Beiträge von lgrahl

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 3.000 Mitglieder helfen dir weiter. Los gehts!
Unterstützung von offizieller Seite erhältst du direkt bei Threema: Zum offiziellen Threema-Support

    Bei NaCl leitet sich der Schlüssel aus Private Key von A und Public Key von B ab, respektive andersherum. Das macht im Übrigen die Abstreitbarkeit von Nachrichten bei Threema aus.

    Ja, das stimmt! Ich wüsste jetzt spontan auch nicht, wozu der Server die Absender-ID kennen müsste... 🤷‍♂️

    Muss er nicht. Ist aber auch kein trivial zu lösendes Problem. Wenn der Empfänger die Absender ID nicht im Klartext erhält, weiss er nicht, welcher Schlüssel zum Entschlüsseln verwendet werden soll. Man bräuchte jetzt einen extra Schlüssel zum Verschlüsseln der Absender ID... :)

    Ich würde jede Antwort von ihm akzeptieren.

    Aber wenn du "Igrahl" glaubst, das du hier mit einem Kraftausdruck (ich wiederhole das Wort nicht) einen Beitrag leistest, dann irrst du.

    Im Gegenteil, deine Meldung ist sehr entbehrlich

    "War gar nicht so gemeint, sondern so [...]" wäre ne sinnvolle und angemessene Antwort gewesen. Du hast deinen kindischen Rückschlag einfach in "netten" aber nicht weniger verletzenden Worten verpackt.

    Das die Telegramzahlen so hochschnellen zeigt doch deutlich: die Leute haben keine Lust sich mit Datenschutz zu beschäftigen.

    Dem ist IMO aber nicht so, sonst hätten sie ja nicht gewechselt, nimmt man Gruppenzwang mal aus.

    Ich glaube, das ist schlicht Unwissen und teilweise eklatante Fehlinformationen, die über Telegram verbreitet werden. Ja, und möglicherweise auch Ignoranz. Aber warum wechselt man dann? Das will mir nicht in den Kopf.

    Ich fänd es generell nicht schlecht wenn auch Threema eine kostenlose Version bereitstellen könnte und über Firmenkunden dann versucht Gewinne zu erzielen, nicht umsonst werben sie ja mit vielen Firmenkunden.

    Ich persönlich würde mich da nicht völlig quer stellen, aber es bricht dennoch mit meinen Idealen: Für alles an Leistungen zahlen wir in irgendeiner Form. Es ist in meinen Augen schlicht und ergreifend unehrlich, kein Geld für Threema zu verlangen. Eine Trial-Version mit Bezahlung nach einer Woche bei Gefallen, das würde mir schon eher gefallen, da wird einem aber auf technischer Ebene ein Bein gestellt.

    Ich weiß nicht, ob die sich mit dem Vergleich einen Gefallen gemacht haben. 🤔

    Kommt in Form des Blog-Beitrag etwas merkwürdig rüber, aber nimmt man das mal beiseite ist ein Produktvergleich auf der eigenen Webseite ja etwas völlig normales. Oder?

    Threema vergleicht jetzt also Serverstandort, wissentlich, dass Signal Server über Drittanbieter in den USA stehen. Dabei führen sie den CLOUD Act an, bei dem Signal die Daten per Gesetz weitergeben muss, da laut Threema Signal eine US Firma ist. Das stimmt einerseits so ja nicht, denn die Signal Foundation ist ein 501c3, was hier ungefähr einem gemeinnützigen Verein entsprechen würde. Also keine Firma im eigentlichen Sinn. Außerdem Sind die Daten die durch den CLOUD Act eingesammelt werden unbrauchbar, da verschlüsselt und damit wertlos.

    Das wird an der Stelle aber nicht näher erwähnt. Klar, keine Daten sind besser als Daten rauszurücken, aber Datenmüll liefern ist jetzt kein Problem

    Da muss ich dir allerdings widersprechen. Es ist bei Weitem nicht nur Datenmüll. Gehashte Telefonnummern lassen sich auf Grund der geringen Kombinationsmöglichkeiten relativ einfach auf die Telefonnummer zurückführen, zudem womöglich noch offline, da der CLOUD Act sicherlich die API umgeht und die Daten direkt erhält, womit ein potentielles Rate Limiting zusätzlich umgangen wird.

