App installieren
How to install the app on iOS
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature may not be available in some browsers.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
WhatsApp Alternative
- Ersteller Aqua
- Erstellt am
Ich bin derzeit auch dabei mich um Whatsapp-Alternativen zu kümmern. Die wohl vielversprechendsten sind Threema, Telegram und (weil es bisher noch nicht genannt worden ist): Kakaotalk.
Verschlüsselung ist mir sowieso (wie vielen hier) wichtig - nun ja... dies bieten alle drei. Weil es auch noch nicht genannt worden ist: Telegram wird demnächst auch eine offizielle Windows Mobile Phone App kriegen - bisher nur über Migram möglich.
Verschlüsselung ist mir sowieso (wie vielen hier) wichtig - nun ja... dies bieten alle drei. Weil es auch noch nicht genannt worden ist: Telegram wird demnächst auch eine offizielle Windows Mobile Phone App kriegen - bisher nur über Migram möglich.
Markus Everson
Grand Admiral Special
Wurde in dem Test erwähnt bis wieviel Grad WhatsUp noch funktioniert und ab wievielen Stunden Ermüdungserscheinungen bei Thema auftauchten? Weil - das ist für Stiftung Rentnertest das wichtigste und einzig bekannte Kriterium. Wenn man es nicht gegen die Wand klatschen, unter Strom setzen oder auf ein Rüttelsieb setzen kann dann können die Kalkleisten des ausgehenden 18.ten Jahrhunderts einfach nichts mit einem Produkt anfangen.
G
Gast03032015
Guest
Kurztest von Stiftung Warentest - vielleicht interessiert's den ein oder anderen.
Ich für meinen Teil bin komplett zu Threema gewechselt.
Gruß,
Ritschie
Unterschreibjk779 schrieb am 26.02.2014 um 22:09 Uhr:
Unglaublich unprofessioneller Artikel
Ich bin empört, dass Sie hiermit eine Welle pro Threema auslösen (werden), was lt. Ihres "Tests" als einziges sicher sein soll.
Nein, das ist es nicht! Zu jeder Zeit kann Threema den privaten Schlüssel des Nutzers verschlüsselt an sich selbst übertragen. Davon können Ihre Tester _nichts_ merken. Und wenn der private Schlüssel weg ist, ist die Verschlüsselung nutzlos.
Auf kostenlose Open Source-Alternativen ausserhalb von obskuren Russland-Servern (Telegram) gehen Sie nicht ein! Wieso? Bekommen Sie Geld vom Threema Entwickler? Umsatzbeteidigung?
Es gibt da noch: TextSecure, ChatSecure, myenigma, surespot um nur einige bekannte zu nennen.
Das ist einfach nur fahrlässig. Golem zitiert Sie hier schon und meine Social Media-Kanäle werden mit diesem Artikel geflutet. Sie sollten sich schämen, so schlecht zu recherchieren, gerade, weil viele Menschen denken, man könne Ihnen vertrauen.
Ich bin einfach fassungslos.
Onkel Homie
Gesperrt
- Mitglied seit
- 26.03.2003
- Beiträge
- 15.842
- Renomée
- 390
- Standort
- Dortmund
- Aktuelle Projekte
- Spinhenge, SIMAP, QMC, POEM
- Lieblingsprojekt
- Spinhenge
- Meine Systeme
- C2D E8400 @3,8GHz
- BOINC-Statistiken
- Mein Laptop
- Lenovo TP Edge 13 NV122GE, Thinkpad R60 9461-DXG T5600 2GB
- Prozessor
- i7-3770k
- Mainboard
- Asrock Z77 Extreme 4
- Kühlung
- Thermalright Macho 120
- Speicher
- Kingston 1600 CL9 4x4096
- Grafikprozessor
- GTX 770 4096
- Display
- Dell U2713HM, Samsung 226BW
- HDD
- 1 x Samsung 840 Pro SSD, 2 x WD10EZEX 1 TB Raid 1
- Soundkarte
- Realtek onboard
- Gehäuse
- Nanoxia Deep Silence 2
- Netzteil
- beQuiet Straight Power E9 580W
- Betriebssystem
- Windows 8.1 Pro 64, Windows 7 Pro 64, Xubuntu 14.04
- Webbrowser
- Chrome
- Verschiedenes
- NAS: Synology DS214play; Kamera: Nikon D7100, Nexus 7 2013
So sehr ich auch was gegen Stiftung Warentest habe und die grundlegende Meinung das sie bei dem Test nicht gerade glanzvoll davon kommen (wie in nahezu allen Technik Bereichen) so ist hier der Gag an der Sache für mich:
Wenn Threema den Schlüssel mit übertragen würde, dann wird es auch sofort bemerkt.
Denn es gibt sicher genügen Leute die da täglich bzw. bei jedem Patch genau mitloggen was da ggf. Neues übertragen wird.
Es ist dazu ja auch möglich sich mit 2 Devices hinzusetzen und dann mittels der beiden Schlüssel die man damit hat, selber mal zu gucken was rausgeht und was wieder reinkommt. Ganz zu schweigen von Hashes um mal zu gucken ob da was verändert wird.
Noch dazu wird seitens Threema halt aktuell serverseitig so gut wie nix gespeichert.
Ergo bringt Ihnen dann auch irgendwann der private Schlüssel, wenn dann, nur recht kurz was. Bis dann der Skandal bekannt wird.
