Beiträge von Crixus

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support

    Hallo,


    auf die schnelle habe ich keinen schon vorhandenen Thread gefunden. Sollte ich etwas übersehen habe, einfach den Beitrag verschieben. ;)


    Worauf ich hinaus möchte:
    Threema ist ein Messenger, der insbesondere im deutschsprachigen Raum Verwendung findet. Außerdem ist es eine Art „europäische Alternative“ zu den ganzen Services, die meist in den USA entwickelt werden.


    Was ich nicht ganz verstehe: Warum versucht Threema nicht, noch ein paar mehr europäische Sprachen zu unterstützen?
    Die wichtigsten, die mir spontan einfallen, wären:

    • Niederländisch (auch dort gibt es glaube ich etliche Leute, die Datenschutz ernst nehmen)
    • Tschechisch (u. U. relativ viel Kommunikation zwischen Deutschland und Tschechien)
    • Finnisch (scheint auch ein datenschutzbewusstes Land zu sein)
    • Vollständige Unterstützung für polnisch (momentan nur für Android)


    So, damit wäre Europa, denke ich, sehr gut abgedeckt von den Sprachen her.


    Dann fehlen meiner Meinung nach noch zwei globale Sprachen, die man unbedingt unterstützen sollte:

    • Chinesisch (ich denke es spricht für sich)
    • Japanisch


    Mir ist schon bewusst, dass es es etwas kostet, weitere Sprachen zu unterstützen.
    Die verbundene Frage ist: Will Threema eine Nische in Deutschland füllen, oder will Threema länderübergreifend mehr Nutzer erreichen? Dann nehmt bitte die Unterstützung mehrerer Sprachen ernster!


    Edit: Bei WhatsApp scheint die Community auch mitzuhelfen: https://translate.whatsapp.com/


    Auch das verschenken wird nichts bringen. Der Zug ist abgefahren für alle alternativen Messenger


    Da stimme ich grundsätzlich zu. WhatsApp ist mehr oder weniger zum Standard geworden und sowas lässt sich nicht mal schnell „rückgängig“ machen. Und im Ernst: WhatsApp ist ja auch kein ganz schlechter Messenger, er hat zumindest Ende-zu-Ende-Verschlüsselung und somit ist das schon einmal besser als nichts. Denken wir doch nur einmal an ein normales Telefongespräch im Gegensatz dazu. Einen alternativen Messenger zu verwenden, ist wie ein Tropfen auf einen heißen Stein. Wenn man sich ansieht, welche Daten Google & Co. ganz automatisch durch das Verwenden eines Smartphones so bekommen, dann ist der Messenger wirklich nur noch nebensächlich. Selbst ohne Smartphone, wenn man im Internet nach etwas sucht, weiß Google Bescheid. Ja, es gibt alternative Suchmaschinen, aber Google ist qualitativ doch klar überlegen.


    Auch ist Threema eine geschlossene Lösung, proprietär und man ist auf die Threema GmbH angewiesen. Ich würde es mal so sagen: Threema ist momentan eine gute Lösung, aber nicht die Lösung für die Zukunft.


    Achja, zum Schluss:
    Selbstverständlich befürworte ich es, wenn man Threema verwendet, ganz klar. Und ich verwende es gerne.
    Der größte Grund, warum ich Threema allerdings nutze: Ich möchte ein Statement setzen. Ich möchte betonen, dass Datenschutz und Sicherheit in Zeiten, in denen fast alles miteinander vernetzt ist, eine wichtige Rolle spielt. Und ich möchte (auch zukünftigen Entwicklern und Unternehmen) mit dem Kauf der Threema-App signalisieren, dass die Arbeit an datenschutzfreundlicher Technologie geschätzt wird.

    Das mit dem manuellen Verteilen des Profilbildes ist nicht nur unpraktisch und eigentlich unnötig aufwendig, sondern funktioniert (für mich) auch nicht. Ich möchte auch gar nicht Personen, die ich nicht näher kenne, eine Nachricht schreiben und sie bitten, mir ein Profilbild zuzusenden.
    Und selbst wenn meine Kontaktliste nur aus Personen, die ich gut kenne, bestünde: Ich muss jedem eine Nachricht schreiben, ein Profilbild anfordern, dieses einstellen und nach einiger Zeit das gleiche möglicherweise wieder. Nein, wirklich - dieser Aufwand ist es wirklich nicht wert und ich will ihn auch gar nicht aufwenden, weil ich weiß, dass es besser geht.


    Zu deinen Punkten:



    1.) Man könnte nicht mehr explizit auswählen, ob überhaupt und welchem Kontakt oder Personengruppe man ein Profilbild zur Verfügung stellt.


    Nun, das liegt jetzt an Threema, wie man das umsetzt.
    Mehrere Möglichkeiten:

    • nur an eine eingestellte Personengruppe wird das Profilbild verteilt
    • nur an Personen, deren öffentlicher Schüssel man schon persönlich (QR-Code) verifiziert hat
    • jedem
    • etc.


