Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Threema Safe mit Nextcloud nutzen
#61
(05.02.2019., 20:15)mibere schrieb: Nach einer Autorisierung über Benutzer + PW kann die Synchronisation über Http stattfinden.
...
Es gibt keinen Sicherheitsaspekt den Threema hier ausführen kann der der diesen Vorgang hier bekräftigt.
...
Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.

Sehr schön, Threema Halbherzigkeit und Inkompetenz vorwerfen ohne selber sich mit der Funktionsweise von Threema Safe auseinanderzusetzen?

Threema versucht im Hintergrund regelmässig (mind. 1 mal am Tag) das Backup auf den Server zu laden. Hier mal zwei Beispiele, die einfach möglich werden wenn du kein HTTPS verwendest:

1. Du nutzt einen lokalen Server unter http://192.168.1.100/ mit Basic Authentication (die von dir erwähnte Absicherung über Benutzer + PW). Benutzer und Passwort werden via HTTP Header übertragen. Wenn du nun im Café-WLAN eingeloggt bist, wird dein Benutzername und dein Passwort im Plaintext durchs Netz gesendet und kann vom Betreiber (und in einem offenen WLAN von allen anderen Gästen) mitgelesen werden.
2. Du konfigurierst http://192.168.1.100/ als Backup-Server. Du bist im Café-WLAN eingeloggt. Der Betreiber kann nun - wenn er möchte - den Request auf /config erkennen und weiss nun - da keine Verschlüsselung verwendet wird - dass dies ein Threema Backup-Request ist. Wenn er nun einen WebDAV-Server auf dieser IP startet, schickt ihm deine App bereitwillig das Backup.

Natürlich kann man sagen, dass das egal ist, da verschlüsselt. Aber mit dem Argument könnte man auch gleich direkt bei Threema hosten. Es geht nicht nur im Autorisierung, sondern auch um Authentisierung.
Zitieren
#62
(05.02.2019., 20:15)mibere schrieb: Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.

Bei Android ist ab API 28 TLS obligatorisch. Unverschlüsselte HTTP-Verbindungen sind nicht mehr zugelassen, ausser der Entwickler hat den Server, zu dem er eine HTTP-Verbindung aufbauen möchte, in network_security_config.xml angegeben. Damit ist es also gar nicht möglich, zu Adressen, die erst zur Laufzeit bekannt sind eine unverschlüsselte Verbindung aufzubauen.


Manchmal muss man die User vor ihrer eigenen Dummheit schützen. Google macht das meiner Meinung nach bei Android richtig.
Zitieren
#63
(05.02.2019., 19:51)DerBär schrieb: Aber öffnet Threema da nicht eine Sicherheitslücke wenn selbst signierte Zertifikat zugelassen werden? Hmm. Du kannst doch den Backupordner von Threema autom. mit einer App sychronisieren lassen, ist doch genau so gut und schnell.

Unter iOS kansnt du das vergessen.
Du kommst du an die App Struktur der Verzeichnisse nicht heran.
Somit keine Synchronisation der App Verzeichnisse.
Man konnte daher bei einem Wechsel von Android auf iOS nur mit dem ID Backup arbeiten.

(05.02.2019., 20:15)mibere schrieb: Wenn ich einen lokalen Server (WebDAV auf einem Rechner in meinem Heimnetzwerk) verwenden will, kann ich ohne jegliche Bedenken vollständig auf HTTPS verzichten. Einfach nur ohne nennenswerten Aufwand eine Datei wo ablegen, und gut ist. Man kann es auch übertreiben.

Klar, wenn ich etwas übers Internet wo hinschieben will, ist das ein anderes Thema, da will ich natürlich HTTPS zwingend verwenden.

Meiner Meinung nach ist die jetzige Umsetzung am Privatanwender vorbei entwickelt.

Sehe ich leider nach wie vor genauso.

(05.02.2019., 20:56)dbrgn schrieb: Sehr schön, Threema Halbherzigkeit und Inkompetenz vorwerfen ohne selber sich mit der Funktionsweise von Threema Safe auseinanderzusetzen?