Von daher ganz banal gesagt: wenn Threema da Mist machen würde, wäre es schon bekannt. Wenn sie es irgendwann machen werden, wird es auch schnell bekannt werden.
Bei allem Verständnis für das Verlangen nach oss muss ich echt sagen dass es irgendwann doch ein Bisschen weit geht.
Als wäre oss immer der totale Allheilsbringer nur weil man sich da alles angucken kann.
Auch da kann keiner den Betreiber daran hindern irgendwann mehr zu übertragen als nötig.
Zudem wird beim Beispiel Telegram halt noch dazu ein unsicherer Algorithmus eingesetzt.
Für mich persönlich ist da eher noch ein wichtiges Argument, dass Threema was kostet und Telegram und Konsorten nicht.
Ja ich weiß Ubuntu ist auch kostenlos. Da würde ich mich auch mal informieren wie sich das so finanziert. Da kommt auch nicht alles von Shuttleworth und es soll sich irgendwann auch mal selber tragen können. So wird es bei einem Messenger auch sein. Da werden doch nicht aus Lust und Laune dicke Server hingestellt damit einige Millionen Menschen in Echtzeit kommunizieren können. Irgendwann will man da mal Geld sehen. Sei es durch Werbung, Gebühren, Datenverkauf oder den Verkauf des Dienstes an sich.
Wie gesagt, eure Bedenken und den Kampf für oss in allen Ehren, aber ich finde hier geht es doch etwas zu weit.
Wenn Threema den Schlüssel mit übertragen würde, dann wird es auch sofort bemerkt.
Denn es gibt sicher genügen Leute die da täglich bzw. bei jedem Patch genau mitloggen was da ggf. Neues übertragen wird.
Es ist dazu ja auch möglich sich mit 2 Devices hinzusetzen und dann mittels der beiden Schlüssel die man damit hat, selber mal zu gucken was rausgeht und was wieder reinkommt. Ganz zu schweigen von Hashes um mal zu gucken ob da was verändert wird.
Noch dazu wird seitens Threema halt aktuell serverseitig so gut wie nix gespeichert.
Ergo bringt Ihnen dann auch irgendwann der private Schlüssel, wenn dann, nur recht kurz was. Bis dann der Skandal bekannt wird.
Von daher ganz banal gesagt: wenn Threema da Mist machen würde, wäre es schon bekannt. Wenn sie es irgendwann machen werden, wird es auch schnell bekannt werden.
Bei allem Verständnis für das Verlangen nach oss muss ich echt sagen dass es irgendwann doch ein Bisschen weit geht.
Als wäre oss immer der totale Allheilsbringer nur weil man sich da alles angucken kann.
Auch da kann keiner den Betreiber daran hindern irgendwann mehr zu übertragen als nötig.
Zudem wird beim Beispiel Telegram halt noch dazu ein unsicherer Algorithmus eingesetzt.
Für mich persönlich ist da eher noch ein wichtiges Argument, dass Threema was kostet und Telegram und Konsorten nicht.
Ja ich weiß Ubuntu ist auch kostenlos. Da würde ich mich auch mal informieren wie sich das so finanziert. Da kommt auch nicht alles von Shuttleworth und es soll sich irgendwann auch mal selber tragen können. So wird es bei einem Messenger auch sein. Da werden doch nicht aus Lust und Laune dicke Server hingestellt damit einige Millionen Menschen in Echtzeit kommunizieren können. Irgendwann will man da mal Geld sehen. Sei es durch Werbung, Gebühren, Datenverkauf oder den Verkauf des Dienstes an sich.
Wie gesagt, eure Bedenken und den Kampf für oss in allen Ehren, aber ich finde hier geht es doch etwas zu weit.
G
Gast03032015
Guest
Homie, ich schätze deine Meinung sehr.
Aber hier liegst du falsch.
Du wirst bemerkt haben, dass ich von Telegram Abstand genommen habe.
Das liegt daran, dass die Macher von Telegram nicht den kompletten Code veröffentlichen.
Es reicht schon ein kleiner Teil, der nicht veröffentlicht wurde, dass eine App/Programm potenziell unsicher/gefährlich ist.
Du kannst schreiben was du willst. Mit entsprechenden Rechten ausgestattet ist es so möglich unbemerkt Daten und dazu gehören aus Passwörter dahin zu schicken, wohin ich sie haben will!
Auch wen du es anders geschrieben hast, die Möglichkeit besteht und ist bei Threema nicht wegzudiskutieren! Es bedarf nur ein gewisses Vertrauen auf der einen Seite und einer gewissen Skrupellosigkeit auf der anderen, das ist alles.
Ich habe es sinngemäß schonmal irgenwann mal irgendwo geschrieben.
Es geht um die Sicherheit! Wenn man die will, muss man die kompromisslos im Auge behalten. Und da steht Open Source an 1. Stelle.
Alles was nicht OS ist kann in den falschen Händen die beste Verschlüsselung ad absurdum führen.
Dann kommt erst mal an 2. Stelle die Ende zu Ende Verschlüsselung.
Wenn eine dieser beiden Kriterien nicht zu 100% erfüllt sind, kann man auch gleich bei Whats App bleiben.
Aber hier liegst du falsch.
Du wirst bemerkt haben, dass ich von Telegram Abstand genommen habe.
Das liegt daran, dass die Macher von Telegram nicht den kompletten Code veröffentlichen.
Es reicht schon ein kleiner Teil, der nicht veröffentlicht wurde, dass eine App/Programm potenziell unsicher/gefährlich ist.
