Beiträge: 588
Themen: 40
Registriert seit: Jan 2017
Bewertung:
43
Die Linkvorschau hat die Schwäche, dass sie die E2E-Verschlüsselung zum Teil aushebelt. Man muss hier Signal einfach vertrauen. Prinzipiell wäre es aber für sie möglich rauszufinden, welche Links verschickt werden und können das analysieren.
Beiträge: 1.373
Themen: 59
Registriert seit: Oct 2014
Bewertung:
115
08.02.2019., 23:47
(Dieser Beitrag wurde zuletzt bearbeitet: 08.02.2019., 23:47 von rugk.)
(08.02.2019., 18:11)Crixus schrieb: Die Linkvorschau hat die Schwäche, dass sie die E2E-Verschlüsselung zum Teil aushebelt. Man muss hier Signal einfach vertrauen. Prinzipiell wäre es aber für sie möglich rauszufinden, welche Links verschickt werden und können das analysieren.
Lies dir mal noch mal den heise-Artikel o.ä. durch. Was Signal macht, hat oft Hand & Fuß, das muss man ihnen lassen. In diesem Fall (TL;DR  wird die Seite ganz normal über HTTPS geladen (also verschlüsselt) und aber über einen Proxy von Signal geleitet, sodass die Webseite deine IP nicht kennt (dank Proxy) und der Proxy die Webseite/den Inhalt der Webseite nicht kennt (dank HTTPS).
Das wird, soweit ich weiß, von keinem anderen Messenger bisher so angewendet (und bricht hier dann also auch nicht die E2E-Verschlüsselung). Um also die Links heraus zu finden, müssten die in ihrem Proxy schon HTTPS "brechen".
Beiträge: 588
Themen: 40
Registriert seit: Jan 2017
Bewertung:
43
Du hast schon recht. Ich meinte einfach nur, dass mit dieser Lösung die Sicherheit/Privatsphäre der Linkvorschau schlicht auf Vertrauen in den Proxy bzw. HTTPS basiert. Bei simplen Nachrichten kann man sich halt sicher sein, dass wirklich die E2E-Verschlüsselung geknackt werden müsste.
In der Praxis ist das wahrscheinlich eher egal, aber nichtsdestotrotz fühlt es sich besser an, wenn ALLES was man verschickt zu 100 % durch die E2E-Verschlüsselung geschützt ist.
Beiträge: 1.373
Themen: 59
Registriert seit: Oct 2014
Bewertung:
115
Das stimmt natürlich, es ist nicht mehr durch Signals E2E-Verschlüsselung geschützt, dass ist etwas anderes als nur TLS, ja.
Beiträge: 564
Themen: 10
Registriert seit: Dec 2016
Bewertung:
26
Ich verstehe ehrlich gesagt nicht wieso Signal so einen Aufwand betreibt. Wenn man einen Link verschicken möchte dann hat man den Inhalt ja meistens bereits aufgerufen, dann spielt es auch keine grosse Rolle mehr ob Signal diesen lokal ein zweites Mal aufruft.
Beiträge: 288
Themen: 2
Registriert seit: Feb 2016
Bewertung:
32
(11.02.2019., 12:40)schuschu schrieb: Ich verstehe ehrlich gesagt nicht wieso Signal so einen Aufwand betreibt. Wenn man einen Link verschicken möchte dann hat man den Inhalt ja meistens bereits aufgerufen, dann spielt es auch keine grosse Rolle mehr ob Signal diesen lokal ein zweites Mal aufruft.
Uhm, nein. Du kannst die IP-Adresse deines Gegenübers bestimmen, indem du ihm/ihr einfach einen Link sendest, dessen Server du selber kontrollierst.
Beiträge: 564
Themen: 10
Registriert seit: Dec 2016
Bewertung:
26
Das geht aber auch wenn man einfach so einen Link verschickt. Natürlich wird die Vorschau auf dem Gerät des Senders und nicht auf dem Gerät des Empfängers erstellt. Machen WhatsApp, Wire und iMessage auch so.
Beiträge: 288
Themen: 2
Registriert seit: Feb 2016
Bewertung:
32
(11.02.2019., 12:59)schuschu schrieb: Natürlich wird die Vorschau auf dem Gerät des Senders und nicht auf dem Gerät des Empfängers erstellt. Machen WhatsApp, Wire und iMessage auch so.
Bist du sicher bei WhatsApp? Das ist mir neu, danke für den Hinweis.
Bei Telegram bin ich mir zumindest ziemlich sicher, dass die Vorschau auf dem Endgerät generiert wird.
Wenn die Vorschau mitgeschickt wird, eröffnet das zudem einen Angriffsvektor: Der Sender eines Phishing-Links kann die Vorschau so fälschen, dass es nach einer legitimen Website aussieht, wenn man draufklickt landet man aber ganz woanders.
Beiträge: 564
Themen: 10
Registriert seit: Dec 2016
Bewertung:
26
11.02.2019., 13:38
(Dieser Beitrag wurde zuletzt bearbeitet: 11.02.2019., 13:39 von schuschu.)
