Was evtl. noch praktisch ist, wäre die Funktion „Teilen mit allen, außer...“
[Android] Threema 3.14.2000352 (nun mit optionalem Profilbild)
Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
-
-
Was m.E. das ganze noch perfektionieren und die Privatsphäre noch einmal deutlich erhöhen würde, wenn man für jeden einzelnen Kontakt und für jede Gruppe explizit ein eigenes Profilbild bestimmen könnte.
-
In dieser Version steht ja im Changelog u. a. Sicherheit: Erkennen von Nachrichten-Duplikaten verbessert.
Ich glaube, dass der folgende Teil vom Whitepaper noch nicht all zu lange dort steht, könne also das hier sein:Zitat
Replay Prevention
The Threema app remembers the nonce of every message that has been sent in the past, and rejects messages
with duplicate nonces. Since the server cannot successfully modify the nonce of a message without knowing
the private key of one of the parties involved in the communication, this prevents a malicious server from replay-
ing/duplicating previously sent messages.Das wird dann mit der Zeit aber auch 'ne ganz schön große Datenmenge, oder?
So viel ich weiß ist die Nonce 24 Byte groß (korrigiert mich, wenn ich falsch liege). Ein Power-User bekommt am Tag bestimmt 50 Nachrichten, insbesondere bei vielen Gruppenchats. Das sind nach drei Jahren grob gerechnet 1,3 MB.Interessehalber: Gibt es für das Problem nicht irgendeine elegantere Lösung? Wie machen das andere Messenger?
By the way: Müsste es nicht heißen The Threema app remembers the nonce of every message that has been received in the past?
-
Gute Entdeckung! Das stimmt sicherlich, und 1,3 MB sind doch gar nichts für 3 Jahre Nachrichtenempfang. Wenn der Nutzer die Inhalte der Nachrichten speichert (und selbst, wenn es nur Textnachrichten sind) hat er doch ein Vielfaches an Speicherverbrauch.
-
Mich würde interessieren, ob und wie andere Messenger das machen, z. B. Signal. Weiß das hier jemand?
Und, wie geschrieben, müsste es nicht heißen that has been RECEIVED in the past? Oder verstehe ich das evtl. falsch?
-
Mich würde interessieren, ob und wie andere Messenger das machen, z. B. Signal. Weiß das hier jemand?Na die machen das sicher ähnlich. Müsste man jetzt in die Details schauen, die haben ja ein ganz anderes Protokoll.
Und, wie geschrieben, müsste es nicht heißen that has been RECEIVED in the past? Oder verstehe ich das evtl. falsch?Naja oder eben "sent [by someone else]"…
Kommt ja aufs gleiche heraus… -
Übrigens zu der gefixten Sicherheitslücke sind die Details heraus – bei Signal und v.a. WhatsApp war sie sehr viel gravierender: https://threema-forum.de/thread-3687-post-35732.html
-