Du kannst schreiben was du willst. Mit entsprechenden Rechten ausgestattet ist es so möglich unbemerkt Daten und dazu gehören aus Passwörter dahin zu schicken, wohin ich sie haben will!
Auch wen du es anders geschrieben hast, die Möglichkeit besteht und ist bei Threema nicht wegzudiskutieren! Es bedarf nur ein gewisses Vertrauen auf der einen Seite und einer gewissen Skrupellosigkeit auf der anderen, das ist alles.
Ich habe es sinngemäß schonmal irgenwann mal irgendwo geschrieben.
Es geht um die Sicherheit! Wenn man die will, muss man die kompromisslos im Auge behalten. Und da steht Open Source an 1. Stelle.
Alles was nicht OS ist kann in den falschen Händen die beste Verschlüsselung ad absurdum führen.
Dann kommt erst mal an 2. Stelle die Ende zu Ende Verschlüsselung.
Wenn eine dieser beiden Kriterien nicht zu 100% erfüllt sind, kann man auch gleich bei Whats App bleiben.
Zuletzt bearbeitet:
ONH
Grand Admiral Special
Wie gesagt, eure Bedenken und den Kampf für oss in allen Ehren, aber ich finde hier geht es doch etwas zu weit.
OSS, muss nicht kostenlos sein, ... Klar muss man es sich anschauen um sicher zu sein das da kein schabernack damit getrieben wird. Threema ist wohl die beste APP welche verglichen wurde, aber im ernst 5 Ist eine zu kleine Stichprobe von APP zu dem zweck. Kann man durchaus den vorwurf machen nicht Objektiv ausgewählt zu haben, ohne was nachzuschlagen kann man 10-15 APP aufzählen. Threema sticht dann auch nicht so extrem raus wie im den medien vorgegaukeltwird.
Onkel Homie
Gesperrt
- Mitglied seit
- 26.03.2003
- Beiträge
- 15.842
- Renomée
- 390
- Standort
- Dortmund
- Aktuelle Projekte
- Spinhenge, SIMAP, QMC, POEM
- Lieblingsprojekt
- Spinhenge
- Meine Systeme
- C2D E8400 @3,8GHz
- BOINC-Statistiken
- Mein Laptop
- Lenovo TP Edge 13 NV122GE, Thinkpad R60 9461-DXG T5600 2GB
- Prozessor
- i7-3770k
- Mainboard
- Asrock Z77 Extreme 4
- Kühlung
- Thermalright Macho 120
- Speicher
- Kingston 1600 CL9 4x4096
- Grafikprozessor
- GTX 770 4096
- Display
- Dell U2713HM, Samsung 226BW
- HDD
- 1 x Samsung 840 Pro SSD, 2 x WD10EZEX 1 TB Raid 1
- Soundkarte
- Realtek onboard
- Gehäuse
- Nanoxia Deep Silence 2
- Netzteil
- beQuiet Straight Power E9 580W
- Betriebssystem
- Windows 8.1 Pro 64, Windows 7 Pro 64, Xubuntu 14.04
- Webbrowser
- Chrome
- Verschiedenes
- NAS: Synology DS214play; Kamera: Nikon D7100, Nexus 7 2013
Zunächst danke für die Blumen gebe ich gerne zurück
Zum Thema:
Man kann die Datenströme (eingehend und ausgehend) abgreifen. Ergo sieht man auch was über tragen wird. Also aktuell verschlüsselte Daten. Diese Daten kann man aber auch selbst entschlüsseln. Man nehme also Gerät A und den Schlüssel von A. Sende was an Gerät B und dessen Schlüssel und gucke mal was von A da wirklich raus geht. Wenn da parallel irgendwie, irgendwo noch was über tragen wird, dann sieht man es.
Vielleicht stehe ich gerade auf dem Schlauch, aber was wollen sie da verstecken? Es spricht natürlich nichts dagegen, dass sie irgendwann Daten abgreifen die sie nichts angehen. Aber das würde man sehen können. Also man im Sinne von Leuten die es analysieren.
Und Open Source hat am Ende auch nur was mit Vertrauen zu tun. Wer garantiert dir, dass auf dem Server beispielsweise nicht irgendwas zusätzlich läuft das Dinge tut die du nicht willst? Da können die eigentliche App, der Servercode usw noch so offen sein. An den Server selbst wirst du nicht rankommen und sehen was da noch so läuft.
Von daher verstehe ich ja deinen Ansatz aber eine Garantie gibt es nun mal nicht. Weder bei oss noch bei css.
Und im vorliegenden Fall sehe ich hier eben den riesen Vorteil von OSS noch. Außer das ein Lücke, nicht im Sinne von Fehler sondern im Sinne von fieser Eingriff des Betreibers, ggf. einen Tick eher auffallen würde. Und der Punkt ist für mich nicht gravierend genug.
Und genau die Skrupellosigkeit bzw. das Vertrauen was du anspricht, musste du auch bei oss haben. Wie gesagt: im Zweifelsfall sieht man da den bösen Buben etwas eher. Mehr meine Ansicht nach, auf das vorliegende Problem bezogen, nicht.
---------- Beitrag hinzugefügt um 23:35 ---------- Vorheriger Beitrag um 23:28 ----------
Der Test von Stiftung Warentest ist Unfug, keine Frage.
Und natürlich gibt es auch kostenpflichtige oss.
Wirbreden hier aber von Messengern. Und die genannten Apps/Dienste sind halt meistens kostenlos.
