Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Threema Safe
#16
(07.12.2018., 10:08)andyg schrieb: vielen Kandidaten [...] nach 3 Jahren[...] keine Ahnung mehr haben werden, was sie damals gleich wieder für ein Passwort gesetzt hatten

Das können wir als Freunde, Bekannte, ... und auch Threema nicht ändern oder noch weiter verbessern.
Ich bin etwas perplex darüber, warum denn aber mit Einführung von ThreemaSafe die Android-Backup-Funktion entfernt wurde. Auch wenn die Leute ihr Threema-Backup-Kennwort vergessen, das für ihre Anmeldung bei Google kennen sie bestimmt eher und dann die Möglichkeit, das Backup aus Google Drive wiederherzustellen war doch auch ein schöner Weg. Zwar hat bei mir das Android-Backup nur ca. alle 2-3 Wochen mal funktioniert, aber immerhin Lächeln

Und wenn jemand ein einfaches Kennwort (12345678 oder QWERTZUI - es müssen ja min. 8 Zeichen sein Aetsch) verwendet, dann ist es eben so. Ob Threema hier eine Prüfung hinterlegt hat, weiß ich nicht, habe es nicht getestet, meine es aber mal irgendwo hier gelesen zu haben. Ein Diebstahl wäre dann möglich durch eigene Leute (die die ID kennen) oder durch Zufall erraten. Nicht schön, aber man kann ja auch einen eigenen Server für sich und/oder Freunde etc. verwenden. Den müsste der zufallsfreudige Dieb erst einmal erraten.
Den Diebstahl der Identität kann man aber auch über Android-Backup mit Google Mailadresse + Kennwort (vllt ebenso 12345678?) begehen. Meines Erachtens nach ist das schon gut gemacht und ausreichend, wie der ThreemaSafe derzeit funktioniert.

(07.12.2018., 10:22)Crixus schrieb: Wird damit zukünftig das ID-Backup entfallen? Würde Sinn machen.

Ansonsten:
  • Das Passwort sollte min. acht Zeichen lang sein
  • Welchen WebDAV-Server nutzt Threema? Werden sie evtl. gar einen bereitstellen für die eigene Nutzung?

Das ID-Backup ist nicht mehr vorgeschrieben und es wird nicht extra hingewiesen, wenn man ThreemaSafe aktiviert hat.
Es ist dennoch möglich - nicht mehr über Meine Backups, aber über Meine ID.

Und ich finde, es sollte weiterhin erlaubt sein, denn nicht jeder möchte/kann seine ID auf (s)einem Server speichern, sondern exportiert kurzerhand nur die ID. Oder verwendet ein Datenbackup.

Passwort mindestens 8 Zeichen ist richtig. Wie zuvor geschrieben, vielleicht ist ja eine Prüfung enthalten, ob es Standardkennwörter sind, die verwendet wurden.

Welcher Server der "Standardserver (Threema)" ist, habe ich noch nicht prüfen können, denke aber mal er ist direkt von Threema bereitgestellt (so wie für den Nachrichtenversand, die ID-Verwaltung, ...).
Zitieren
#17
Hatte jetzt die Chance "Threema Safe" zu testen. Mir sind folgende Fehler aufgefallen:
  • Wenn man ein zu kurzes Passwort eingibt und dann in das "Passwortwiederholung"-Feld springt, überlagern sich die Texte "Passwort zu kurz" und "Passwortwiederholung". Siehe Screenshot -> http://oi65.tinypic.com/2py6r2c.jpg
  • Wenn man seinen Threema-Account mit Hilfe von Threema Safe wiederherstellt, wird nicht automatisch "Kontakte synchronisieren" durchgeführt. Weiß nicht, ob das so gewünscht ist, aber wenn das in den Einstellungen aktiviert ist nach der Wiederherstellung, sollte das initial einmal durchgeführt werden. Ansonsten sind etliche Kontakte rot in der Kontaktliste.
  • Ein sehr ärgerlicher Fehler: Wenn man im "Threema Safe wiederherstellen"-Menü die Option "Standardserver (Threema)" deaktiviert UND DANN wieder aktiviert, so steht "https://" im Feld für den eigenen Server (versteckt, da man ja "Standardserver (Threema)" wieder aktiviert hat). Jedenfalls funktioniert dann die Wiederherstellung nicht mehr, egal ob man ein richtiges oder falsches Passwort eintippt, kommt folgende Fehlermeldung: http://oi63.tinypic.com/15yg2sk.jpg
Zitieren
#18
Jetzt war ich doch zu neugierig und habe mir schnell ein Android-Gerät zugelegt - allerdings in "virtueller" Form des NOX-Players :-)

