Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung kannst du eine Supportanfrage stellen: Jetzt Frage stellen


Threema-Sicherheit
#31
(13.07.2017., 18:02)Crixus schrieb: Klar, man kann es selbst hosten. Aber das machen 99 % nicht. Ich auch nicht, weil ich keinen Bock darauf habe, mir hunderte von MB an Abhängigkeiten zu installieren (npm etc.) Demzufolge hoffe ich, dass hier relativ bald eine andere Lösung gefunden wird (z. B. Electron).

Falls wirklich npm die Hürde war, kannst du nun ganz einfach self-hosten: Wir haben für das neuste Release einen fertigen Build hochgeladen.

https://github.com/threema-ch/threema-we...tag/v1.4.0

Es reicht, wenn du das Archiv auf einem normalen statischen Webserver entpackst und im Browser aufrufst. HTTPS ist allerdings notwendig.
Zitieren
#32
Na, das ist doch schon mal ein Schritt in die richtige Richtung. Lächeln Top! 

Aber wegen dem Webserver und HTTPS muss ich mal nachfragen:
Habe die tar-Datei entpackt und einfach index.html im Browser aufgerufen. Hat soweit funktioniert, ohne Webserver oder HTTPS. Einfach nur
Code:
file:///home/username/Downloads/threema-web-1.4.0-gh/index.html


Bin jetzt etwas irritiert.
Zitieren
#33
Ja, grundsätzlich braucht es keinen Webserver, aber soweit ich mich erinnere, erlauben einige Browser kein WebRTC auf localhost und/oder auf File-URLs. Wenn es für dich so funktionert, dann umso besser Lächeln

Threema Web auf einem öffentlichen Webserver ohne HTTPS hingegen würde massiv weniger Sicherheit bieten als einfach https://web.threema.ch/ zu nutzen.
Zitieren
#34
Darf ich fragen, warum HTTPS auf dem Webserver notwendig ist, vorausgesetzt der Webserver läuft nur lokal?

Edit: Also wenn ich das jetzt richtig verstanden habe @dbrgn:
1. Am besten einfach normale index.html lokal aufrufen, wie oben geschehen
2. Wenn das nicht funktioniert, lokal einen Webserver einrichten, der die Seiten ausliefert (HTTPS nicht notwendig)
3. Alternativ die Seite auf öffentlichen Webserver laden, dann aber mit HTTPS

Richtig so?
Zitieren
#35
(20.07.2017., 11:13)Crixus schrieb: Darf ich fragen, warum HTTPS auf dem Webserver notwendig ist, vorausgesetzt der Webserver läuft nur lokal?

Habe meine Antwort in der Zwischenzeit noch ergänzt, hat sich mit deiner Frage gekreuzt.

- Auf dem *lokalen* Gerät ist HTTPS nicht notwendig, sofern der Browser dies nicht für WebRTC-Verbindungen voraussetzt.
- Wenn man sich jedoch über das *Netzwerk* auf Threema Web verbindet, sollte die Verbindung aus Sicherheitsgründen immer HTTPS-gesichert sein.

Je nach Browser ist es möglich, dass Threema Web nur eingeschränkt funktioniert wenn es über file: //-URLs aufgerufen wird.

(20.07.2017., 11:13)Crixus schrieb: Edit: Also wenn ich das jetzt richtig verstanden habe @dbrgn:
1. Am besten einfach normale index.html lokal aufrufen, wie oben geschehen
2. Wenn das nicht funktioniert, lokal einen Webserver einrichten, der die Seiten ausliefert (HTTPS nicht notwendig)
3. Alternativ die Seite auf öffentlichen Webserver laden, dann aber mit HTTPS

Richtig so?