Und ich vertrete im Bezug darauf die Meinung "was nicht kost, is auch nix". Daten sind nun mal was Wert. Also muss man entweder jemanden dafür bezahlen dass er sie absichert(soweit möglich) oder halt davon ausgehen das der Übermittler irgendwann mitliest und verkauft.
Wobei auch eine gekaufte App Letzteres natürlich nicht ausschließt. Das will ich gar nicht behaupten. WA hat schließlich auch was gekostet, nur für dich nicht
Zum Thema:
Man kann die Datenströme (eingehend und ausgehend) abgreifen. Ergo sieht man auch was über tragen wird. Also aktuell verschlüsselte Daten. Diese Daten kann man aber auch selbst entschlüsseln. Man nehme also Gerät A und den Schlüssel von A. Sende was an Gerät B und dessen Schlüssel und gucke mal was von A da wirklich raus geht. Wenn da parallel irgendwie, irgendwo noch was über tragen wird, dann sieht man es.
Vielleicht stehe ich gerade auf dem Schlauch, aber was wollen sie da verstecken? Es spricht natürlich nichts dagegen, dass sie irgendwann Daten abgreifen die sie nichts angehen. Aber das würde man sehen können. Also man im Sinne von Leuten die es analysieren.
Und Open Source hat am Ende auch nur was mit Vertrauen zu tun. Wer garantiert dir, dass auf dem Server beispielsweise nicht irgendwas zusätzlich läuft das Dinge tut die du nicht willst? Da können die eigentliche App, der Servercode usw noch so offen sein. An den Server selbst wirst du nicht rankommen und sehen was da noch so läuft.
Von daher verstehe ich ja deinen Ansatz aber eine Garantie gibt es nun mal nicht. Weder bei oss noch bei css.
Und im vorliegenden Fall sehe ich hier eben den riesen Vorteil von OSS noch. Außer das ein Lücke, nicht im Sinne von Fehler sondern im Sinne von fieser Eingriff des Betreibers, ggf. einen Tick eher auffallen würde. Und der Punkt ist für mich nicht gravierend genug.
Und genau die Skrupellosigkeit bzw. das Vertrauen was du anspricht, musste du auch bei oss haben. Wie gesagt: im Zweifelsfall sieht man da den bösen Buben etwas eher. Mehr meine Ansicht nach, auf das vorliegende Problem bezogen, nicht.
---------- Beitrag hinzugefügt um 23:35 ---------- Vorheriger Beitrag um 23:28 ----------
OSS, muss nicht kostenlos sein, ... Klar muss man es sich anschauen um sicher zu sein das da kein schabernack damit getrieben wird. Threema ist wohl die beste APP welche verglichen wurde, aber im ernst 5 Ist eine zu kleine Stichprobe von APP zu dem zweck. Kann man durchaus den vorwurf machen nicht Objektiv ausgewählt zu haben, ohne was nachzuschlagen kann man 10-15 APP aufzählen. Threema sticht dann auch nicht so extrem raus wie im den medien vorgegaukeltwird.
Der Test von Stiftung Warentest ist Unfug, keine Frage.
Und natürlich gibt es auch kostenpflichtige oss.
Wirbreden hier aber von Messengern. Und die genannten Apps/Dienste sind halt meistens kostenlos.
Und ich vertrete im Bezug darauf die Meinung "was nicht kost, is auch nix". Daten sind nun mal was Wert. Also muss man entweder jemanden dafür bezahlen dass er sie absichert(soweit möglich) oder halt davon ausgehen das der Übermittler irgendwann mitliest und verkauft.
Wobei auch eine gekaufte App Letzteres natürlich nicht ausschließt. Das will ich gar nicht behaupten. WA hat schließlich auch was gekostet, nur für dich nicht
Zuletzt bearbeitet:
ONH
Grand Admiral Special
Wenn eine dieser beiden Kriterien nicht zu 100% erfüllt sind, kann man auch gleich bei Whats App bleiben.
Sehe ich auch so, isoviel neue nachrichten fallen in einer woche nicht an, dass es nicht 1-2 wochen vertragen dürfte eine sinnvolle alternative zu finden.
Onkel Homie
Gesperrt
- Mitglied seit
- 26.03.2003
- Beiträge
- 15.842
- Renomée
- 390
- Standort
- Dortmund
- Aktuelle Projekte
- Spinhenge, SIMAP, QMC, POEM
- Lieblingsprojekt
- Spinhenge
- Meine Systeme
- C2D E8400 @3,8GHz
- BOINC-Statistiken
- Mein Laptop
- Lenovo TP Edge 13 NV122GE, Thinkpad R60 9461-DXG T5600 2GB
- Prozessor
- i7-3770k
- Mainboard
- Asrock Z77 Extreme 4
- Kühlung
- Thermalright Macho 120
- Speicher
- Kingston 1600 CL9 4x4096
- Grafikprozessor
- GTX 770 4096
- Display
- Dell U2713HM, Samsung 226BW
- HDD
- 1 x Samsung 840 Pro SSD, 2 x WD10EZEX 1 TB Raid 1
- Soundkarte
- Realtek onboard
- Gehäuse
- Nanoxia Deep Silence 2
- Netzteil
- beQuiet Straight Power E9 580W
- Betriebssystem
- Windows 8.1 Pro 64, Windows 7 Pro 64, Xubuntu 14.04
- Webbrowser
- Chrome
- Verschiedenes
- NAS: Synology DS214play; Kamera: Nikon D7100, Nexus 7 2013
@altesocke:
Https://www.fachschaft.informatik.tu-darmstadt.de/forum/viewtopic.php?t=29858&p=157916
Mal zum Thema Debugging und was ich meine.