(07.12.2018., 11:31)Crixus schrieb: Wenn man ein zu kurzes Passwort eingibt und dann in das "Passwortwiederholung"-Feld springt, überlagern sich die Texte "Passwort zu kurz" und "Passwortwiederholung". Siehe Screenshot -> http://oi65.tinypic.com/2py6r2c.jpg
Ja, kann ich reproduzieren. Unschöner, wenngleich aber nicht tragischer, GUI-Fehler.
(07.12.2018., 11:31)Crixus schrieb: Ein sehr ärgerlicher Fehler: Wenn man im "Threema Safe wiederherstellen"-Menü die Option "Standardserver (Threema)" deaktiviert UND DANN wieder aktiviert, so steht "https://" im Feld für den eigenen Server (versteckt, da man ja "Standardserver (Threema)" wieder aktiviert hat). Jedenfalls funktioniert dann die Wiederherstellung nicht mehr, egal ob man ein richtiges oder falsches Passwort eintippt, kommt folgende Fehlermeldung: http://oi63.tinypic.com/15yg2sk.jpg
Auch das kann ich reproduzieren: nach Standardserver de- und dann wieder aktivieren ist zunächst kein Wiederherstellen mehr möglich.
Work-Around bis Bugfix: Hardware-"zurück"-Button betätigen und erneut Wiederherstellen wählen.

Andy
Zitieren
#19
Kommt Threema Safe auch für iOS?
Zitieren
#20
(07.12.2018., 10:31)jnL schrieb: Das können wir als Freunde, Bekannte, ... und auch Threema nicht ändern oder noch weiter verbessern.

Ja, das schaut wohl leider so aus... aber vergessene Safe-Passwörter werden in der Praxis wieder das Hauptproblem - und folglich die größe Frustquelle - darstellen, darauf würde ich jetzt schon wetten. Insbesondere selten benutzte Passwörter werden gerne vergessen, wenn sie nicht a) irgendwo notiert wurden (und noch auffindbar sind!), oder b) ein Standardpasswort sind...


(07.12.2018., 10:31)jnL schrieb: Und wenn jemand ein einfaches Kennwort (12345678 oder QWERTZUI - es müssen ja min. 8 Zeichen sein Aetsch) verwendet, dann ist es eben so. Ob Threema hier eine Prüfung hinterlegt hat, weiß ich nicht, habe es nicht getestet, meine es aber mal irgendwo hier gelesen zu haben.

Hier kommen wir zu einem weiteren Bug:

Das Passwort "12345678" wird zwar als "zu kurz" bezeichnet, wird aber anstandslos akzeptiert, wenn man es korrekt im Wiederholfeld einträgt. Das scheint im Übigen alle rein numerischen Passwörter zu betreffen: so ist auch "82376523165081650813643753673" angeblich zu kurz, wird aber bei korrekter Wiederholung dennoch gefressen.
Das Passwort "QWERTZUI" wird übigens auch akzeptiert.

Fazit: schlechte Passwörter scheinen nicht ausgesiebt zu werden.

Es scheint im Übrigen auch kein Limit der Wiederherstellungs-Versuche zu existieren: auch nach 10 absichtlichen Passwort-Fehleingaben konnte ich problemlos weiterprobieren. Um Brute-Force-Angriffe zu vermeiden fände ich es sehr sinnvoll, dass der Server ab der z.B. dritten Fehleingabe zu einer ID eine z.B. 3-minütige Zwangspause bis zum nächsten Wiederherstellungsversuch verlangt, die bei weiteren Fehleingaben immer länger wird. Das sollte ein simples Durchprobieren von Passwörtern durch einen Angreifer zumindest erschweren.

Was ich auch sinnvoll fände: es könnte auch eine Mitteilung an die betreffende ID gesendet werden, wenn ein Wiederherstellungsversuch stattfand (sei er nun erfolgreich oder nicht verlaufen) - dann bemerkt das Opfer vielleicht immerhin, dass sich da jemand zu schaffen macht...

Andy

(07.12.2018., 12:27)Crixus schrieb: Kommt Threema Safe auch für iOS?

Ja. Das schliesse ich aus dieser   Aussage, die sozusagen von höchster Stelle (Julia) kommt.

Die Frage ist nur, mit wie viel Verspätung die iOS-Version folgt. Hoffentlich nicht wieder über ein Jahr später wie beim Webclient...

