Beiträge von f09fa681

Zitat von ecosviszero

Jedenfalls hier der Bericht über die anderen Chromium-basierten Desktop-Versionen von anderen Messengern:

https://www.chip.de/news/Finge…-zu-nutzen_184718527.html

Der Artikel beginnt schon mal mit einem seriösen "Sicherheitsexperten von Kaspersky [...]", aber versuchen wir es mal objektiv zu betrachten.

Zitat

Der hier unter der Haube verwendete Chromium-Browser wird nur dann aktualisiert, wenn die Entwickler auch eine neue Version der Anwendung bereitstellen – das bietet laut Kaspersky ein mögliches Einfallstor für Angreifer

Stimmt. Das ist die eine grosse Schwäche von Electron: Die vergleichsweise grosse Angriffsfläche. Ein guter Reminder immer up to date zu bleiben.

Zitat

Hat ein Angreifer Zugang zu Ihrem System, kann er diesen leicht nutzen, um Ihre Chats zu entschlüsseln. Auf mobilen Betriebssystemen ist es laut der Experten aufgrund einer anderen Architektur deutlich schwieriger, Verschlüsselungsschlüssel zu entwenden.

Würde ich nicht unbedingt zustimmen, aber deswegen gibt es bei Threema Web und Threema Desktop auch die Passwortabfrage, sodass die Schlüssel sicher sind, solange das Passwort sicher ist.

Zitat

Doch es braucht nicht einmal eine Schwachstelle im Browser oder einen geklauten Schlüssel. Wer sich einen Fernzugriffstrojaner einfängt, der gibt selbst mit dem sichersten Messenger der Welt alle seine Chats preis.
Solche Malware wird beispielsweise unbeabsichtigt und unbemerkt mit einem anderen Programm heruntergeladen oder befindet sich aber in einem Mail-Anhang.

Ah, weil Windows unsicher ist, ist somit auch Electron unsicher. An der Stelle können wir dann wohl einpacken.

Zitat

Doch nicht nur für die Chats geht von den Desktop-Messengern eine Gefahr aus. Auch über WhatsApp & Co. können Sie Schaddateien empfangen und Ihr System infizieren.

Während beim Download aus dem Internet oder E-Mail-Anhängen vielen Nutzern das Gefahrenpotential bewusst ist, fehlt es beim Versenden und Empfangen von Dateien über den Messenger oft gänzlich.

Ernst gemeinte Frage: Sind NutzerInnen wirklich so dumm?

Ein schöner angstschürender Werbeartikel für Antivirensoftware. Chip war doch auch der Laden mit diesem Installer, der einem zusätzlich Müllsoftware angedreht hat... und dann schreiben sie einen Artikel über die Gefahren von unbeabsichtigt installierten Programmen. Ich denke, es ist alles gesagt.

Zitat von ecosviszero

Also bei Jami (https://jami.net/) kann man statt Opus auch andere Audiocodecs manuell einstellen. Z.B. G.722. Entweder alleine oder auch in Kombination mit anderen Audio-Codecs (auch Opus). Sowohl bei den Desktop-Clients als auch bei der mobilen (Android-)Version.

Dann sollte es - bei alleiniger Auswahl eines anderen Audiocodecs - nicht mehr Opus sein?

Die sind aber auch alle schlechter als Opus und werden deswegen in Threema nicht mal mehr kompiliert, um die mögliche Angriffsfläche zu reduzieren (WebRTC ist C++ Code). Warum Session Jami das nicht ebenfalls tut... I don't know.

Die Diskussion ob TLS Forward Secure ist, ist für Messenger unerheblich:

FS auf Transportebene ist heutzutage Standard und auch sehr einfach zu erreichen. Es gilt zwischen Data In Transit und Data At Rest zu unterscheiden. In Transit mögen eure Emails mit Forward Security verschlüsselt sein, aber At Rest sind sie immer noch vollkommen unverschlüsselt. Wenn bei Messengern von Forward Security gesprochen wird, ist meistens beides gemeint.

Vergleiche bzgl. Call-Qualität finde ich immer sehr schwierig, weil es reine Blackbox-Tests sind. Mal ist Signal besser, mal Threema, mal irgendwer anderes... Ein Gros der Messenger nutzt aber den gleichen WebRTC-Stack (modulo unterschiedliche Versionen). Ja, man kann an den Parametern und Codecs fummeln, aber letztlich kommt immer Opus bei raus.

Wenn Threema also schlechter abschneidet, hängt es mit Sicherheit daran, dass die Verbindung einfach nicht direkt ist, weil sich beide Seiten nicht gegenseitig verifiziert haben.

Zitat von Jaroslav

Gruppen einen Co-Admin zu ermöglichen. Geht das nicht?

Nein, das geht nicht so einfach, da das derzeitige Gruppenprotokoll dafür nicht ausgelegt ist. Es würde unweigerlich zu Chaos führen. Es bräuchte ein komplett neu gedachtes Gruppenprotokoll.