Wenn Threema Scheiße baut, sieht man es.
Da wäre nur mal ein Beispiel.
Https://www.fachschaft.informatik.tu-darmstadt.de/forum/viewtopic.php?t=29858&p=157916
Mal zum Thema Debugging und was ich meine.
Wenn Threema Scheiße baut, sieht man es.
Da wäre nur mal ein Beispiel.
G
Gast03032015
Guest
Es gibt doch unzählige Arten und Weisen "wie" ich die Daten möglichst unauffällig "verpacke". Bedenke es geht hier nur um ein paar Bytes, die es zu verstecken gilt
Ein verstecken im Datenstrom würde vermutlich schon garnicht auffallen.
Wenn einem das zu unsicher ist, saugt man die Daten z.B. während eines Updateprozesses ab.
Es bleibt dabei, bei Closed Source haben die Macher die Kontrolle über die App.
Man vertraut darauf, dass die Entwickler redlich sind und eine ehrliche App programiert haben.
Bei OS vertraut man dem, was man sehen kann.
Ein verstecken im Datenstrom würde vermutlich schon garnicht auffallen.
Wenn einem das zu unsicher ist, saugt man die Daten z.B. während eines Updateprozesses ab.
Es bleibt dabei, bei Closed Source haben die Macher die Kontrolle über die App.
Man vertraut darauf, dass die Entwickler redlich sind und eine ehrliche App programiert haben.
Bei OS vertraut man dem, was man sehen kann.
Onkel Homie
Gesperrt
- Mitglied seit
- 26.03.2003
- Beiträge
- 15.842
- Renomée
- 390
- Standort
- Dortmund
- Aktuelle Projekte
- Spinhenge, SIMAP, QMC, POEM
- Lieblingsprojekt
- Spinhenge
- Meine Systeme
- C2D E8400 @3,8GHz
- BOINC-Statistiken
- Mein Laptop
- Lenovo TP Edge 13 NV122GE, Thinkpad R60 9461-DXG T5600 2GB
- Prozessor
- i7-3770k
- Mainboard
- Asrock Z77 Extreme 4
- Kühlung
- Thermalright Macho 120
- Speicher
- Kingston 1600 CL9 4x4096
- Grafikprozessor
- GTX 770 4096
- Display
- Dell U2713HM, Samsung 226BW
- HDD
- 1 x Samsung 840 Pro SSD, 2 x WD10EZEX 1 TB Raid 1
- Soundkarte
- Realtek onboard
- Gehäuse
- Nanoxia Deep Silence 2
- Netzteil
- beQuiet Straight Power E9 580W
- Betriebssystem
- Windows 8.1 Pro 64, Windows 7 Pro 64, Xubuntu 14.04
- Webbrowser
- Chrome
- Verschiedenes
- NAS: Synology DS214play; Kamera: Nikon D7100, Nexus 7 2013
Wie erwähnt und verlinkt, kannst du den Datenstrom einsehen. Und darum geht es ja letztendlich. Um die Daten.
Was auf dem Server irgendwo nebenbei passiert, sieht man in beiden Fällen nicht.
Wenn man so will ist sogar der wichtigste Teil von Threema oss. Denn die Verschlüsselung ist bekannt. Siehe Link oben. Sie schreiben selber wie es geht Einblicke zu erhalten.
Entschlüsseln kann jeder selbst, sogar mit Anleitung. Und das deutlich einfacher als einige tausend Zeilen Quellcode zu analysieren um halt erst mal rauszufinden wie etwas funktioniert.
Und ein paar versteckte Bytes fallen durch Hashwerte auch sofort auf. Egal ob 1 Byte oder 10
Wer die eigentliche Kontrolle über eine Anwendung hat ist klar. Nur gaukelt oss hier meines Erachtens eine falsche Sicherheit vor.
Und nur mal ganz nebenbei:
Guckst du dir selber den Sourcecode an, oder vertraut du anderen die dies tun und hoffst darauf das die fiese Lücken finden, bevor du 20 Nachrichten verschickt hast? (Überspitzt formuliert)
Ich vertraue darauf das sich Leute jedes Update bei Threema genau ansehen und gucken was da übermittelt wird.
Du vertraut auch anderen Leuten. Wieder der gleiche Punkt: Vertrauen vs. Schurken.
So und nu muss ich mal pennen
Was auf dem Server irgendwo nebenbei passiert, sieht man in beiden Fällen nicht.
Wenn man so will ist sogar der wichtigste Teil von Threema oss. Denn die Verschlüsselung ist bekannt. Siehe Link oben. Sie schreiben selber wie es geht Einblicke zu erhalten.
Entschlüsseln kann jeder selbst, sogar mit Anleitung. Und das deutlich einfacher als einige tausend Zeilen Quellcode zu analysieren um halt erst mal rauszufinden wie etwas funktioniert.
Und ein paar versteckte Bytes fallen durch Hashwerte auch sofort auf. Egal ob 1 Byte oder 10
Wer die eigentliche Kontrolle über eine Anwendung hat ist klar. Nur gaukelt oss hier meines Erachtens eine falsche Sicherheit vor.