Andy

(07.12.2018., 09:01)skdubg schrieb: Bisher fehlt eine Doku zur Einrichtung eines eigene Speichers, da bei der Einrichtung von Threema Safe lediglich ne URL/IP angegeben werden kann (derzeit).

Mit meiner Synology geht's nicht per WebDAV... die Fehlermeldung lässt aber stark vermuten, dass es an dem selbst unterschriebenen Zertifikat liegt...

Andy

(07.12.2018., 10:08)andyg schrieb: Wird das Backup automatisch Backup getriggert?  Sinnvoll wäre mMn ein automatisches Backup immer dann, wenn Gruppendefinitionen und/oder Verifikationsstatus geändert wurden.

Oder muss man das Backup manuell triggern?

Was ich bis jetzt hierzu herausgefunden habe:
  • das Erstellen/Löschen einer Gruppe triggert leider kein neues Safe-Backup (erkennbar an unveränderter Größe und am Zeitstempel des Safe-Backups).
  • Beenden der App leider auch nicht.
[Nachtrag]
Nach 10 Minuten habe ich nochmal nachgesehen: Update ist automatisch aktualisiert worden! Sieht mir nach einem Timer aus, der alle 15(?) Minuten den Updateprozess anstößt.

Andy
Zitieren
#21
Ich finde Threema Safe super. Chats zu sichern wäre zwar in der Theorie nett, aber hat zum Beispiel bei meinem WhatsApp nie zuverlässig funktioniert. Ausserdem wären wohl auch viele Nutzer nicht bereit für den Speicherplatz zu zahlen.
Zitieren
#22
Man könnte doch, wenn man Threema Safe mit einem eigenen Webserver nutzt, optional die Möglichkeit anbieten, ein komplettes Backup (mit oder ohne Medien), wie beim "Daten-Backup" auch, anbieten.
Zitieren
#23
(08.12.2018., 19:34)schuschu schrieb: Chats zu sichern wäre zwar in der Theorie nett, aber hat zum Beispiel bei meinem WhatsApp nie zuverlässig funktioniert.
Ja, das liest man ja immer wieder, dass Backups nicht erfolgreich erstellt und/oder wiederhergestellt werden können. Oder das es abartig lange dauert.
Daher mal eine Frage an die Experten: was ist eigentlich das technische Problem dahinter, dass es so schwer ist, ein Datenbackup zu erstellen? Letztlich ist es doch "bloß" ein Kopiervorgang, bei dem Medien und Nachrichten aus dem Threema-Dateibereich auf ein Ziel kopiert wird, das kann doch eigentlich nicht so schwer sein. Was übersehe ich?


Andy
Zitieren
#24
(08.12.2018., 22:05)Mogli schrieb: Man könnte doch, wenn man Threema Safe mit einem eigenen Webserver nutzt, optional die Möglichkeit anbieten, ein komplettes Backup (mit oder ohne Medien), wie beim "Daten-Backup" auch, anbieten.

Wird für das Datenbackup nicht die API von Google Drive benutzt?
Zitieren
#25
Letztlich finde ich es schon ganz okay so, dass die ganzen Nachrichten nicht mitgesichert werden. Sollte jemand zufällig das Passwort kennen/knacken, so hätte er Zugriff auf alle (vergangenen) Chats.
Zitieren
#26
(08.12.2018., 23:14)andyg schrieb: Ja, das liest man ja immer wieder, dass Backups nicht erfolgreich erstellt und/oder wiederhergestellt werden können. Oder das es abartig lange dauert.
Daher mal eine Frage an die Experten: was ist eigentlich das technische Problem dahinter, dass es so schwer ist, ein Datenbackup zu erstellen? Letztlich ist es doch "bloß" ein Kopiervorgang, bei dem Medien und Nachrichten aus dem Threema-Dateibereich auf ein Ziel kopiert wird, das kann doch eigentlich nicht so schwer sein. Was übersehe ich?

Ich habe gerade vorgestern mein Handy gewechselt und mein Threema (derzeit >4 GB Daten, ca. 100'000 Nachrichten gemäss Speichermanagement) mittels Datenbackup aufs neue Handy migriert. Das ging völlig problemlos und war in etwas mehr als 2 Stunden erledigt.

Aber ich sehe trotzdem verschiedene Probleme:

Das Erstellen eines solchen Backups dauert so seine Zeit. Daten müssen im grösseren Stil entschlüsselt und neu verschlüsselt werden. Heutige Handys schränken die Möglichkeit zur Aktivität im Hintergrund immer mehr ein, also muss das zwingend im Vordergrund laufen (ausser man benutzt irgendwelche proprietären Google-APIs).

