Beiträge von markus147

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support

    Guten Morgen zusammen,


    ich habe seit ein paar Tagen ein Samsung S7 mit Lineage 15 bestückt und musste feststellen, dass, nachdem sämtliche Einstellungen korrekt gesetzt sind, Signal problemlos pusht, während Threema nur mit Polling funktioniert. Wie gesagt: Beide Apps sind in Sachen Energieeinstellungen/Akkuoptimierungen identisch konfiguriert.


    Das ist nun kein Weltuntergang, da durch das Polling spätestens alle 15 Min. Nachrichten ankommen. Es wundert mich aber doch, warum Signal das ohne Google-Services kann und Threema nicht.

    Threema funktioniert auch ohne Google-Services. Das benutzt du gerade mit dem Polling. Alternativ benutzt es FCM von Google

    Das Problem ist und bleibt die Sicherheit. Wie ich schon mal hier erwähnt hatte, kann man bei einer zurückgezogenen Nachricht nie garantieren, dass die Nachricht auch wirklich nicht mehr beim Gegenüber existiert. Daran ändert auch eine Nachricht mit "wurde zurückgezogen" nichts.

    Mal ein Beispiel: Nehmen wir an, ich sende dir eine Nachricht und habe mich vertan. Also rufe ich die Nachricht zurück. Was muss denn passieren, damit die Nachricht auch wirklich nicht mehr bei dir existiert ?

    1. Zuerst müsste die App eine Steuernachricht senden, die deine App empfängt. Damit aber nicht irgendjemand, diese Nachricht sendet, muss diese am besten vom Sender signiert werden. Sonst könnte man jede Nachricht auf einem beliebigen Endgerät löschen.

    2. Der Empfänger müsste die Steuernachricht validieren und dann die Nachricht aus der Datenbank (DB) holen und die Nachricht entweder als gelöscht markieren (Damit könnte ein Angreifer sie aber noch aus der DB lesen) oder die Nachricht komplett löschen und einen Vermerk setzten, dass die Nachricht gelöscht wurde.

    3. Es müsste ein Trigger in der App ausgelöst werden, die merkt, dass die Datenbank verändert wurde und die Nachricht auch aus dem Chatbereich "löschen" (Normalerweise wird die DB einfach nur gelesen. Ich weiß auch nicht wie hier die DB-Struktur aussieht, aber vermutlich existieren hier Querverweise zu zitierten Chats etc. Diese müssen ebenfalls rückgängig gemacht werden)

    Wie du siehst, ist das viel Aufwand. Und die Sicherheit das du die Nachricht nicht trotzdem gelesen hast ist gleich null. Denn was passiert, wenn du eine Nachricht bekommst, den Flugmodus einschaltest und ich dann die Nachricht zurückrufe ? Dann kannst du die Nachricht lesen.
    Weiterhin besteht das Problem auch in der DB. Wer sagt mir denn, dass zwischen dem Eingang der Nachricht und dem Zurückrufen nicht ein Backup von deinem Handy stattfand und die Nachricht so auch wieder gelesen werden kann. Es kann außerdem nicht garantiert werden, wenn du die Nachricht löschst, dass sie wirklich aus dem Speicher des Handys gelöscht wurde.

    Außerdem sind hier viele Sonderfälle: Was passiert, wenn ein Backup der Daten stattfand, danach die Nachricht "gelöscht" wurde und du das Backup einspielst. Woher soll Threema da wissen, dass eine Nachricht bereits zurückgezogen wurde ? Das würde wenn nur über den Server gehen. Damit werden unnötig Metadaten gesammelt.

    So oder so, ist dieses Feature nicht sinnvoll. Du kannst stattdessen auch vor dem Senden noch mal die Nachricht durchlesen und den Sender kontrollieren.

    Analogie: Wenn du eine Mail an einen falschen Absender schreibst, dann kann dir auch niemand garantieren, dass die Nachricht gelöscht wurde, bevor der Empfänger sie gelesen hat.

    Ich möchte kurz dazu einwerfen, dass Android 4.x auch keine offiziellen Updates mehr erhält und nicht mehr verwendet werden sollte. Gerade wenn es sich mit dem Internet verbindet, dann eventuell mal an einen Gerätewechsel denken, wenn keine neueren Android Versionen dafür verfügbar sind ;)

    Korrekt. Er wird es zu Weihnachten einem Upgrade unterziehen. ;)

    Vielen Dank für die Antwort. Ich stimme dir da zu.
    Bei der Benachrichtigung bin ich mir unsicher. Möglich wäre es, wenn es bereits einen Server von Threema gibt, die diese Funktion (TLS 1.2) testet. Dann könnte die App versuchen, sich damit zu verbinden. Wenn es scheitert, dann wird bis Januar ein Fallback auf den alten Server gezeigt und eine Warnung gezeigt.

    Aber ich glaube, es wäre am besten, wenn hier Threema was dazu sagen könnte.