Und nur mal ganz nebenbei:
Guckst du dir selber den Sourcecode an, oder vertraut du anderen die dies tun und hoffst darauf das die fiese Lücken finden, bevor du 20 Nachrichten verschickt hast? (Überspitzt formuliert)
Ich vertraue darauf das sich Leute jedes Update bei Threema genau ansehen und gucken was da übermittelt wird.
Du vertraut auch anderen Leuten. Wieder der gleiche Punkt: Vertrauen vs. Schurken.
So und nu muss ich mal pennen
Zuletzt bearbeitet:
G
Gast03032015
Guest
Man hat keine Chance zu analysieren, dass von den Daten, die bei einem Update ausgetauscht werden, die zum Teil codiert sind, 25 Bytes dabei sind, die nicht "ganz in Ordnung" sind.
---------- Beitrag hinzugefügt um 00:09 ---------- Vorheriger Beitrag um 00:08 ----------
n8 Homie
---------- Beitrag hinzugefügt um 00:09 ---------- Vorheriger Beitrag um 00:08 ----------
n8 Homie
Markus Everson
Grand Admiral Special
Die von OnkelHomie verlinkte Seite verlinkt wiederum zu https://threema.ch/validation/
Dort wird es dann interessant, die Überprüfbarkeit der Verschlüsselung indem man sie raw mitloggt und per Mail überträgt klingt erstmal gut. Fraglich nur ob das mehr ist als Schlangenöl.
Dort wird es dann interessant, die Überprüfbarkeit der Verschlüsselung indem man sie raw mitloggt und per Mail überträgt klingt erstmal gut. Fraglich nur ob das mehr ist als Schlangenöl.
Onkel Homie
Gesperrt
- Mitglied seit
- 26.03.2003
- Beiträge
- 15.842
- Renomée
- 390
- Standort
- Dortmund
- Aktuelle Projekte
- Spinhenge, SIMAP, QMC, POEM
- Lieblingsprojekt
- Spinhenge
- Meine Systeme
- C2D E8400 @3,8GHz
- BOINC-Statistiken
- Mein Laptop
- Lenovo TP Edge 13 NV122GE, Thinkpad R60 9461-DXG T5600 2GB
- Prozessor
- i7-3770k
- Mainboard
- Asrock Z77 Extreme 4
- Kühlung
- Thermalright Macho 120
- Speicher
- Kingston 1600 CL9 4x4096
- Grafikprozessor
- GTX 770 4096
- Display
- Dell U2713HM, Samsung 226BW
- HDD
- 1 x Samsung 840 Pro SSD, 2 x WD10EZEX 1 TB Raid 1
- Soundkarte
- Realtek onboard
- Gehäuse
- Nanoxia Deep Silence 2
- Netzteil
- beQuiet Straight Power E9 580W
- Betriebssystem
- Windows 8.1 Pro 64, Windows 7 Pro 64, Xubuntu 14.04
- Webbrowser
- Chrome
- Verschiedenes
- NAS: Synology DS214play; Kamera: Nikon D7100, Nexus 7 2013
Moin
Sorry das ich die interessante Diskussionsrunde gestern verlassen musste.
Aber ich habe heute noch ein Bisschen was zu tun und ich soll doch tatsächlich im Büro sitzen bei dem schönen Wetter
Auch da wage ich mal zu behaupten dass man hier Kontolle&Einsicht hat.
Ich weiß nicht wie es bei iOS aussieht aber afaik läuft es bei Android so:
- apk runterladen (wie man sich angucken kann, ok man sieht natürlich kompilierten Code)
- apk installieren
- Anwendung nutzen
Dazwischen wird nichts übertragen bzw. man lädt nur runter.
Und wie erwähnt muss man letztendlich eh dem Serverbetreiber vertrauen bzw. bei jedem Update den Leuten vertrauen die es sich alles ansehen. Sei es nun beim Datenstrom der rein und raus geht, bei der Analyse der Verschlüsselung bis zu dem Punkt dass die Daten nicht doch 5 Jahre später verkauft werden.
100pro sicher kann und wird da kein System sein. Egal ob oss oder css.
Heißt im Umkehrschluss aber nicht "dann kann man ja gleich bei WA bleiben".
---------- Beitrag hinzugefügt um 08:38 ---------- Vorheriger Beitrag um 08:24 ----------
Interessant übrigens das scheinbar bei dem Artikel der Stiftung Warentest Kommentare gelöscht werden/wurden.
So auch der hier von altesocke verlinkte Beitrag.
Da hat sich auch eine kleine Diskussion entwickelt.
Sorry das ich die interessante Diskussionsrunde gestern verlassen musste.
Aber ich habe heute noch ein Bisschen was zu tun und ich soll doch tatsächlich im Büro sitzen bei dem schönen Wetter
Man hat keine Chance zu analysieren, dass von den Daten, die bei einem Update ausgetauscht werden, die zum Teil codiert sind, 25 Bytes dabei sind, die nicht "ganz in Ordnung" sind.
Auch da wage ich mal zu behaupten dass man hier Kontolle&Einsicht hat.
Ich weiß nicht wie es bei iOS aussieht aber afaik läuft es bei Android so:
- apk runterladen (wie man sich angucken kann, ok man sieht natürlich kompilierten Code)
- apk installieren
- Anwendung nutzen
Dazwischen wird nichts übertragen bzw. man lädt nur runter.
Und wie erwähnt muss man letztendlich eh dem Serverbetreiber vertrauen bzw. bei jedem Update den Leuten vertrauen die es sich alles ansehen. Sei es nun beim Datenstrom der rein und raus geht, bei der Analyse der Verschlüsselung bis zu dem Punkt dass die Daten nicht doch 5 Jahre später verkauft werden.
