Beiträge von markus147

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support
Threema für Desktop verfügbar! Jetzt runterladen und ausprobieren: Zum Download

    Ich will nicht ausschliessen, dass es keine Lösung gibt, aber ich wüsste nicht wie das gehen soll. Wenn nicht du das Passwort hast, dann muss es der Server haben. Und das ist naheliegendermassen inakzeptabel. Vielmehr ist es wohl ein Gewohnheitsproblem: Würde man nicht davon ausgehen, dass man den Zugang über Email oder Telefonnummer wiederherstellen kann, so wie quasi überall üblich (und absolut grenzwertig - wenn das Passwort zum Email-Account abhanden kommt, dann gute Nacht), dann wäre klar, dass man sich Passwörter gut merken (oder eine Merkhilfe verwenden) muss.

    Ich glaube, dass ist eine Art "Henne-Ei-Problem"

    Was ich mir noch vorstellen könnte, ist eine Passworthinweis, der dann gespeichert wird. Der sollte aber nicht das Passwort selbst enthalten. Aber das kann man ja prüfen. Der Hinweis könnte dann auf den ThreemaSafe geladen werden.

    Am Ende ruft der Nutzer beim Umzug auf ein neues Handy die ID vom Safe ab und erhält den Passworthinweis, wenn er x mal das falsche Passwort eingegeben hat.


    Allerdings habe ich keine Idee, wie er auf ThreemaSafe gespeichert werden müsste, dass er nicht von jedem gelesen werden. Am Ende müsste ja die App diesen Hinweis einblenden. Wenn der verschlüsselt ist, braucht es dafür wieder einen Schlüssel und irgendwo muss die App den ja haben.

    Hallo m_10,

    doch das ist klar. Das Tool bezieht die Nachricht von Std-In. Folglich müsstest du dann sowas wie echo "Hello World" | php ..... machen

    In der Erklärung dazu steht :"

    Send a message from standard input with server-side encryption to the given ID. is the API identity and 'secret' is the API secret. the message ID on success." :)

    Nein, so meinte ich das nicht.
    Ich gehe davon aus dass dieses TextSample im Prinzip via Threema Gateway genutzt wird. Das heißt, die nutzen ja auch das SDK von Threema. Und ich wüsste nicht, in welchem SDK vom Threema Gateway die gesendeten Orte entschlüsselt werden können. Soweit ich weiß, können alle SDK 's von Threema das Ver- bzw. Entschlüsseln von Text oder Bildern oder Files. Aber nicht von gesendeten Orten.

    Ich frage mich, wie der COVID-Radar den gesendeten Ort auslesen kann. Ich kenne kein SDK, dass sowas erlaubt ? Muss man dafür bei Threema anfragen?

    Das Hantieren mit Datenbackups ist bei Threema schon immer hakelig und problematisch. In den seltensten von mir begleiteten Fällen hat ein Geräteumzug bisher wirklich reibungslos geklappt (Backups > 2GB sind für mich mittlerweile die Regel). Im Fall iPhone <-> Android geht es erst gar nicht. Es ist für mich als jemand der die Installation mehrerer Familienmitglieder betreut jedes mal mit großem Zeit- und Nervenaufwand verbunden. Es wird wahrscheinlich auch der Grund sein, dass ich Threema bald abschreibe. Mir egal, wer dann was mitliest. Ich habe keine Zeit für diese Fummelei. Riesige Zip Dateien von Telefon zu Telefon schieben ist eine sehr schlechte Lösung.

    Nur mal aus Neugier: Wie sollte denn deiner Meinung nach, der Geräteumzug mit Threema funktionieren ?

    Hallo

    ich baue gerade an einer Anwendung, die mit dem Threema-Gateway agiert. Dabei kann es passieren, dass Kunden an das Gateway eine Sprachnachricht senden, die ich dann automatisiert entschlüsseln will. Bei Text oder Files klappt das ohne Probleme, nur reine Sprachnachrichten an das Gateway klappen nicht. Ich benutzte das Java-SDK.
    Weiß jemand, ob es dafür schon eine neuere Version des Java-SDK's gibt oder müsste ich das selbst programmieren?

