Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Unabhängiger Sicherheits-Audit bestätigt: Threema hält, was es verspricht
#16
(04.11.2015., 23:08)Chris schrieb: ...zumal ich weiß, dass es funktioniert. Und zwar so wie es sein soll!

Woher weisst Du das?
Zitieren
#17
Weil ich auf den Hersteller vertraue - wenn es sich mal nicht so bestätigen sollte, okay - aber solange der Messenger aktuell so läuft, baue ich weiterhin darauf.
Zitieren
#18
Das ist so nicht ganz korrekt: Der Teil für die Verschlüsselung ist durchaus Open Source und kann jederzeit überprüft werden, "nur" das "drumherum" ist eben nicht Open Source und wie oben schon Simon geschrieben hat, ist es nicht verwerflich für seine gute Arbeit auch Geld zu verlangen.
Zitieren
#19
Schön, dass die Wahrnehmung Threemas durch die Presse durch dieser Report größer wird. Auch die SZ berichtet über Threema!
Wäre mal interessant zu erfahren, wie sich die Threema-Nutzerzahlen so entwickeln, d.h. ob und wie stark sich positive Berichterstattungen konkret auswirken.

“Diese beiden Apps sind garantiert sicherer als Whatsapp - Digital - Süddeutsche.de”

http://www.sueddeutsche.de/digital/three...-1.2721971
Zitieren
#20
Dass opensource besser ist weil jeder reingucken kann ist wohl einer der größten Mythen überhaupt... Man braucht sich nur mal anschauen wie viele schwere Sicherheitslecks Google schon in opensource software gefunden hat...
Is ja schön und gut wenns jeder anschauen kann wenns aber dann keiner macht der kompetent is dann hilft das nicht viel! Dann doch lieber ne App von Entwicklern die mindestens durch ihr Gehalt motiviert sind

Gesendet von meinem SM-G900F mit Tapatalk
Zitieren
#21
:heart: *TOP!* :heart:

(06.11.2015., 07:40)GeilerGauda schrieb: Gesendet von meinem SM-G900F mit Tapatalk

Willst du weiterhin Tapatalk verwenden?
http://www.heise.de/security/meldung/Tap...16662.html
Zitieren
#22
(09.11.2015., 20:54)DrWho schrieb: Willst du weiterhin Tapatalk verwenden?
http://www.heise.de/security/meldung/Tap...16662.html

Die Funktion ist glaube ich dann auch wieder zurückgezogen wurden. Die News ist alt.
Zitieren
#23
In diesem Thema herrscht seit 3 Jahren Funkstille.

Um eine echte Vertrauenswürdigkeit des nicht offenen Quellcodes herzustellen, wäre für jedes einzelne veröffentlichte Release ein Sicherheits-Audit notwendig.
Dabei nicht zu vergessen die einzelnen Komponenten, z. B. Threema Web.


Ich erinnere in diesem Zusammenhang an die Fehlerdichte in der Informatik. Die Statistik besagt, dass ein Softwareentwickler im Normalfall 2 bis 6 Fehler pro 1.000 Zeilen Code produziert. Üblicherweise wird eine Fehlerdichte von < 0,5 Fehlern pro 1.000 Zeilen Code angestrebt. Gänzlich fehlerfrei ist Quellcode quasi nie.

Fazit
Von vertrauenswürdig kann nur die Rede sein, wenn:
a) der Quellcode offengelegt wird (Open Source)
oder alternativ
b) zu jedem veröffentlichten Release auch ein entsprechendes Sicherheits-Audit veröffentlicht wird
(wobei hier wiederum das unbedingte Vertrauen in eine dritte Instanz vorausgesetzt werden muß)
Zitieren
#24
(06.11.2018., 15:00)BamBam schrieb: Von vertrauenswürdig kann nur die Rede sein, wenn:
a) der Quellcode offengelegt wird (Open Source)

...und der gesamte Code von einer fachlich geeigneten Drittperson geprüft wurde und jeder weitere Änderung von vertrauenswürdigen Dritten geprüft wird (wobei auch hier das unbedingte Vertrauen in eine dritte Instanz vorausgesetzt werden muß).

Offenlegen allein bringt keinen Sicherheitsgewinn, wenn sich niemand den Code genau anschaut - und zwar fortlaufend. Wie viele Jahre blieb die gravierende Heartbleed-Sicherheitslücke in OpenSSL offen? Und wir reden da nicht von irgendeinem Messenger, sondern von OpenSSL, der meistverwendeten Kryptographie-Bibliothek im Internet...

