qualität: Achtung: Diese Einstellung kann hohen Datenverbrauch verursachen!

    Bevorzugen Sie und Ihr Gesprächspartner eine unterschiedliche Bildqualität, wird bei beiden die niedrigere Qualität verwendet. Wenn Sie also z.B. «Maximale Bildqualität» festlegen, kommt diese Einstellung nur zur Anwendung, wenn Ihr Gesprächspartner ebenfalls diese Option gewählt hat.

    Gehe ich Recht in der Annahme, dass dieses Problem Nutzer von Customer ROMs wie LineageOS nicht betrifft?

    Generell ja, die Energiesparmassnahmen sind ein Feature des ROMs, nicht der Hardware.


    Mit Custom ROMs hat man dafür teilweise andere Probleme, vor allem bei älteren Geräten die zB mit Android 5 ausgeliefert wurden, und auf denen jetzt inoffiziell Android 8-10 (mit Lineage oder anderen ROMs) läuft. Die Treiber (zB für die Kamera) sind meist "Binary Blobs" die für alte Android-Schnittstellen gemacht wurden und die einfach in das Lineage-ROM reinkopiert werden. Bei Inkompatibilitäten gibt's teilweise merkwürdige App-Crashes.

    Meines Wissens ist das temporäre kostenlose Anbieten einer Paid App im iOS App Store und Android Play Store schlichtweg nicht möglich.


    Rabatt-Aktionen hingegen sind möglich, und die gibt's regelmässig.

    Aufgrund dieser Verknüpfung kann man mir doch die TID zuordnen und wiedergeben, von mir aus mit einem neuen Fingerabdruck.

    Das geht deshalb nicht, weil eine Threema-ID unveränderlich mit einem Schlüsselpaar verknüpft ist. Wenn ein Gerät einmal den öffentlichen Schlüssel zu einer Threema-ID gespeichert hat, wird es diesen nicht mehr abfragen. Dies hat den Vorteil, dass dir Threema (im Gegensatz zu WhatsApp) nicht temporär einen "falschen" öffentlichen Schlüssel unterjubeln kann. Zudem kann die Kontakt-Verifikation (die drei grünen Punkte) einmalig getätigt werden und gilt dann für immer, ohne dass man sich bei jedem Gerätewechsel neu verifizieren muss.


    Die UX-Konsequenz darau ist, dass sich der User ein Passwort merken / aufschreiben können muss. Wenn das nicht gemacht wird, muss man halt eine neue ID erstellen und mit den Konsequenzen leben.

    Meines Wissens nach erlauben die nur ein paar Versuche um auf die Daten in einer "Secure Enclave" auf deren Server zuzugreifen, danach wird der Zugriff für eine gewisse Zeit gesperrt (waren es 14 Tage?). Einfach alle Kombinationen schnell mal ausprobieren (bei einer 4-stelligen PIN sind es ja lächerlich wenige) geht also nicht.

    Ich selbst weiß aber trotzdem noch nicht, was ich von dem ganzen halten soll...

    Und genau hierfür wird auf Intel SGX gesetzt. Eine Technologie die in Vergangenheit immer wieder mal geknackt wurde, zuletzt eben vor wenigen Wochen: https://twitter.com/matthew_d_…tatus/1270406251063762944


    Zum Argument "die User müssen halt selber entgegen der 4-Ziffer-PIN-Empfehlung ein sicheres Passwort wählen": https://twitter.com/matthew_d_…tatus/1270414910531547141


    SGX ist das Einzige, was verhindert, dass das Signal-Online-Profil (inkl. den ganzen Kontakten aus dem Adressbuch) von jemandem mit Serverzugriff brute-forced wird. Was bei einem 4-Ziffer-PIN lächerlich schnell passieren kann.


    Im Signal-Forum gibt's dazu auch schon rege Diskussionen: https://community.signalusers.…g-stored-in-cloud/14057/1


    Hier die Diskussion zur SGX-Vulnerability: https://community.signalusers.…iscovery-vulnerable/14892


    Von einem Statement seitens Signal zur SGX-Sicherheitslücke wüsste ich derzeit nichts.

    Wie die Profilbilder bei Threema implementiert sind, steht unter Anderem im Cryptography Whitepaper:

    Zitat

    It is possible for a user to select a photo to be used as his/her “profile picture”. The user can choose within the app whether he/she wants to share the profile picture with all their contacts, with only those contacts selected from a list, or with nobody. If he/she chose to share the profile picture and sends a message to one of the designated recipients, the newly set profile picture is encrypted with a random symmetric key within the app, and then uploaded to the media server like a regular image message (see “Media Access Protocol” on page 8). A reference to the encrypted picture on the media server, along with the symmetric key, is subsequently sent as an end-to-end encrypted message in the background whenever the user sends a regular message to one of the designated contacts who has not received the current profile picture yet. As the media server deletes files after two weeks, the profile picture is uploaded again once a week (if necessary), using a new symmetric key each time.

    Für grösstmögliche Privatsphäre wird dein Profilbild also nicht wie bei Whatsapp irgendwo öffentlich auf einen Server geladen (wo es von jeder Person mit Kenntnis deiner Telefonnummer angeschaut werden kann), sondern es wird den Kontakten direkt als verschlüsselte "Steuernachricht" gesendet, wenn man mit diesen kommuniziert.


    Die App des Absenders entscheidet also, ob ein Profilbild mit der Nachricht mitgesendet wird. Damit das Profilbild jedoch nicht mit jeder Nachricht mitgesendet werden muss, wird dieses nur bei Änderungen oder mindestens alle 1-2 Wochen gesendet.