    Weiterhin wollte ich fragen, ob es ein "Auto-Detect"-Modus gibt? Ich weiß ja im Leben nie, ob man mir einen Text oder eine Datei (Bilder, allgemeine Dateien) schickt. Ich mache das aktuell so, dass ich die Nachricht als Text entschlüssel und, wenn eine Exception kommt, ich das gleiche als File versuche. Aber gibt es da vielleicht eine Auto-Detect ? Denn die Nachrichten haben ja verschiedene Message-Types?

    lgrahl Ich habe mal eine Frage zur aktuellen Android-Beta. Es wurde in den Release-Notes geschrieben, dass sich die Header-Verschlüsselung geändert hast. Kannst du das vielleicht genauer erklären, was sich da verändert hat ? Von welcher Verschlüsselung auf welche wurde denn geändert ?

    Guten Morgen zusammen,


    ich habe seit ein paar Tagen ein Samsung S7 mit Lineage 15 bestückt und musste feststellen, dass, nachdem sämtliche Einstellungen korrekt gesetzt sind, Signal problemlos pusht, während Threema nur mit Polling funktioniert. Wie gesagt: Beide Apps sind in Sachen Energieeinstellungen/Akkuoptimierungen identisch konfiguriert.


    Das ist nun kein Weltuntergang, da durch das Polling spätestens alle 15 Min. Nachrichten ankommen. Es wundert mich aber doch, warum Signal das ohne Google-Services kann und Threema nicht.

    Threema funktioniert auch ohne Google-Services. Das benutzt du gerade mit dem Polling. Alternativ benutzt es FCM von Google

    Das Problem ist und bleibt die Sicherheit. Wie ich schon mal hier erwähnt hatte, kann man bei einer zurückgezogenen Nachricht nie garantieren, dass die Nachricht auch wirklich nicht mehr beim Gegenüber existiert. Daran ändert auch eine Nachricht mit "wurde zurückgezogen" nichts.

    Mal ein Beispiel: Nehmen wir an, ich sende dir eine Nachricht und habe mich vertan. Also rufe ich die Nachricht zurück. Was muss denn passieren, damit die Nachricht auch wirklich nicht mehr bei dir existiert ?

    1. Zuerst müsste die App eine Steuernachricht senden, die deine App empfängt. Damit aber nicht irgendjemand, diese Nachricht sendet, muss diese am besten vom Sender signiert werden. Sonst könnte man jede Nachricht auf einem beliebigen Endgerät löschen.

    2. Der Empfänger müsste die Steuernachricht validieren und dann die Nachricht aus der Datenbank (DB) holen und die Nachricht entweder als gelöscht markieren (Damit könnte ein Angreifer sie aber noch aus der DB lesen) oder die Nachricht komplett löschen und einen Vermerk setzten, dass die Nachricht gelöscht wurde.

    3. Es müsste ein Trigger in der App ausgelöst werden, die merkt, dass die Datenbank verändert wurde und die Nachricht auch aus dem Chatbereich "löschen" (Normalerweise wird die DB einfach nur gelesen. Ich weiß auch nicht wie hier die DB-Struktur aussieht, aber vermutlich existieren hier Querverweise zu zitierten Chats etc. Diese müssen ebenfalls rückgängig gemacht werden)

    Wie du siehst, ist das viel Aufwand. Und die Sicherheit das du die Nachricht nicht trotzdem gelesen hast ist gleich null. Denn was passiert, wenn du eine Nachricht bekommst, den Flugmodus einschaltest und ich dann die Nachricht zurückrufe ? Dann kannst du die Nachricht lesen.
    Weiterhin besteht das Problem auch in der DB. Wer sagt mir denn, dass zwischen dem Eingang der Nachricht und dem Zurückrufen nicht ein Backup von deinem Handy stattfand und die Nachricht so auch wieder gelesen werden kann. Es kann außerdem nicht garantiert werden, wenn du die Nachricht löschst, dass sie wirklich aus dem Speicher des Handys gelöscht wurde.

    Außerdem sind hier viele Sonderfälle: Was passiert, wenn ein Backup der Daten stattfand, danach die Nachricht "gelöscht" wurde und du das Backup einspielst. Woher soll Threema da wissen, dass eine Nachricht bereits zurückgezogen wurde ? Das würde wenn nur über den Server gehen. Damit werden unnötig Metadaten gesammelt.

    So oder so, ist dieses Feature nicht sinnvoll. Du kannst stattdessen auch vor dem Senden noch mal die Nachricht durchlesen und den Sender kontrollieren.

    Analogie: Wenn du eine Mail an einen falschen Absender schreibst, dann kann dir auch niemand garantieren, dass die Nachricht gelöscht wurde, bevor der Empfänger sie gelesen hat.