    Es ist in meinen Augen schon einen Tick risikoreicher, wenn man nicht selbst die Server-Hardware physisch bereitgestellt und aufgesetzt hat. Man darf nicht vergessen, dass der Server auch ein Mapping zwischen Telefonnummer (bei Threema die ID) und dem Public Key herstellt. Eine Manipulation dieses Mappings für User, die den Public Key nicht verifizieren, würde Man in the Middle Attacken ermöglichen.

    Also mich stört das schon etwas, da es einen gewissen Beigeschmack hat, wenn solche Vergleiche angezogen werden. Dann bitte alle Kriterien (also auch die in denen Signal punktet) anziehen und begründet (und nachvollziehbar sowie objektiv) gewichten, so dass am Ende dann ein Score Wert rauskommt. Dann macht das mehr Sinn.

    Ja, nachvollziehbar, dass dir PFS fehlt. Threema ist aber auch kein Produkttestformat, insofern finde ich die Anforderungen nach einem Scoring etc. dann doch etwas überzogen. Und es hat am Ende immer einen Beigeschmack, wenn irgendeine Institution das eigene Produkt bewertet und mit anderen Lösungen vergleicht.

    Zurückziehen ist nicht das Gleiche wie Editieren und auch nicht das Gleiche wie ablaufende Nachrichten und auch nicht das Gleiche wie Nachrichten, die nur einmal gelesen werden können. Die Antwort im Play Store wird hier IMO viel zu eng interpretiert. Das oder ein sehr ähnliches Feature kann es in verschiedenster Form geben.

    So the answer is pretty much that the signature spoofing needs to work for GCM/FCM and that is my understanding as well. Why Signal and co. work without it really does not matter much. Threema will most likely monitor the situation with Huawei and see what needs to be done. Be aware that Huawei has not been very friendly towards Threema and other apps (app being killed in the background) and thus I would generally discourage anyone from buying Huawei phones (and others, see dontkillmyapp.com).


    A few side notes: The link would have been sufficient - you don't need to repeat the conversation here. Also, the double/triple/quadruple-posting with mentioning (@) in very short time periods while basically rephrasing the same thing can be considered quite annoying. Edit your posts if you want to add more. :)

    Es mag sehr ausgereifte Protokolle geben, aber die derzeitigen Big Player unter den Smartphone OSes sind für zentrale Strukturen mit ihren Push-Services ausgelegt, im Namen der Batterielaufzeit. Hintergrundprozesse werden immer weiter beschnitten, dass man geradezu abhängig von Apple und Google Services wird, weil nur noch diese Services es ermöglichen, zuverlässig mit dem Smartphone zu kommunizieren. Das sieht man an Threema Web ganz deutlich: Es ist nicht Threemas Schuld, dass der Push unter Android so unzuverlässig funktioniert. Und es ist nicht Threemas Schuld, dass unter iOS nicht mal auf Peer-to-Peer zurückgegriffen wird, weil es geradezu lächerlich eingeschränkt wäre.


    Ich hoffe wirklich, dass wir uns irgendwann aus diesem massiv die Kreativität einschränkendem Korsett befreien können, was Google und Apple hier auferlegen. Bis dahin kann man Experimenten wie PureOS nur wünschen, dass sie Erfolg haben.

    Persönlich habe ich mir angewöhnt, bei einem Threema-Backup oder Restore das Display-Timeout manuell hochzustellen.

    Nur mal so als kleiner Tipp...

    Noch besser, ist es, in den Dev-Settings einzustellen, dass das Display beim Laden gar nicht mehr aus geht und dann mit Ladekabel wiederherstellen. Das ist absurd und richtig peinlich, was die Hersteller da abziehen, dass man sowas empfehlen muss.

    Ach ja, die gute alte Terrorkeule wieder. In quasi allen Fällen waren die Täter vorher schon bekannt oder haben gar nicht über verschlüsselte Medien kommuniziert. Auf sämtlichen Intensivstationen herrscht grad auch Terror und es sterben Menschen in ganz anderen Grössenordnungen, aber man beschäftigt sich lieber damit, wie man die Bürger besser aushorchen kann.

    Zitat

    Die EU-Kommission wollte dennoch auf explizite Nachfrage von netzpolitik.org eine Verpflichtung für Diensteanbieter zu Hintertüren nicht ausschließen. Es handle sich um „keine Ja- oder Nein-Frage“, sagte die EU-Kommissarin.

    Eine Hintertür ist entweder da oder sie ist es nicht. Was für eine grenzdebile Aussage.