    Außerdem: Man kann als Profilbild ja etwas allgemeineres nehmen (Identicon, ...) und seinen guten Freunden ein privateres Bild zuschicken, das sie dann anstelle des normalerweise verteilten Profilbildes einstellen können.



    2.) Auch wenn das ganze optional wäre, würde oft die Frage kommen: "Warum hast du kein Profilbild?". (sinngemäß) Was widerum zu einem indirekten Zwang führen könnte, ein Profilbild hochzuladen. (Herdentrieb)


    Ich möchte nicht ausschließen, dass es vorkommen kann. Persönlich habe ich das aber noch nicht erlebt, dass da indirekt Druck ausgeübt wird. Auch bei WhatsApp gibt es immer wieder ein paar, die kein Profilbild haben. Außerdem: Wenn man kein Profilbild von sich einstellen möchte, kann man ja ein Identicon oder solche Sachen verwenden. Es muss ja kein Portraitfoto sein. ;)

    Um ehrlich zu sein, habe ich mich damit noch nicht näher beschäftigt, weil ich auch noch nie ein Profilbild hochgeladen habe. Insofern kann ich mich auch irren, grundsätzlich würde es mich aber nicht wundern, wenn Google Zugriff darauf hätte.


    Wie auch immer. Threema muss hier schleunigst nachbessern, die aktuelle Lösung ist jedenfalls unpraktikabel!

    Ich hoffe wirklich stark, dass hier zeitnah eine Lösung präsentiert wird. Dass es geht, wenn man will, wurde ja hier bereits besprochen.


    Momentan ist es einfach schlicht überhaupt nicht benutzerfreundlich und praktikabel. Auch widerspricht es dem Streben nach Privatsphäre. Aktuell „zwingt“ Threema den User nämlich, ein Profilbild mit dem Google-Konto zu verknüpfen - vielleicht will man das aber eben nicht. Weil man nicht möchte, dass Google Zugriff zu einem unverschlüsselten Profilbild hat. Außerdem kann es ja sein, dass man bei Threema ein anderes Profilbild haben möchte als beim Google-Account.


    Da ist es doch tausendmal besser, wenn man bei Threema ein Profilbild verwenden kann, das den Kontakten verschlüsselt übermittelt wird, als gezwungen zu werden, bei Google ein unverschlüsseltes Profilbild zu hinterlegen. Und benutzerfreundlicher wäre das ganze auch bei weitem.


    Die Idee von "Miaz" finde ich auch ganz ok.


    Uuuh, was da direkt an Verschwörungstheorien hochkommen. :rolleyes:


    Nun, dann sind wir doch hier richtig. ;) Die Praktiken von NSA & Co. waren auch mal Verschwörungstheorien. :exfreude:


    Im Ernst:
    Der Report, der von Threema veröffentlicht wurde, ist in der Tat etwas dünn. Sie hätten schon etwas mehr bekanntgeben sollten, z. B. wie viele Sicherheitslücken gefunden wurden (in Kategorien unterteilt: informational/low/medium/high/critical) und vielleicht eine kurze Erklärung dazu. Oder ein paar Worte zur Qualität des Quellcodes, vielleicht auch ein paar Infos von der Firma, mit welchen Mitteln der Audit durchgeführt wurde, wie lange er gedauert hat usw.
    Den Quellcode selbst muss man ja dann gar nicht veröffentlichen.


    Ja, wahrscheinlich gibt es keinen Grund, sich Verschwörungstheorien auszumalen. Trotzdem hätte Threema von Anfang an anders agieren und einen etwas ausführlicheren Report für die Öffentlichkeit anbieten sollen.

    Wie ihr wahrscheinlich alle wisst, wurde Threema im Jahr 2015 von einem externen Unternehmen auditiert. Mehr dazu siehe hier: https://threema.ch/de/blog/pos…ma-halt-was-es-verspricht


    Da der (öffentliche) Report der Firma sehr dünn ausfällt und eigentlich relativ wenig aussagt, hat wohl ein interessierter User mal bei Threema nachgefragt, ob man den vollständigen Report sehen darf.


    Da ich die Antwort von Threema interessant fand, hier der Link:


    Man müsste eine Geheimhaltungsvereinbarung unterschreiben, um Zugang zu bekommen.
    https://www.reddit.com/r/Three…ull_audit_report/dbi49l4/

    Das ist dann auch der Grund, warum SaltyRTC auch mit kaputtem TLS nicht auseinanderfällt :)


    Jap, tolle Sache! :freuen:


    Und da man sich das dann herunterladen kann, muss man nur ein einziges mal (beim Download) auf HTTPS vertrauen. Und selbst dann kann man hoffentlich den Hash checken oder Threema signiert den Download.

    Es geht einfach darum, das bestmögliche zu tun:
    Und es ist definitiv besser, HTTPS nur 1x vertrauen zu müssen, als eben jedes Mal. Selbst HPKP ist kein hundertprozentiger Schutz, auch wenn es einige Verbesserungen mit sich bringt.