100pro sicher kann und wird da kein System sein. Egal ob oss oder css.
Heißt im Umkehrschluss aber nicht "dann kann man ja gleich bei WA bleiben".
---------- Beitrag hinzugefügt um 08:38 ---------- Vorheriger Beitrag um 08:24 ----------
Interessant übrigens das scheinbar bei dem Artikel der Stiftung Warentest Kommentare gelöscht werden/wurden.
So auch der hier von altesocke verlinkte Beitrag.
Da hat sich auch eine kleine Diskussion entwickelt.
G
Gast03032015
Guest
Das ist zwar richtig aber die Updateprozedur umfasst ja mehr als nur den Download. Einen Code einzuschmuggeln ist ja nicht das Problem.Dazwischen wird nichts übertragen bzw. man lädt nur runter.
Die Daten rausholen auch nicht. Dabei unbemerkt zu bleiben ist die Schwierigkeit.
Z.B. das Smartphone ist z.B. ständig bereit ein Update "angekündigt" zu bekommen. Und löst dadurch eine programmierte Aktion aus, z.B. eine Meldung ausgeben.
Genau sowas könnte man auch einbauen für "spezielle" Anfragen von Zuhause. Dann wird eben keine Meldung ausgegeben, sondern einfach nur ein Datenpaket zurückgeschickt.
Und wie und wann die Daten rausgehen kann man, wenn man will, auch steuern. Entweder direkt als Antwort oder beim nächsten Start usw., möglichst in einer Situation in der keiner dran denkt mitzuloggen.
Offiziell ist es dann natürlich nur so eine Art Ping um den Onlinestatus zu checken oder sonst was für notwendige Daten, falls es doch mal bemerkt würde.
Onkel Homie
Gesperrt
- Mitglied seit
- 26.03.2003
- Beiträge
- 15.842
- Renomée
- 390
- Standort
- Dortmund
- Aktuelle Projekte
- Spinhenge, SIMAP, QMC, POEM
- Lieblingsprojekt
- Spinhenge
- Meine Systeme
- C2D E8400 @3,8GHz
- BOINC-Statistiken
- Mein Laptop
- Lenovo TP Edge 13 NV122GE, Thinkpad R60 9461-DXG T5600 2GB
- Prozessor
- i7-3770k
- Mainboard
- Asrock Z77 Extreme 4
- Kühlung
- Thermalright Macho 120
- Speicher
- Kingston 1600 CL9 4x4096
- Grafikprozessor
- GTX 770 4096
- Display
- Dell U2713HM, Samsung 226BW
- HDD
- 1 x Samsung 840 Pro SSD, 2 x WD10EZEX 1 TB Raid 1
- Soundkarte
- Realtek onboard
- Gehäuse
- Nanoxia Deep Silence 2
- Netzteil
- beQuiet Straight Power E9 580W
- Betriebssystem
- Windows 8.1 Pro 64, Windows 7 Pro 64, Xubuntu 14.04
- Webbrowser
- Chrome
- Verschiedenes
- NAS: Synology DS214play; Kamera: Nikon D7100, Nexus 7 2013
Alles was du beschreibst kann man aber mitloggen.
Ich gebe dir ja recht darin dass man ggf. nicht immer weiß was mitgeschickt wird.
Aber sobald etwas auffälliges verschickt wird, kann man als Sicherheitsexperte/Forensiker da Alarm schlagen und entsprechend vor Threema warnen.
Bisher ist da aber wohl alles im grünen Bereich.
Und wie erwähnt bleibt letztendlich auch der Server selbst die große Unbekannte.
Ich kann ja z.B. auch Dienste für dich hosten. Von mir aus OwnCloud.
Weißt du ob ich nicht nebeher was installiert habe was brav immer alles abgreift was du da hochlädst?
Da kann etwas noch so Open Source sein, an den Server wird man nicht rankommen.
Ich gebe dir ja recht darin dass man ggf. nicht immer weiß was mitgeschickt wird.
Aber sobald etwas auffälliges verschickt wird, kann man als Sicherheitsexperte/Forensiker da Alarm schlagen und entsprechend vor Threema warnen.
Bisher ist da aber wohl alles im grünen Bereich.
Und wie erwähnt bleibt letztendlich auch der Server selbst die große Unbekannte.
Ich kann ja z.B. auch Dienste für dich hosten. Von mir aus OwnCloud.
Weißt du ob ich nicht nebeher was installiert habe was brav immer alles abgreift was du da hochlädst?
Da kann etwas noch so Open Source sein, an den Server wird man nicht rankommen.
G
Gast03032015
Guest
ADAC, Stiftung Warentest, ...
---------- Beitrag hinzugefügt um 10:14 ---------- Vorheriger Beitrag um 10:11 ----------
Betonung auf "kann" man mitloggen.
OK, da hat dann mal einer beim Systemstart mitgeloggt. Wenn man also einmal beim Starten 25 "ungeklärte" Bytes hatte, was sich nicht mehr reproduzieren lässt. Was dann?
---------- Beitrag hinzugefügt um 10:23 ---------- Vorheriger Beitrag um 10:14 ----------
Man bedenke jetzt auch, dass das Szenario, was ich hier beschreibe vermutlich eher stümperhaft ist. Wenn einer vor hat, Daten im großen Stil abzugreifen setzt da andere Leute hin als so einen Noob wie mich.