Wieso schaut sich niemand solchen Open Source-Code genau an? Weil das sehr aufwendig, sehr zeitintensiv und nicht besonders spannend ist. Vor allem aber braucht es sehr gute Fachkenntnisse. 


Aber du hast recht - Fehler passieren allen Entwicklern. Auch deshalb wäre ein neuer Audit bei Threema überfällig.
Zitieren
#25
@ Claus

Ich denke es ist unstrittig, dass die Offenlegung des Quellcodes die fundamentale Grundvoraussetzung für dessen (freie) Überprüfbarkeit ist. Ob sich dann auch jemand die Mühe macht den offengelegten Quellcode tatsächlich zu überprüfen, steht auf einem ganz anderen Blatt. Du hast ja diesbezüglich schon das (un)schöne Beispiel "OpenSSL" genannt, was übrigens, du sagtest es schon, ein katastrophaler Fail war.

Bezüglich der Alternative "Audit" gibt es immer dieses gewisse Geschmäckle (Vertrauen oder doch eher Misstrauen). Ein Audit ist schließlich nichts anderes als eine eingekaufte Dienstleistung, die von einer dritten Partei erbracht wird. Bezahle ich als Auftraggeber diese dritte Partei "gut genug", wird sie mir aller Wahrscheinlichkeit nach alles bescheinigen was ich haben will (Beispiel: TÜV-Siegel / TÜV-Prüfsiegel). Das Threema-Audit aus dem Jahr 2015 ist als vertrauensbildende Maßnahme unbrauchbar, weil darin jegliche Details fehlen, was genau (Release, Build) wie und mit welchen Mitteln überprüft wurde. Der Prüfprozedurablauf wird nicht dokumentiert. Die laut Auditprotokoll durchgeführte Prüfprozedur ist somit logischerweise auch nicht reproduzierbar. Das Audit-Protokoll wird dadurch zu einem wertlosen Stück Papier. Nüchtern betrachtet ist ein solches Audit, wie das aus dem Jahr 2015, ein reines Marketinginstrument. Ich kann sagen: "Schaut her, ich habe ein Audit machen lassen. Ergebnis: Bestnoten!"
Zitieren
#26
Was mich immer so ein bisschen stört an der "Open Source-Diskussion", dass die Offenlegung eines Quellcodes das non plus ultra sein soll und damit alle Probleme beseitigt sind. Ich nehme als weiteres Beispiel mal (ergänzend zu den oben genannten) "TrueCrypt". TrueCrypt war/ist auch quelloffen, galt lange als abolsut sicher und erst nach einigen Jahren wurden auch dort (gravierende) Sicherheitsfehler entdeckt, (obwohl OpenSource) bis die Entwicklung auf einmal sehr überraschend eingestellt und sogar von TrueCrypt abgeraten wurde.

Wie Claus oben schon absolut treffend geschrieben hat: Es muss sich zum einen auch jemand, der sich auskennt, die Mühe machen einen Quellcode zu prüfen. Und zum anderen muss auch ich als Endverbraucher widerum den Menschen glauben, dass die Menschen, die sich den Quellcode "angeblich" angeschaut haben, auch seriös und glaubwürdig sind und nicht irgendwie ein "abgekartetes Spiel" treiben.

Es ist und bleibt im Endeffekt also immer eine Vertrauensfrage.
Zitieren
#27
Ich sehe es ähnlich wie Mogli. Open Source bietet die Möglichkeit für jedermann, den Quellcode zu prüfen. Wenn sich aber niemand mit entsprechendem Know How findet oder sich jeder auf die anderen verlässt, nützt eine Möglichkeit nichts.

Ein externes Audit birgt natürlich das Risko, "Wes Brot ich ess, des Lied ich sing". Allerdings haben diese Unternehmen auch einen Ruf zu verlieren. Alles werden sie auch nicht abnicken oder dem Auftraggeber empfehlen, bestimmte Dinge zu ändern, bevor man das Audit zuende führt.
Zitieren
#28
(07.11.2018., 12:37)Mogli schrieb: Was mich immer so ein bisschen stört an der "Open Source-Diskussion", dass die Offenlegung eines Quellcodes das non plus ultra sein soll und damit alle Probleme beseitigt sind.

Lieber Mogli! Da muß ich dir vehement widersprechen. Das wurde und wird nie behauptet (Stammtischgespräche mal ausgeklammert), dass allein durch die Offenlegung des Quellcodes plötzlich alles im grünen Bereich sei. Aber es ist und bleibt halt die Grundlage, um überhaupt die Möglichkeit zur Überprüfung zu haben. Das dürfte auch nachvollziehbar sein, oder?