Die Leute verschicken zum Teil 50MB grosse Videos. Das im RAM zu entschlüsseln, neu zu verschlüsseln und zu einem Zip hinzuzufügen ist auf einem Handy mit 768MB RAM (gibt's tatsächlich immer noch) schon eine riesige Herausforderung.

Dann muss die Zip-Datei wegkopiert werden und aufs neue Handy gebracht werden. Da scheitern schon einige User. Zum Beispiel wenn sie ein 4GB grosses Backup, auf die mit FAT32 formatierte SD-Karte kopieren. Denn dieses alte Windows-Dateisystem unterstützt maximal eine Dateigrösse von 4GB. So ist dann die Backup-Datei unvollständig bzw. defekt und kann nicht oder nicht vollständig wiederhergestellt werden.

Schliesslich muss man sich ein Passwort merken. Das kann auch schon eine Hürde sein Tränen lachen
Zitieren
#27
Wird zukünftig auch das Daten-Backup sowohl für Android als auch iOS funktionieren, oder gilt das nur für Threema Safe?
Zitieren
#28
(09.12.2018., 10:04)schuschu schrieb: Wird für das Datenbackup nicht die API von Google Drive benutzt?

Nein, das Datenbackup wird nur lokal auf dem Handy gespeichert.
Zitieren
#29
(09.12.2018., 17:14)Mogli schrieb: Nein, das Datenbackup wird nur lokal auf dem Handy gespeichert.

Ach du meinst das Offlinebackup. Sind das nicht völlig verschiedene Dinge?

(09.12.2018., 14:05)Crixus schrieb: Wird zukünftig auch das Daten-Backup sowohl für Android als auch iOS funktionieren, oder gilt das nur für Threema Safe?

Zum Datenbackup wurde bis jetzt nichts gesagt und das wird sich wohl auch nicht ändern. Zumal unter iOS ja gar kein Datenbackup existiert.

(09.12.2018., 11:59)Claus schrieb: Die Leute verschicken zum Teil 50MB grosse Videos. Das im RAM zu entschlüsseln, neu zu verschlüsseln und zu einem Zip hinzuzufügen ist auf einem Handy mit 768MB RAM (gibt's tatsächlich immer noch) schon eine riesige Herausforderung.

Könnte man anstatt einer grossen Zip-Datei, das Backup nicht als Liste von Nachrichten anlegen? Alle in einem bestimmten Zeitrum erhaltenen Nachrichten werden einzeln verschlüsselt zu einem bestimmten Zeitpunkt einfach an den Backupserver weitergeleitet. Etwas in der Art existiert ja bereits mit Threema Web.

Aber vielleicht sollte man die Backupspekulationen in einen anderen Thread verschieben.
Zitieren
#30
(07.12.2018., 12:40)andyg schrieb: Es scheint im Übrigen auch kein Limit der Wiederherstellungs-Versuche zu existieren: auch nach 10 absichtlichen Passwort-Fehleingaben konnte ich problemlos weiterprobieren. Um Brute-Force-Angriffe zu vermeiden fände ich es sehr sinnvoll, dass der Server ab der z.B. dritten Fehleingabe zu einer ID eine z.B. 3-minütige Zwangspause bis zum nächsten Wiederherstellungsversuch verlangt, die bei weiteren Fehleingaben immer länger wird. Das sollte ein simples Durchprobieren von Passwörtern durch einen Angreifer zumindest erschweren.

Was ich auch sinnvoll fände: es könnte auch eine Mitteilung an die betreffende ID gesendet werden, wenn ein Wiederherstellungsversuch stattfand (sei er nun erfolgreich oder nicht verlaufen) - dann bemerkt das Opfer vielleicht immerhin, dass sich da jemand zu schaffen macht...

Eines der Grundprinzipien von Threema ist Metadatensparsamkeit, daher sind die Backups anonym: Threema weiss nicht, von wem / von welcher ID ein Backup erstellt wurde. Mir ist bisher keine andere Chat-App bekannt, die eine solche Funktion anbietet, in der Regel kann ein Online-Backup (wenn es überhaupt verschlüsselt ist) immer zum User zurückverfolgt werden. Das eröffnet natürlich auch Missbrauchspotential.

Die Anonymität führt aber leider auch dazu, dass eine Benachrichtigung der ID bei Restore-Versuchen technisch nicht möglich ist. Genauso kann man auch keine Restore-Versuche pro ID rate-limiten. IP basierte Limits existieren, allerdings muss man die hoch ansetzen, da sich bei Mobilfunkanbietern und DS-Lite häufig tausende User die selbe IP teilen.
Zitieren