Ja, ich denke schon.
Zitieren
#36
Also unter Firefox scheint soweit alles zu funktionieren. Eventuell können ja noch ein paar andere hier testen! Lächeln
Zitieren
#37
(20.07.2017., 11:20)Crixus schrieb: Also unter Firefox scheint soweit alles zu funktionieren. Eventuell können ja noch ein paar andere hier testen! Lächeln

Ohne Webserver (via file: //):

- Mit Chrome / Chromium lädt die Seite nicht, da Chrome keine Cross-Origin-Requests von file: //-URLs zulässt.
- Unter Firefox funktioniert das Aufwecken einer gespeicherten Sitzung nicht, da Firefox bei file: //-URLs keinen Origin-Header setzt

Ein Webserver ist deshalb also empfehlenswert. Unter Linux kannst du mit "python3 -m http.server" im aktuellen Directory einen solchen Server starten. Für Windows gibt es Lösungen wie Moongoose, das müsste mit einem Doppelklick im Threema-Web Directory ohne weitere Konfiguration bereits laufen. Habe Moongoose selber aber noch nie getestet.
Zitieren
#38
Mh, schade. Wäre auch zu schön gewesen, wenn das alles reibungslos klappt. Grinsen 

Für die Massen ist das auf jeden Fall keine Lösung, aber immerhin.
Zitieren
#39
(20.07.2017., 12:45)Crixus schrieb: Für die Massen ist das auf jeden Fall keine Lösung, aber immerhin.

Für die Massen ist https://web.threema.ch/ die Lösung, da sie auch keine Signaturen von irgendwelchen Downloads überprüfen würden Lächeln
Zitieren
#40
Interessanter Bericht bzgl. der Sicherheit von Gruppenchats in Signal, WhatsApp und Threema:
https://web-in-security.blogspot.de/2017...s-and.html
https://eprint.iacr.org/2017/713.pdf

Zitat:Limitations of Threema

Ordering. Messages received by the application are ordered by the receiving time. The sending time is additionally not protected on the end-to-end layer. Therefore the server provider can reorder messages arbitrarily during the transmission.
Agreement. Threema does not implement an algorithm for providing agreement as Signal does not. Consequently the server provider and members can cause inconsistency of messages. The member set is managed by the administrator who can inconsistently provide a view on it to the members.
Additional Information Leakage. When a user in Threema sends a message to a group of which she is not a member, this message is not accepted by its members. In order to indicate this non-member status, the group administrator starts the group update protocol and sends both the set of members and the title to this user in response. A user who left the group or who was removed from the group can thereby keep informed about the group’s management information. This weakness was also fixed in Threema version 3.14.
Zitieren
#41
(28.07.2017., 10:50)Crixus schrieb: Interessanter Bericht bzgl. der Sicherheit von Gruppenchats in Signal, WhatsApp und Threema:
https://web-in-security.blogspot.de/2017...s-and.html
https://eprint.iacr.org/2017/713.pdf

Interessant sind vor allem die Reaktionen:

"As described earlier, Threema updated their application in response to our responsible disclosure. Consequently No Duplication, No Creation, and Closeness are not attackable anymore." (Die Korrektur ist in Version 3.14 bereits drin).

"Moxie Marlinspike responded that Signal is working on an entirely new group mechanism that we should be deploying soon"

"WhatsApp did not hold out the prospect of fixing the described vulnerabilities."
Zitieren
#42

Schade nur, dass Threema die Nutzer nicht informiert hat, weder über die Lücken, noch über deren fixes im 3.14 Update (zumindest ein "sicherheitsrelevante Fehlerbehebungen" anstatt nur "diverse Fehlerbehebungen" im Changelog wären "nett" gewesen)

EDIT: Es steht eh im Changelog, habe ich übersehen, mein Fehler
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
Lightbulb Umfrage zur Sicherheit von Instant Messaging Matze26 8 1.321 26.08.2016., 14:36
Letzter Beitrag: Matze26
  Gruppenchat: Sicherheit bei neuem Mitglied? Klaastropf 3 2.286 22.11.2015., 22:27
Letzter Beitrag: Klaastropf