(07.11.2018., 12:37)Mogli schrieb: Und zum anderen muss auch ich als Endverbraucher widerum den Menschen glauben, dass die Menschen, die sich den Quellcode "angeblich" angeschaut haben, auch seriös und glaubwürdig sind und nicht irgendwie ein "abgekartetes Spiel" treiben.

Du mußt dir vor Augen führen, dass sowas nicht einfach mal so nebenbei in 5 oder 10 Minuten erledigt ist (Claus hatte es oben auch schon angesprochen). Es ist auch nicht davon auszugehen, dass eine Einzelperson ganz allein im stillen Kämmerlein eine solche Überprüfung durchführt. Last but not least, haben auch Open-Source-ler einen Ruf zu verlieren. Das Potenzial darf man nicht unterschätzen. Ein oder mehrere Mitglieder der Open Source Community wären - gesetzt den Fall sie würden lügen und betrügen - für den Rest ihres Lebens gebrandmarkt.

Nicht vergessen: Einzig der Open Source Community haben wir es zu verdanken, dass es alternative freie Software und auch mehr und mehr freie Hardware gibt. Ohne sie wären wir angeschi**en, denn es gäbe im Desktop-Bereich nur Apple und Microsoft und im Mobil-Bereich neben den Beiden nur noch Google sowie irgendwo weit hinten noch Blackberry.
Zitieren
#29
(07.11.2018., 16:09)BamBam schrieb: Da muß ich dir vehement widersprechen. Das wurde und wird nie behauptet (Stammtischgespräche mal ausgeklammert), dass allein durch die Offenlegung des Quellcodes plötzlich alles im grünen Bereich sei. Aber es ist und bleibt halt die Grundlage, um überhaupt die Möglichkeit zur Überprüfung zu haben. Das dürfte auch nachvollziehbar sein, oder?
Und da muss ich dir jetzt leider widersprechen. Wie du sicherlich weißt, bin ich auch in einigen MUCs bei Conversations und dort wird unter den "eingefleischten Open-Source'lern" rigoros und äußerst vehement alles abgelehnt, was Closed Source ist und OpenSource wird bis auf's Blut verteidigt. Und in anbetracht, dass OpenSource eben NICHT das absolute non plus ultra ist, finde ich so ein Verhalten äußerst bedenklich.
Bitte nicht falsch verstehen, ich bin absolut kein Gegner von OpenSource, ganz im Gegenteil, aber es ist eben nicht die perfekte Lösung, wie es oft versucht wird darzustellen, gerade weil die Durchsicht eines Quellcodes sehr sehr viel Zeit, technisches Know How und sehr viel Fachwissen benötigt.  

(07.11.2018., 16:09)BamBam schrieb: Du mußt dir vor Augen führen, dass sowas nicht einfach mal so nebenbei in 5 oder 10 Minuten erledigt ist (Claus hatte es oben auch schon angesprochen).
Und genau deswegen sehe ich OpenSource eben NICHT als das absolute non plus ultra und die perfekte Lösung.

(07.11.2018., 16:09)BamBam schrieb: Nicht vergessen: Einzig der Open Source Community haben wir es zu verdanken, dass es alternative freie Software und auch mehr und mehr freie Hardware gibt. Ohne sie wären wir angeschi**en, denn es gäbe im Desktop-Bereich nur Apple und Microsoft und im Mobil-Bereich neben den Beiden nur noch Google sowie irgendwo weit hinten noch Blackberry.
Dem stimme ich nur bedingt zu.
Ich behaupte jetzt einfach mal: Würde es Threema nicht geben, hätten wir immer noch keinen für den "Otto-Normal-User" einfach zu bedienenden sicheren Messenger und wir hätten immer noch keine sichere und einfache Alterntive zu WhatsApp. Im Bereich "sichere Messenger" sehe ich Threema als revolutionär. Lächeln
Zitieren
#30
Ohne hier zu weit vom Thema abschweifen zu wollen: Natürlich gibt es auch viele Hardcore Open Source (ler), das weiß ich. Bei diesen Leuten kannst du aber sprichwörtlich an einer Scala ablesen, wie hoch die Wertschätzung für diesen Hard- und Softwarebereich bei ihnen angesiedelt ist. Für diese Leute ist Open Source nicht nur einfach Hard- und Software, sondern eine Philosophie und eine Lebenseinstellung. Daher rührt dann halt (leider) auch die kompromisslose Vehemenz.
Zitieren