Threema versucht im Hintergrund regelmässig (mind. 1 mal am Tag) das Backup auf den Server zu laden. Hier mal zwei Beispiele, die einfach möglich werden wenn du kein HTTPS verwendest:

1. Du nutzt einen lokalen Server unter http://192.168.1.100/ mit Basic Authentication (die von dir erwähnte Absicherung über Benutzer + PW). Benutzer und Passwort werden via HTTP Header übertragen. Wenn du nun im Café-WLAN eingeloggt bist, wird dein Benutzername und dein Passwort im Plaintext durchs Netz gesendet und kann vom Betreiber (und in einem offenen WLAN von allen anderen Gästen) mitgelesen werden.
2. Du konfigurierst http://192.168.1.100/ als Backup-Server. Du bist im Café-WLAN eingeloggt. Der Betreiber kann nun - wenn er möchte - den Request auf /config erkennen und weiss nun - da keine Verschlüsselung verwendet wird - dass dies ein Threema Backup-Request ist. Wenn er nun einen WebDAV-Server auf dieser IP startet, schickt ihm deine App bereitwillig das Backup.

Natürlich kann man sagen, dass das egal ist, da verschlüsselt. Aber mit dem Argument könnte man auch gleich direkt bei Threema hosten. Es geht nicht nur im Autorisierung, sondern auch um Authentisierung.

-- Threema versucht im Hintergrund regelmässig..... :

Dies hätte man via Implementierung steuern können. Daher ein weiterer Grund für halbherzig.
Hier hätte man eine Funktion " Manuell " als Alternative für Push einbauen können.

zu Punkt 1:
Der gleiche Einwand wie oben. Stünde die Funktion zur Verfügung würde keiner auf die Idee kommen, über einen öffentlichen AP seine Daten ins eigene private Netzwerk zu senden. Wie denn auch... es ist ja nicht verfügbar.

zu Punkt 2:
..... manuelle Übertragung und schon wird nichts im Hintergrund übertragen oder angefragt.

(05.02.2019., 22:04)Claus schrieb: Bei Android ist ab API 28 TLS obligatorisch. Unverschlüsselte HTTP-Verbindungen sind nicht mehr zugelassen, ausser der Entwickler hat den Server, zu dem er eine HTTP-Verbindung aufbauen möchte, in network_security_config.xml angegeben. Damit ist es also gar nicht möglich, zu Adressen, die erst zur Laufzeit bekannt sind eine unverschlüsselte Verbindung aufzubauen.


Manchmal muss man die User vor ihrer eigenen Dummheit schützen. Google macht das meiner Meinung nach bei Android richtig.

War das jetzt auf Threema bezogen ?
Ich kann auf meinem alten Note 4 ( ab und zu mal rausgeholt) mit Android 6.1 noch im LAN über http synchronisieren.
Meine Aufgaben und Termine werden so über das NAS synchronisiert.
.....im übrigen manuell wenn ich es starten möchte.
Also läuft das bei mehreren Apps noch genauso.

Ich bin ansonsten immer mit iOS unterwegs aber ab und an synchronisiere ich mein Note 4 noch ;-) .
Zitieren
#64
Ich drück' dir die Daumen, dass du nicht aus Versehen mal in irgendeinem fremden Netz auf "manuell synchronisieren" drückst. Ich hoffe du verstehst, dass das für Threema keine Option ist. Mal völlig davon abgesehen, was API Level 28 voraussetzt.
Zitieren
#65
(05.02.2019., 19:12)mibere schrieb: Seit gerade läuft auf meinem Mac ein WebDAV-Server. Nur im lokalen/heimischen Netz erreichbar, HTTPS (selbst-signiertes Zertifikat) und Benutzeranmeldung aktiviert.
Sollte ich diesen nun nicht mit Threema Safe verwenden können, so ist Threema Safe für mich ohne Nutzen und diesbzgl. für mich eine Fehlentwicklung. Ein schlechter Witz, wenn tatsächlich nur ein Server verwendet werden kann, der online erreichbar ist.

Das Problem geht schon beim selbst signierten Zertifikat los.
Hab es eben auch noch einmal probiert.
Zugriff über eine https Verbindung (selbst-signiertes Zertifikat)..... Threema bockt sofort herum das dieses Zertifikat ungültig sei und damit wird der Vorgang abgebrochen.
Für mich wirklich ein Schuß in den Ofen.