    HTTPS hat einige Schwachstellen und deshalb sollte die Sicherheit nicht darauf basieren. Und ja, streng genommen hast du recht, wenn man Online-Banking oder ähnliche Dinge macht, sollte man eigentlich am besten manuell überprüfen, ob man mit der richtigen Stelle spricht, also das Zertifikat mal angucken.


    Das tut in der Praxis vermutlich fast niemand, was aber nicht heißt, dass das dann gut so ist.

    Deswegen ist der Aufruf ja verschlüsselt und mit Zertifikat authentifiziert. Oder woher weißt du, dass sich der Android, iOS oder Dekstopclient mit dem richtigen Server verbindet? Eine MITM-Attacke ist hier genauso möglich/unmöglich.


    Das ist so nicht richtig. Mit einer Man-in-the-middle-Attacke könnte die TLS-Verbindung umgangen werden. Deshalb ist es eine kluge Entscheidung, den Webclient zum Download bereitzustellen. So muss man nur sicherstellen, dass eben jener 1x ordnungsgemäß heruntergeladen wurde, anstatt jedes mal wenn man ihn benutzt.


    Woher die Clients wissen, dass sie mit dem richtigen Server verbunden sind?
    Threema hat das Zertifikat der Server in den Clients „hardgecoded“, eine Man-in-the-middle-Attacke dürfte deshalb zwecklos sein.

    Hallo,


    Google hat vor kurzem „Key Transparency“ vorgestellt. Dabei handelt es sich um eine Software, die das Problem in der Kryptographie bzgl. des Schlüsselabgleichs lösen soll.


    Sprich die manuelle Verifizierung, ob man z. B. den richtigen öffentlichen Schlüssel eines Chatpartners hat, was bei Threema im Moment mit dem Abfotografieren des QR-Codes geschieht, soll damit mehr oder weniger nicht mehr nötig sein.


    Soweit ich das verstanden habe, ist es weiterhin möglich, dass man angegriffen werden kann, also dass man den falschen Schlüssel „bekommt“. Das gute bei Key Transparency ist allerdings, das solche Angriffe sofort erkannt werden können! Also faktisch kein Problem mehr.


    Was meint ihr so?


    Hier ein paar interessante Links:
    https://github.com/google/keytransparency
    http://www.golem.de/news/key-t…infachen-1701-125569.html
    https://coniks.cs.princeton.edu/about.html

    Threema sollte nichtsdestotrotz auch an einem nativen Desktop-Client arbeiten. Bei einem Web-Client ist die TLS-Verbindung zum Threema-Server die Schwachstelle und irgendwie fühle ich mich nicht ganz wohl damit. Wer sagt schon, dass man beim Aufruf von https://web.threema.ch eben auch die „richtige“ Seite geliefert bekommt? Man-in-the-middle-Attacken wären hier möglich.


    Bei einem nativen Desktop-Client muss ich „nur“ dafür sorgen, dass ich den Client 1x richtig heruntergeladen habe. Das ist schon ein großer Vorteil. Außerdem sind native Clients ergonomisch betrachtet meist immer etwas besser als Web-Clients.


    Ich will den Web-Client nicht schlecht machen, das ist definitiv eine gute Sache. Trotzdem sollte ein nativer Client das Ziel sein.

    Naja, die Dateien selbst werden ja immer auf den Media-Server von Threema hochgeladen und zu dem jeweiligen Kontakt wird immer nur die ID der Datei geschickt (sodass sich die Person das dann vom Media-Server runterladen kann) sowie der symmetrische Schlüssel, mit dem die Datei verschlüsselt wurde.


    Die Frage, die hier also im Raum steht ist folgende:

    • Wird die Datei einmal verschlüsselt und jedem der Gruppenmitglieder die ID der Datei geschickt inkl. des symmetrischen Schlüssels? Vorteil des ganzen ist der minimierte Traffic beim Upload, weil die Datei nur 1x hochgeladen werden muss.
    • oder wird die Datei für jede Person extra verschlüsselt und hochgeladen und dann jedem Mitglied eine unterschiedliche ID der Datei mit unterschiedlichem symmetrischen Schlüssel geschickt?


    Leider gibt Threema hierzu keine Infos. Es ist wirklich an der Zeit, das Protokoll offen zu legen.


    Wie stellst du dir den Desktopclient denn vor?


    Denn mit OpenMittsu gibt es ja schon etwas in der Richtung: https://github.com/blizzard4591/openMittsu


    Ja, sowas in die Richtung. Allerdings ein „offizieller“ Client, mit dem man alles tun kann.
    Und bei openMittsu ist es ja (so viel ich weiß) auch so, dass man die ID von der Threema-App übertragen muss und man selbst keine generieren kann. Also weiterhin nicht unabhängig vom Smartphone.



    Desktopclient nicht aber eine Alternative (Webclient) wird bereits entwickelt.


    Für den Web-Client ist aber nach wie vor das Smartphone Voraussetzung.