100% sicher bin ich mir nicht, Quellcode ist ja nicht öffentlich. Im Security Paper beschreiben sie auch nichts. Aber alle Berichte die ich dazu gefunden habe erwähnen dass die Previews lokal generiert werden. Auch tauchen die URLs der Linkpreviews nicht im DNS Log auf.
(11.02.2019., 13:08)dbrgn schrieb: Wenn die Vorschau mitgeschickt wird, eröffnet das zudem einen Angriffsvektor: Der Sender eines Phishing-Links kann die Vorschau so fälschen, dass es nach einer legitimen Website aussieht, wenn man draufklickt landet man aber ganz woanders.
Das versucht WhatsApp sogar zu verhindern: [font=system, -apple-system, system-ui, system-ui,]https://faq.whatsapp.com/en/iphone/26000173/?category=5245250[/font].
Ich kann mir aber kaum vorstellen, dass man den Linkpreview aber nicht die Webseite selbst fälschen würde.
Beiträge: 1.373
Themen: 59
Registriert seit: Oct 2014
Bewertung:
115
Das kannst du doch einfach mit einem eigenen Server ausprobieren und dann mal schauen, was da für User Agents und IPs ankommen…
Beiträge: 564
Themen: 10
Registriert seit: Dec 2016
Bewertung:
26
Beiträge: 6
Themen: 0
Registriert seit: Feb 2019
Bewertung:
0
(26.01.2019., 15:42)andyg schrieb: Sehe ich genauso. Und ich selbst werde Threema auch treu bleiben, weil ich Threema mag. Und weil Threema lange der Vorreiter im Bereich verschlüsselte Messenger war, die auch Spaß machen. Also quasi das "Apple" unter den Kryptomessengern . Aber die (gratis-)Konkurrenz holt auf, der Abstand schwindet... Und von daher interessiere ich mich sehr dafür, wie man Threema weiter gut "bewerben" kann...
Genau! Und das soll auch so bleiben!
Andy
Crixus schrieb: Ich möchte mit meinem Nutzen von Threema u. a. ausdrücken, dass ich Unternehmen unterstütze, die nachhaltig wirtschaften und Wert auf Privatsphäre legen.
Jep, da ist was Wahres dran!
Die Konkurrenz wird immer stärker, mit immer mehr Features wie Video-Calling, Multi Device fähig etc.
Das Ganze dann auch noch gratis......
Signal, Wire usw.
Obwohl ich letztendlich einen dezentralen Standard in einem Messenger für die optimale Lösung halte, genauso wie es eben bei E-Mail, Jabber, Matrix auch gemacht wird, würde ich Threema auch weiterhin gerne nutzen, aber die Zeit läuft.....
Artikel vom 4.2018 nur so nebenbei:
https://www.golem.de/news/security-frank...34115.html
Beiträge: 239
Themen: 11
Registriert seit: Dec 2016
Bewertung:
25
13.02.2019., 14:28
(Dieser Beitrag wurde zuletzt bearbeitet: 13.02.2019., 14:29 von stefan81.)
Laut Medienberichten können WhatsApp-User bald besser steuern, von wem sie zu einer Gruppe hinzugefügt werden können.
Quelle: https://stadt-bremerhaven.de/whatsapp-ba...egen-darf/
Die teils etwas rudimentär vorhandenen Gruppenfunktionen halte ich bei Threema für eine der gefährlichsten Achillesfersen (nur ein Admin, keine Zustellbestätigungen, keine Gruppenanrufe, keine Beschreibungstexte, keine Einladungslinks, etc.).
Obwohl Threema nach wie vor mein Lieblingsmessenger ist würde ich mir speziell für Gruppen schon ein paar sinnvolle Innovationen wünschen.
Beiträge: 564
Themen: 10
Registriert seit: Dec 2016
Bewertung:
26
13.02.2019., 14:38
(Dieser Beitrag wurde zuletzt bearbeitet: 13.02.2019., 14:39 von schuschu.)
Der gute Caschy könnte die Quelle angeben, die Info kommt nämlich von https://wabetainfo.com/whatsapp-is-devel...on-system/
Gruppen sind bei WhatsApp mittlerweile ziemlich brauchbar und ist auch was viele Menschen davon abhält zu wechseln.
(13.02.2019., 14:28)stefan81 schrieb: Die teils etwas rudimentär vorhandenen Gruppenfunktionen halte ich bei Threema für eine der gefährlichsten Achillesfersen (nur ein Admin, keine Zustellbestätigungen, keine Gruppenanrufe, keine Beschreibungstexte, keine Einladungslinks, etc.).
Wenn Threema das umsetzen würde wäre natürlich super, aber das Jahr ist ja noch Jung.
Beiträge: 1.143
Themen: 22
Registriert seit: May 2016
Bewertung:
49
13.02.2019., 14:44
(Dieser Beitrag wurde zuletzt bearbeitet: 13.02.2019., 14:48 von Miaz.)
Gruppenanrufe, genauer Nachrichtenstatus und Adminübertragung würde ich auch gerne mitnehmen ...
Der große Vorteil bei Threema ist aber eben, dass die Gruppen dezentral gespeichert sind. Da kommt WhatsApp nicht mit. Das wollen sie sicher auch nicht.
Getapatalked mit S7
|