Man hätte hier ebenso nach de Warnmeldung optinal die Möglichkeit lassen sollen die Daten zu übertagen oder den Vorgang abzubrechen.
Nicht aber das eine App mir das explizit vorschreibt.
Gerade für iOS User die an das Backupverzeichnis nicht so heran kommen wie ein Android User, wäre der Safe eine wunderbare Gelegenheit Daten im eigenem Netzwerk zu synchronisieren.
Ab nein, man muss ja den Anwender gängeln......vielen Dank Threema.
Aber iOS User mussten ja bisher schon immer in die Röhre gucken. Böse

(05.02.2019., 23:23)lgrahl schrieb: Ich drück' dir die Daumen, dass du nicht aus Versehen mal in irgendeinem fremden Netz auf "manuell synchronisieren" drückst. Ich hoffe du verstehst, dass das für Threema keine Option ist. Mal völlig davon abgesehen, was API Level 28 voraussetzt.

Warum auch sollte man das machen?.... Wer sein privates Netzwerk kennt, wird niemals auf den Gedanken kommen!
Wer sich damit nicht auseinder setzt, nutzt die Safe Version nicht oder nimmt wenn, gleich die Threema Cloud Variante.
Von daher ist das subjektiv für mich keine Entschuldigung.
Daher nach der Warnung eine Option " Daten trotzdem senden " oder " Abbrechen "
Aber nicht den Weg den Threema hier einschlägt.

Mal so ganz nebenbei....

Müsste Threema GmbH sofern man den Threema Server verwendet, nicht mit jedem Nutzer einen Auftragsverarbeitungs-Vertrag laut DSGVO abschließen ?
Hier werden doch personenbezogene Daten an Threema GmbH übergeben.
Das die Übertragung verschlüsselt und die Daten anonymisiert werden, ist ja gut und schön, trotzem bleibt es beim dem Inhalt der Daten.
Fällt mir gerade mal so ein.
Zitieren
#66
(05.02.2019., 23:29)N3misis schrieb: Müsste Threema GmbH sofern man den Threema Server verwendet, nicht mit jedem Nutzer einen Auftragsverarbeitungs-Vertrag laut DSGVO abschließen ?
Hier werden doch personenbezogene Daten an Threema GmbH übergeben.

Nein. Es handelt sich um Datenmüll, bei dem kein Personenbezug hergestellt werden kann. Nicht mal die Threema-ID ist dem Server-Betreiber bekannt.
Sonst müsstest du mit jedem Internet-Provider der Welt einen Auftragsverarbeitungs-Vertrag abschliessen...

(05.02.2019., 22:47)N3misis schrieb: Ich kann auf meinem alten Note 4 ( ab und zu mal rausgeholt) mit Android 6.1 noch im LAN über http synchronisieren.

Es war die Rede von API 28. Das ist Android 9 und nicht 6.1. Es geht übrigens darum, für welche API eine App getargeted wird.

"If your app targets Android 9 or higher, the isCleartextTrafficPermitted() method returns false by default. If your app needs to enable cleartext for specific domains, you must explicitly set cleartextTrafficPermitted to true for those domains in your app's Network Security Configuration".

Quelle: https://developer.android.com/about/vers...changes-28

Ganz abgesehen davon finde ich die Diskussion eh müssig. Wer es im Jahr 2019 nicht zustande bringt, seinen Server mit einem gültigen Zertifikat abzusichern, sollte sowieso lieber die Finger von solchen Dingen lassen und sich einem anderen, gefahrloseren Hobby zuwenden. Zum Beispiel Modelleisenbahnen.
Zitieren
#67
(05.02.2019., 23:29)N3misis schrieb: Zugriff über eine https Verbindung (selbst-signiertes Zertifikat)..... Threema bockt sofort herum das dieses Zertifikat ungültig sei und damit wird der Vorgang abgebrochen.

Hast du es als Zertifikat in iOS hinzugefügt? Wenn ja, klappt es im Browser? Wenn ja, hast du dich beim Support gemeldet?
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Threema Safe: "User Agent Validation" mibere 3 417 10.02.2019., 20:54
Letzter Beitrag: rugk
  Sekurŝranko: Threema Safe Backup-Server dbrgn 1 657 14.12.2018., 14:05
Letzter Beitrag: rugk
  Threema am PC nutzen [RemixOS] m0Do. 3 3.125 19.09.2016., 18:22
Letzter Beitrag: andyg
  Threema vom PC aus nutzen MrExtremeSwiss 39 49.685 06.08.2016., 14:48
Letzter Beitrag: lgrahl