Hier in dem Fall handelt es sich ja um Threema Web, was nicht in der Lage ist, Pinning zu betreiben. Daher funktioniert die Interception sogar, aber scheinbar ist die Software so kaputt, dass sie WebSocket nicht versteht/kaputt macht.

Anyways, ich wäre sehr interessiert daran zu wissen, was das für eine Software ist, denn dann können wir sie für Support-Zwecke intern dokumentieren.

Hast du einen Link zu der Software?

Zitat von holydiver

Lebenslänglich Fish and Chips! (Sorry, das musste sein!)

Hab ich kein Problem mit. Da hat GB weitaus schlimmeres zu bieten.

Du könntest mal den Netzwerkverkehr via Wireshark auf dem betroffenen Gerät mitschneiden. Dann würde man ggf. sehen, was passiert (aber nicht unbedingt wer schuld ist).

Darf ich dir einen gut gemeinten Rat geben: Blockiere keine IP-Adressen oder Ports. Du wirst nur Ärger damit haben und der Schutz ist äusserst fragwürdig, da man von innen trotzdem alles mit ein wenig Kenntnis aus dem Netzwerk raustunneln kann.

Was versprichst du dir durch diese Massnahmen?

Zitat von Liftboy

Ich setze mich hin und werde mal in Ruhe schauen, ob ich noch eine Idee haben könnte. Schade, da ich Threema primär nutze und gerne auch den PC zum Tippen

Klar. Es gilt herauszufinden, warum du keine Nachrichten vom SaltyRTC-Server erhältst. Ist irgendein Proxy oder VPN konfiguriert, was hier dazwischenfunken könnte?

Die anderen Tests sind nett gemeint, aber wenn bei bei Threema Web / Desktop 1.0 gar keine Verbindung zustandekommt, wäre entscheidend das Ergebnis von https://web.threema.ch/troubleshoot/ auf dem betroffenen Gerät.

Wichtig ist v.A., dass man bei verzögerten Nachrichten differenziert zwischen:

1. Probleme mit unterdrückten / zu spät empfangenen Push-Nachrichten
2. Probleme mit zu spät empfangenen Nachrichten, weil die App im Hintergrund geschlossen wird

Beides lässt sich in den meisten Fällen mit dem Aktivieren von Threema Push lösen. 1. weil Threema Push mit Push eigentlich nichts zu tun hat und 2. weil Threema Push eine permanente Notification erzeugt, die das Schliessen der App verhindert.

Grundsätzlich muss ich sagen, dass der FCM Push Service selbst auf Google-Phones so furchtbar unzuverlässig ist, dass ich allgemein Threema Push empfehlen würde, wenn es wirklich keine Verzögerung geben soll.

Zitat von gbischmi

Nein, das ist es eben nicht. Ich will keine PC App und den Murks den WhatsApp schon vor Jahren gemacht hat. Ich will ECHTES MultiDevice! Das was derzeit als Beta läuft ermöglicht es mir immer noch nicht meine Threema ID vom Hauptgerät (iOS) auf dem Android-Tablet mit der Threema App zu nutzen.

Multi-Device für Desktop und iOS sind einfach nur der erste Schritt der Entwicklung auf dem Weg zu "vollwertigem" Multi-Device, was genau das ermöglicht, wonach du fragst.

Ich hab keinen Schimmer, was das mit Threema Gateway zu tun haben soll.

Das ist ja nicht zwingend so, ggf. wird hier die Semantik von "Weiter" überinterpretiert. Knackpunkt ist folgender: Hat man keine Bestätigungstaste, so müsste die Korrektheit der PIN im Hintergrund mit jeder Eingabe überprüft werden. Findet hier eine teure Schlüsselableitung statt, bedeutet das, dass nach jeder Eingabe eine Verzögerung durch die Berechnung stattfindet. Unabhängig davon ändert sich die Sicherheit mit und ohne Bestätigungstaste aber nur unwesentlich.

Übrigens: Man kann auch eine Mindestanzahl Stellen haben und trotzdem nicht die Länge der PIN verraten. So ist es z.B. üblich, dass Bankkarten in der Schweiz sechsstellige PINs haben, statt vierstellige PINs wie in Deutschland üblich. Kein Kartenterminal verrät aber die Länge der PINs. Das Minimum ist einfach 4 Stellen.

Zitat von tr4jan

(Gute) FAQ verhindern effektiv Ressourcenverbrennung (wg. e.g. wiederholenden, gleichthematischen Supportanfragen), sind aber auch in der / für die Kundenbeziehung sehr bedeutsam. Die Threema FAQ sind dahingehend schon echt patent. Wenn Threema etwas zur "OS-Frage" sagen wollen würde, würden dadurch sowohl die interessierten Kunden, als auch die FAQ hinzugewinnen. Ich erwarte das aber nicht, weil wohl 99% der Kunden eine neue Funktionalität nehmen, wenn sie da ist, aber sich nicht wie wir hier mit dem befassen, was kommen soll, kann und wir gerne hätten.