    Hallo,

    dass ist korrekt. Aber auf der Seite von Threema steht: "Aus Sicherheitsgründen wird Threema ab Januar 2020 keine Verbindungen mit TLSv1.0 oder TLSv1.1 mehr zulassen. Dies betrifft alle Geräte mit Android 4.0 sowie einige Geräte mit Android 4.1-4.4."

    Deswegen denke ich schon, dass die alten Verfahren nicht mehr gehen werden.

    Hallo,

    wie ich gerade im neusten Update von Threema für Android gesehen habe, wird ab Januar 2020 TLS 1.2 und höher Pflicht für die Threema-Apps. Ich finde das zur Erhöhung der Sicherheit eine tolle Idee.
    Allerdings verstehe ich nicht, wie Nutzer mit Android 4.0 oder höher sehen können, ob sie ab Januar 2020 weiter Threema nutzen können. In diesem Fall, hat ein Kumpel von mir ein älteres Smartphone, was Android 4.3 hat. Als wir das Update installiert hatten, und mit Threema gechattet haben, kam keine Meldung, dass TLS 1.2 nicht richtig aktiviert werden konnte. (TLS 1.2 wird ab Android API 16+ unterstützt). Android 4.3 ist API-Level 19. Bedeutet das nun, dass er im Januar keine Probleme hat?
    Wisst ihr, ob es da eine besondere Meldung gibt, die den Nutzer darauf hinweist, wenn es im Januar Probleme mit Threema geben sollte ?

    Also für mich klingt das nicht nach einem Angriff. Soweit ich weiß, sind Gruppen in Threema nicht zentralisiert. Das bedeutet, wenn du eine Nachricht an die Gruppe schreibst, sendet Threema im Hintergrund an jedes einzelne Gruppenmitglied eine Nachricht.

    Bist du der Gruppenadmin ? Ich glaube einfach, dass die Synchronisierung auseinander lief. Vielleicht haben andere Mitglieder der Gruppe nicht regelmäßig die Gruppe benutzt und sich die Nachrichten angesehen. Dadurch könnte die Synchronisierung auseinander gelaufen sein und am Ende kamen nur bei ein paar Mitgliedern die Nachricht an (die haben vermutlich öfter die Gruppe benutzt)

    Wodurch das "+Foo" kam, weiß ich nicht. Vielleicht hängt das dann auch mit der Synchronisierung zusammen.

    Meiner Meinung nach braucht man so eine Funktion nicht. Und ich muss sagen, dass ich die Antwort von Threema zu 100% verstehen kann. Es ist, wie schon erwähnt, ein Eingriff auf die Daten des Nutzers. Denn wenn die Nachricht vom Nutzer empfangen wird und ungültig gemacht werden muss, dann muss es eine "Löschfunktion" geben, die diese Nachricht löscht.
    Eine andere Variante wäre, dass man in der lokalen Datenbank eine Spalte "Löschvermerk" oder so hat und nur wenn dieses Flag gesetzt wird, die Nachricht nicht geladen wird. So wäre aber dann die Nachricht weiterhin in der lokalen DB und könnte von einem Angreifer angezeigt werden.
    Trotzdem würde das das Konzept von Threema untergraben.

    Man könnte höchstens einen Dialog einblenden, der fragt, ob man diese Nachricht wirklich senden will. Allerdings will keiner, jedes Mal so einen Dialog bestätigen.

    Von dieser Seite her kann ich Threema verstehen.

    Ich sehe das etwas anders. Die ID's werden überprüft. Wenn ich zum Beispiel statt Threema.id/ECHOECHO Threema.id/ECHOECHI eingebe, dann steht da, dass diese ID nicht existiert.

    Sonst gebe ich dir aber Recht. Der QR-Code enthält nur den Link zur ID-Seite von Threema.

    Wie schon gesagt wurde, gab es vorher die ID-Seite von Threema. Das ist keine neue Erfindung. Ebenfalls konnte man dort auch seiner ID eine "Webseite" geben. Ich finde das nicht schlecht, solange mein Gegenüber den Code dort nicht abscannen kann und der Kontakt damit verifiziert ist. Denn das würde das Konzept untergraben.

    Einen Status zu implementieren, halte ich auch nicht für sinnvoll.
    Erstens: Die Daten, wer online oder offline ist, müsste immer wieder gesynct werden. Damit hat der Threema-Server wieder eine Information mehr über mich.
    Zweitens: So ein Status ist wieder ein Eingriff in unsere Privatsphäre. Warum soll man denn wissen, wann ich online bin und wann nicht ? Daraus könnte man im schlimmsten Fall Statistiken erheben um welche Zeiten ich immer so online bin. Wer will sowas denn?
    Drittens: Nehmen wir mal an, es würde so einen Status geben. Dann würde man meistens wie auch bei anderen Messengern "lauern" wann die Person wieder online geht und die Nachricht liest. Damit setzt man sich unnötiger Weise nur Druck aus. Will man sowas? Früher, als es noch keine Messenger gab, hat man sowas doch auch nicht gebraucht.