    Die Apps deiner Gesprächspartner haben von deiner Backup-Wiederherstellung natürlich nichts mitgekriegt, und gehen davon aus, dass du das aktuelle Profilbild noch hast (weil dieses in den letzten 1-2 Wochen bereits gesendet wurde). Deshalb wird es nicht erneut gesendet.


    Kurz zusammengefasst: Nach spätestens 2 Wochen solltest du die Profilbilder alle wieder sehen. Als Abkürzung kann das Profilbild von deinen Kontakten auch explizit nochmal gesendet werden, mithilfe der von Mogli geposteten Anleitung.


    Das ist übrigens auch im FAQ-Eintrag so beschrieben:

    Zitat
    Sie haben ein Threema Safe-Backup wiederhergestellt. Innerhalb von zwei Wochen werden die Profilbilder Ihrer Kontakte wieder erscheinen.

    Zwei Beispiele für Videoanruf-Metadaten sind übrigens:

    • Orientierung des Gerätes (damit kann man zB bei Vorhandensein einer Überwachungskamera in einem Café den Netzwerk-Traffic einer IP mit einer Person korrelieren)
    • Sprach-Lautstärke (damit kann man zB in einem Nebenraum rein durch die Sprech-Lautstärke, ohne dass man das Gesprochene verstehen kann, ein Gespräch mit dem Netzwerk-Traffic einer IP korrelieren)

    Bei WebRTC werden diese Header-Metadaten standardmässig nicht verschlüsselt. Man kann die Verschlüsselung dieser Metadaten zwar aktivieren, allerdings scheint offensichtlich niemand sonst diese Funktion zu nutzen, denn sie war jahrelang kaputt (und wurde jetzt durch lgrahl gefixt)...


    Einen kleinen Videocall-App-Prototypen zu bauen geht sehr schnell (wenige Tage). Videocalls sauber und sicher zu implementieren braucht aber seine Zeit. Threema ist es wichtig, dass neue Funktionen korrekt und mit höchstmöglicher Privacy implementiert werden, deshalb werden auch nie konkrete Daten/Roadmaps veröffentlicht. It's ready when it's ready (and secure) :)

    Das Datum könnte ich mir technisch vielleicht noch erklären. Viel lustiger finde ich ja die Information zur gewählten Sounddatei.

    Bei Apple APNs muss bei klassischen Push-Notifications der Server entscheiden, welcher Benachrichtigungston verwendet wird: https://developer.apple.com/do…ing_a_remote_notification


    Seit es Silent Pushes gibt, hat sich das geändert. Das Feld wird daher früher oder später aus der Datenbank verschwinden, sobald die alten iOS-Versionen (ohne Silent Push) nicht mehr unterstützt sind.

    Zoom nutzt eigene, optimierte Codecs. Deshalb wollen sie auch nicht, dass man die Webversion benutzt, da sie dort weniger Kontrolle über die Video-Infrastruktur haben. Es gibt aber eine Browser-Extension um die Nutzung der Webversion zu forcieren: https://addons.mozilla.org/en-…ox/addon/zoom-redirector/


    Ich war diesen Monat an einer virtuellen Konferenz sowie an einem Workshop mit je über 250 Teilnehmern per Zoom dabei und das hat über Stunden zuverlässig ohne Ausfälle funktioniert. Vermutlich sind sie deshalb populär. User Tracking trotz Paid App geht jedoch gar nicht.

    Jitsi ist aber soviel ich weiss nicht e2e im Gegensatz zu Jami.

    E2E ist halt schwierig bei Videokonferenzen. Entweder macht man's im Peer-to-Peer-Modus (mit E2EE), aber dann muss man bei einem Call mit 10 Personen 9 Streams ((n-1)*2) senden und empfangen. Viele Internetleitungen machen das nicht mit.


    Die Alternative ist ein Medienserver, dann sendet man 1 Videostream und empfängt 9 Streams (n). Der Medienserver kann auch bei schlechter Verbindung die Qualität drosseln, sowie die Formate an die Zielgeräte anpassen. Allerdings kann er dann auf den Inhalt zugreifen (d.h. nur noch Transportverschlüsselung, kein E2E mehr). Ob es irgendwelche crazy Crypto gibt die das Transcoden von Videos ermöglicht ohne den Inhalt zu kennen, weiss ich nicht. Ist meines Wissens zumindest nicht verbreitet.


    In einer Organisation / Firma ist eine der besten Lösungen wohl das Aufsetzen einer eigenen Jitsi-Instanz. Das müsste eigentlich auch für die meisten Schulen möglich sein.


    (Edit: Mehr Details hier https://github.com/jitsi/jitsi-meet/issues/409)

    Sind die nicht insolvent?

    https://de.wikipedia.org/wiki/Ginlo -> Anfang 2020 hat die ginlo.net GmbH das Projekt übernommen und arbeitet an einer erneuten Veröffentlichung.

    Es geht technisch mit starken Usability-Einschränkungen. Es ist aber ganz einfach unerwünscht.

    Das stimmt nur sehr begrenzt. Eventuell geht es über die Business API, wenn man sich dafür ein WhatsApp-Firmenprofil anlegt. Wenn WhatsApp aber bemerkt, dass man mit einem Bot / automatisierter Software auf sein privates WhatsApp-Konto zugreift, wird dieses sofort gesperrt. Scripting von WhatsApp Accounts wird aktiv bekämpft.


    (Ist auch logisch, WhatsApp will die User in ihrem Walled Garden halten...)