Verstehe nicht so recht, was du mir damit sagen willst. Ich bin hier privat unterwegs. Da sich die Priorisierung der Apps, wenn auch relativ unwahrscheinlich, jederzeit ändern könnte, wird es sicher nicht in den FAQs landen. Nebenbei: Threema muss sich dazu ja auch nicht offiziell äussern. Es war mein persönliches Begehren, den Mythos zu entkräften.

Zitat von Kenny_Butters

Dann verstehe ich nicht, warum du mich zitierst, weil ich ja nirgendwo behaupte, dass es sich um eine bewusste Entscheidung handeln würde.

Du sprachst von einem "strukturellen Problem" und "punktuelle Dinge fallen kaum ins Gewicht" klang nach "moving the goalposts", erschien mir dann aber beim weiteren Überlegen nicht fair. Es ist korrekt, dass Andere vermutet haben, es gäbe eine Priorisierung der Betriebssysteme. Ich hätte das Zitat einfach rausnehmen sollen.

Zitat von Kenny_Butters

Dass die Android Version mehr Features hat und/ oder diese früher bekommt, fällt mir dann jedoch schwer als Fantasterei abzutun, wie du es machst #nofront. Das wird auch hier im Forum häufig diskutiert und halte ich für absolut objektivierbar. Die Archiv-Funktion hat unter iOS wesentlich länger gedauert, es gibt noch keine Gruppenanrufe und die Verteilerlisten stehen am iPhone seit mehreren Jahren (!) aus. Sobald es die iOS Systemebene betrifft, wie bei ThreemaWeb, ist es von außen natürlich leichter nachvollziehbar, warum es länger dauert. iOS hat nun mal weit mehr Restriktionen als Android. Verteilerlisten etwa tangieren diese Ebene aber gar nicht.

Dass ich behaupten würde, iOS hätte gleich viele Features wie Android, ist nicht korrekt. Ich habe lediglich gesagt, dass grundsätzlich keine Plattform nachteilig behandelt wird. Und die iOS Systemebene, wie du sagst, ist weit häufiger ein Faktor als von aussen womöglich wahrgenommen wird. Threema Web ist hier nur die Spitze des Eisbergs. Darüber hinaus sind die beiden Apps grundverschieden aufgebaut und haben somit auch ihre individuellen Vor- und Nachteile im Design. Allein diese beiden Aspekte verschleiern für die meisten NutzerInnen bereits vollständig die Nachvollziehbarkeit, warum ein Feature X nur auf Android existiert oder auf Android früher erscheint (oder eben andersherum).

Edit: Möchte hier aber noch anhängen, dass Multi-Device zu einer Angleichung der Designs der jeweiligen App-Backends und dessen unterstützten Features führt. Das darf definitiv nicht als Versprechen verstanden werden, aber allein schon protokolltechnisch bedingt wird Featureparität (die ja generell erstrebenswert ist) zunehmen.

Zitat von Kenny_Butters

Es bleibt abzuwarten, ob dann iOS mit der Final auch wirklich schneller bedient wird. Zumal es sich ingesamt um ein strukturelles Problem handelt, dass die gesamte 10-jährige Geschichte von Threema durchzieht. Punktuelle Dinge fallen da kaum ins Gewicht.

Mein letzter Versuch, diesen Mythos zu entkräften.

Es gibt etliche Gründe, warum es so interpretiert werden kann (meistens ziemlich subjektiv und simplifiziert), dass eine Plattform der Anderen vorgezogen wird. Fakt ist, dass grundsätzlich weder Android noch iOS bewusst vor- oder nachteilig behandelt wird. Es ist immer den Umständen geschuldet. Mit Multi-Device wurde extrem viel Code der iOS App auf links gedreht, wovon man als NutzerIn einfach nichts sieht. Für die Android App steht das noch aus. Nehmen wir mal Threema Web als Beispiel für viele andere Fälle, in denen es stark unterschiedliche technische Restriktionen durch die Plattformen gibt, welche die Entwicklung auf einer Plattform erschweren. Dummerweise ist es so, dass Apple einem da tendenziell mehr Steine in den Weg legt.

Ob man nicht lieber gleichzeitige Feature-Releases anstreben sollte, ist ein anderes (in einigen Fällen komplexes) Thema, auch wenn ich prinzipiell dafür bin.

Ich synchronisier mein KeePass-File (und anderes Zeug) über Syncthing. Funktioniert dann nur in meinem eigenen Netzwerk oder VPN.

Zitat von f09fa681

Einfach den Support kontaktieren und bitte nächstes Mal nicht unnötig IDs generieren. Every ID is beautiful.

Hat sich nicht geändert. 🙂

Ich bin weiterhin überzeugt, dass dieses Thema indirekt durch Multi-Device gelöst wird. Verlierst du ein Gerät, hast du die Daten immer noch auf jedem anderen Gerät. Somit kann man sagen, dass Threema bereits daran arbeitet.