    Ich möchte kurz dazu einwerfen, dass Android 4.x auch keine offiziellen Updates mehr erhält und nicht mehr verwendet werden sollte. Gerade wenn es sich mit dem Internet verbindet, dann eventuell mal an einen Gerätewechsel denken, wenn keine neueren Android Versionen dafür verfügbar sind ;)

    Korrekt. Er wird es zu Weihnachten einem Upgrade unterziehen. ;)

    Vielen Dank für die Antwort. Ich stimme dir da zu.
    Bei der Benachrichtigung bin ich mir unsicher. Möglich wäre es, wenn es bereits einen Server von Threema gibt, die diese Funktion (TLS 1.2) testet. Dann könnte die App versuchen, sich damit zu verbinden. Wenn es scheitert, dann wird bis Januar ein Fallback auf den alten Server gezeigt und eine Warnung gezeigt.

    Aber ich glaube, es wäre am besten, wenn hier Threema was dazu sagen könnte.

    Hallo,

    dass ist korrekt. Aber auf der Seite von Threema steht: "Aus Sicherheitsgründen wird Threema ab Januar 2020 keine Verbindungen mit TLSv1.0 oder TLSv1.1 mehr zulassen. Dies betrifft alle Geräte mit Android 4.0 sowie einige Geräte mit Android 4.1-4.4."

    Deswegen denke ich schon, dass die alten Verfahren nicht mehr gehen werden.

    Hallo,

    wie ich gerade im neusten Update von Threema für Android gesehen habe, wird ab Januar 2020 TLS 1.2 und höher Pflicht für die Threema-Apps. Ich finde das zur Erhöhung der Sicherheit eine tolle Idee.
    Allerdings verstehe ich nicht, wie Nutzer mit Android 4.0 oder höher sehen können, ob sie ab Januar 2020 weiter Threema nutzen können. In diesem Fall, hat ein Kumpel von mir ein älteres Smartphone, was Android 4.3 hat. Als wir das Update installiert hatten, und mit Threema gechattet haben, kam keine Meldung, dass TLS 1.2 nicht richtig aktiviert werden konnte. (TLS 1.2 wird ab Android API 16+ unterstützt). Android 4.3 ist API-Level 19. Bedeutet das nun, dass er im Januar keine Probleme hat?
    Wisst ihr, ob es da eine besondere Meldung gibt, die den Nutzer darauf hinweist, wenn es im Januar Probleme mit Threema geben sollte ?

    Also für mich klingt das nicht nach einem Angriff. Soweit ich weiß, sind Gruppen in Threema nicht zentralisiert. Das bedeutet, wenn du eine Nachricht an die Gruppe schreibst, sendet Threema im Hintergrund an jedes einzelne Gruppenmitglied eine Nachricht.

    Bist du der Gruppenadmin ? Ich glaube einfach, dass die Synchronisierung auseinander lief. Vielleicht haben andere Mitglieder der Gruppe nicht regelmäßig die Gruppe benutzt und sich die Nachrichten angesehen. Dadurch könnte die Synchronisierung auseinander gelaufen sein und am Ende kamen nur bei ein paar Mitgliedern die Nachricht an (die haben vermutlich öfter die Gruppe benutzt)

    Wodurch das "+Foo" kam, weiß ich nicht. Vielleicht hängt das dann auch mit der Synchronisierung zusammen.

    Meiner Meinung nach braucht man so eine Funktion nicht. Und ich muss sagen, dass ich die Antwort von Threema zu 100% verstehen kann. Es ist, wie schon erwähnt, ein Eingriff auf die Daten des Nutzers. Denn wenn die Nachricht vom Nutzer empfangen wird und ungültig gemacht werden muss, dann muss es eine "Löschfunktion" geben, die diese Nachricht löscht.
    Eine andere Variante wäre, dass man in der lokalen Datenbank eine Spalte "Löschvermerk" oder so hat und nur wenn dieses Flag gesetzt wird, die Nachricht nicht geladen wird. So wäre aber dann die Nachricht weiterhin in der lokalen DB und könnte von einem Angreifer angezeigt werden.
    Trotzdem würde das das Konzept von Threema untergraben.

    Man könnte höchstens einen Dialog einblenden, der fragt, ob man diese Nachricht wirklich senden will. Allerdings will keiner, jedes Mal so einen Dialog bestätigen.

    Von dieser Seite her kann ich Threema verstehen.