---------- Beitrag hinzugefügt um 10:14 ---------- Vorheriger Beitrag um 10:11 ----------
Betonung auf "kann" man mitloggen.
OK, da hat dann mal einer beim Systemstart mitgeloggt. Wenn man also einmal beim Starten 25 "ungeklärte" Bytes hatte, was sich nicht mehr reproduzieren lässt. Was dann?
---------- Beitrag hinzugefügt um 10:23 ---------- Vorheriger Beitrag um 10:14 ----------
Man bedenke jetzt auch, dass das Szenario, was ich hier beschreibe vermutlich eher stümperhaft ist. Wenn einer vor hat, Daten im großen Stil abzugreifen setzt da andere Leute hin als so einen Noob wie mich.
G
Gast30082015
Guest
Wenn du schon damit anfängst, dann hänge doch direkt noch deinen Namen hinten dran.ADAC, Stiftung Warentest, ...
Nichts anderes ist es doch.
Denn am Ende kommt es auf folgenden Punkt raus: Ich muss als Laie besagtem "Software-Experten" vertrauen, wenn der sagt, diese OSS ist sicher. Ich kann es selbst nicht überprüfen, weil mir das Wissen fehlt und die Zeit, mich damit zu beschäftigen.
Es geht um Vertrauen! Um nichts anderes. Egal, ob bei OSS ocer CSS. Punkt aus.
Telegram LLC als Beispiel hat noch nicht mal ein Impressum mit den Mindestangaben auf der offiziellen Homepage. Da braucht man nicht weiter reden über Vertrauen.
Zuletzt bearbeitet:
G
Gast03032015
Guest
Solange es verschlüsselt auf dem Server liegt ist es doch gut. (voausgesetzt End to End)Ich kann ja z.B. auch Dienste für dich hosten. Von mir aus OwnCloud.
Weißt du ob ich nicht nebeher was installiert habe was brav immer alles abgreift was du da hochlädst?
Da kann etwas noch so Open Source sein, an den Server wird man nicht rankommen.
Natürlich können andere Programme einen Rechner oder Smartphone kompromittieren und die Sicherheit vom gesamten Rechner/Smartphone unterlaufen.
Das liegt aber dann nicht am Open Source Programm sondern daran, dass der Rechner/Smartphone kompromittiert ist.
---------- Beitrag hinzugefügt um 10:34 ---------- Vorheriger Beitrag um 10:31 ----------
Du hast schon mitbekommen, wie die Stiftung Warentest die Kommentare zu dem verlinkten Artikel "pflegt"?Es geht um Vertrauen! Um nichts anderes.
G
Gast30082015
Guest
Na und? Das ändert doch nichts an dem grundlegenden Problem, das der Laie ggü CSS/OSS hat, weshalb das darauf Herumreiten nahezu komplett am Thema vorbei geht.Du hast schon mitbekommen, wie die Stiftung Warentest die Kommentare zu dem verlinkten Artikel "pflegt"?
Zuletzt bearbeitet:
G
Gast03032015
Guest
Du siehst das aber einfach.
Wen interessiert schon die Sicherheit.
Hauptsache weg vom unsicheren WhatsApp!
Also her mit den Alternativen
Wen interessiert schon die Sicherheit.
Hauptsache weg vom unsicheren WhatsApp!
Also her mit den Alternativen
G
Gast30082015
Guest
Natürlich sehe ich das einfach. Wie glaubst du sieht es denn die große Masse sonst? Glaubst du allen ernstes, die macht sich darüber einen Kopf? Die pellen sich ein Ei drauf. Anders wäre WA niemals derart groß geworden.
Und noch einmal, Telegram als Beispiel ist Dank fehlenden Impressums und einer Masse an bedenklichen CopyCats erst recht ungenügend als "Alternative" zu WA. Open Source hin oder her.
Und noch einmal, Telegram als Beispiel ist Dank fehlenden Impressums und einer Masse an bedenklichen CopyCats erst recht ungenügend als "Alternative" zu WA. Open Source hin oder her.
G
Gast03032015
Guest
Telegram ist potenziell UNSICHER weil nicht komplett Open Source!
---------- Beitrag hinzugefügt um 10:57 ---------- Vorheriger Beitrag um 10:55 ----------
---------- Beitrag hinzugefügt um 10:57 ---------- Vorheriger Beitrag um 10:55 ----------
Herzlichen Glückwunsch, ich empfehle dir, bei WhatsApp zu bleiben. Hat viele Funktionen, sieht ansprechend aus, lässt sich gut bedienen und ist gut programmiert.Natürlich sehe ich das einfach. Wie glaubst du sieht es denn die große Masse sonst? Glaubst du allen ernstes, die macht sich darüber einen Kopf? Die pellen sich ein Ei drauf. Anders wäre WA niemals derart groß geworden.
G
Gast30082015
Guest
Getroffene Hunde bellen...Herzlichen Glückwunsch, ich empfehle dir, bei WhatsApp zu bleiben. Hat viele Funktionen, sieht ansprechend aus, lässt sich gut bedienen und ist gut programmiert.
G
Gast03032015
Guest
Nein, das war nur ein nett gemeinter Versuch, dir vor Augen zu führen, dass es ziemlich paradox ist, auf der einen Seite wegen Sicherheitsbedenken weg von WA zu wollen, auf der anderen Seite aber eine Diskussion über Sicherheit als "am Thema vorbei" bezeichnet.
Ähnliche Themen
- Antworten
- 0
- Aufrufe
- 52K