THREEMA WEB CLIENT PROTOTYPE mittels SaltyRTC

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Ich habe noch eine Frage @"lgrahl":

    So ein Webclient, ist der browser- und/oder betriebssystemunabhängig oder müsste da, ähnlich wie bei den Mobiltelefonen, für eine bunte Vielfalt programmiert werden?

    (Ich frage, weil ich mich von Windows losgesagt und nur Linux in Betrieb habe)

    Gruß, Patrick
    -------
    Handy: Samsung Galaxy Note 8
    Android: 9
    Threema: V. 4.22
    ThreemaWork: V. 4.22k

  • Wenn auf dieser Seite das Feld dataChannels für den jeweiligen Browser grün hinterlegt ist, wird SaltyRTC mit hoher Wahrscheinlichkeit laufen und damit auch der Web Client. Edge wird mit ORTC (WebRTC 1.1) einsteigen und was Apple macht, weiß ich nicht. Für Browser ohne Support, also IE und Safari, gibt es Plugins, die WebRTC-Support ermöglichen.

    Das Betriebssystem spielt keine Rolle. Ich habe letztens sogar mit ein paar Kommilitonen ausprobiert, ob der Web Client auch auf Android im Chrome-Browser funktioniert. Die Antwortet lautet: Ja, funktioniert. :)

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Hallo f09fa681!

    Ich wiederhole hier mal, was ich vorhin in einem anderen Thread geschrieben habe.
    Wäre es nicht besser, die Variante mit dem geheim zu haltenden Authentication Token per QR Code durch eine besser gegen eavesdropping geschützte Variante auszutauschen? IMHO wäre eine Version, in der der Authentication Token über einen verschlüsselten öffentlichen Kanal (=TLS o.ä. via Internet) ausgetauscht wird, vorzuziehen. Gegen MITM schützt man sich, dass der Fingerprint des für die Transport Security genutzten Session Keys zuvor per QR Code verifiziert wird.

    Viele Grüße
    Alestrix

  • Hi alestrix,

    mir ist nicht klar, wieso ein verschlüsselter, öffentlicher Kanal besser gegen Eavesdropping schützen würde. Zu dem Zeitpunkt, an dem das Authentication Token benötigt wird, haben beide Kommunikationspartner keinerlei Informationen übereinander. Ob ich nun das Authentication Token direkt per QR-Code erhalte, oder darin eine Verbindungsinformation enthalten ist, wie ich das Token über einen verschlüsselten, öffentlichen Kanal erhalten kann, macht für mich und den Angreifer keinen Unterschied. In beiden Fällen reicht es, wenn der Angreifer den QR-Code mitscannt und schneller ist, als ich.

    Oder habe ich dich hier falsch verstanden?

    Das Authentication Token hat nur einen einzigen Zweck: Mein Gegenüber kann damit einmalig seinen/ihren Public Permanent Key verschlüsselt und per MAC authentifiziert senden. Danach wird das Token verworfen und kann nicht mehr benutzt werden. Das heißt, durch dieses Token können wir uns gegen MitM-Angriffe schützen. Mit dem Trusted Key ist das Prozedere sogar nur ein einziges Mal notwendig: Einmal im stillen Kämmerchen scannen reicht aus.

    Viele Grüße

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

    Einmal editiert, zuletzt von f09fa681 (19. November 2015 um 03:36)

  • Ich habe (als Unwissender, von den letzten beiden Beiträgen habe ich bspw. kein Wort verstanden;-) noch mal eine Frage:

    Wäre es auch möglich, den WebClient OHNE einen Node zu nutzen?

    Hintergrund:
    Mein Vater ist Ü60, nutzt kein Smartphone, ist aber regelmäßig am PC.

    Gruß, Patrick
    -------
    Handy: Samsung Galaxy Note 8
    Android: 9
    Threema: V. 4.22
    ThreemaWork: V. 4.22k


  • Wäre es auch möglich, den WebClient OHNE einen Node zu nutzen?

    Ne, leider nicht. Dazu sollte ich aber anmerken, dass der Node technisch irgendein Gerät sein könnte, welches mit dem Threema-Server kommuniziert und die Daten speichert, welche die App momentan auch speichert. Threema könnte also theoretisch eine kleine Box oder eine Software für eine kleine Box (beispielsweise ein Raspberry Pi) verkaufen, die genau das macht und nur an einem sicheren Ort platziert werden muss.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Ja, wie lange eigentlich? :P

    Ich habe so langsam das Gefühl, dass sich hier nichts mehr tut. Ich warte seid über einem Jahr auf diese Funktion. Ist zwar schön und gut, dass angeblich daran gearbeitet wird allerdings sollte so etwas auch fertiggestellt werden.
    Ich arbeite viel vom PC aus und das antworten über den PC deutlich komfortabler als über die Smartphonetastatur zu schreiben. Vorallem wenn es um längere Texte geht ist es enorm viel einfacher dies über eine "vernünftige Tastatur" zu tun. Ich denke ich bin auch nicht der einzige, der solch großen Wert auf diese Funktion legt :D
    Mittlerweile gibt es Zahlreiche andere Messenger, die es auch geschafft haben eine Webanwendung oder auch PC-Client zu erstellen. Wo ein Wille ist, ist auch ein Weg. Die Frage ist nur mit wie viel Aufwand das verbunden ist und vor allem worauf der Fokus und die Wichtigkeit bei der Entwicklung dieses Features liegt. Mich würde mal interessieren, ob wir mit diesem Feature noch rechnen dürfen und was aktueller Stand ist!