Notiz Session 1.0.5: Onion-Messenger verlangt keine Mobilfunknummer

[Forum-Fraggle]

Threema hat doch deine IP. Deine IP ist direkt zu deiner Person gemapped.


Selbst, wenn nicht:

Das ja, wobei ich beim onion messenger nocht verstanden habe wie die Nachricht zu Empfänger kommt. Gibt ja nur zwei Möglichkeite, entweder wie Radiowellen für alle und man kann nur entschlüsseln, wenn man den Schlüssel hat, oder individuell, dann ist die IP auch zumindest indirekt bekannt.

Closed Source muß nicht immer schlecht sein.

 

[jonderson]

Closed Source muß nicht immer schlecht sein.

Jep, weil Security thorugh obscurity ein echtes Erfolgsmodell ist

Ich verwende auch nur Threema.
Dass es nicht Open Source ist stört mich nicht. Ich würde den Code en nicht ansehen, sondern das fertige Kompilat verwenden.

rly?

 

[Forum-Fraggle]

Jep, weil Security thorugh obscurity ein echtes Erfolgsmodell ist

Der Code wurde auditiert, die Übermittlung der Daten ist als einwandfrei fesgetellt worden. Mit der Einstellung dürfte man nicht zum Arzt gehen, sofern man nicht selber Arzt ist. Ich bin pro OS, aber auch nicjt schwarz-weiß denkend.

 

[jonderson]

Der Code wurde auditiert, die Übermittlung der Daten ist als einwandfrei fesgetellt worden.

Allerdings gilt zu bedenken: Ein solch externer Audit ist immer versionsgebunden und müsste für neue Versionen erneut durchgeführt werden. Damit kann der Audit keine Aussage über das Sicherheitsniveau der geprüften Systeme / Software für die Zukunft ableiten – das ist allerdings ein generelles Problem, das Audits im Allgemeinen betrifft. Die bisher durchgeführten Audits bescheinigen Threema eine hohe Sicherheit.

Mit der Einstellung dürfte man nicht zum Arzt gehen, sofern man nicht selber Arzt ist. Ich bin pro OS, aber auch nicjt schwarz-weiß denkend.

Ich gehe zu meinem Arzt für meine aktuelle Krankheit, nicht für die letzte

 

[Forum-Fraggle]

@jonderson
Natürlich gilt es nur für die Codeversion. Entscheidend iat aber das, was übermittelt wird.

Und natürlich gehat Du wegen aktueller Erkrankung zum Arzt. Wieso sollte da das Vertrauen aber höher sein, wenn Du kein Arzt bist? Du haat sein aktuelles Wissen nicht abfragen können. Du besitzt auch HW, obwohl Du nicht weißt, ob da Spionagechips sind. Bei SW vertraust Du sicherlich auch der Community und überprüfst nicht alles selber.
Worauf ich hinaus will, irgendwo vertraust Du immer auf andere

 

[jonderson]

@jonderson
Natürlich gilt es nur für die Codeversion. Entscheidend iat aber das, was übermittelt wird.

Und natürlich gehat Du wegen aktueller Erkrankung zum Arzt. Wieso sollte da das Vertrauen aber höher sein, wenn Du kein Arzt bist? Du haat sein aktuelles Wissen nicht abfragen können. Du besitzt auch HW, obwohl Du nicht weißt, ob da Spionagechips sind. Bei SW vertraust Du sicherlich auch der Community und überprüfst nicht alles selber.
Worauf ich hinaus will, irgendwo vertraust Du immer auf andere

Ja tue ich, aber beim einem vertraue ich einem Unternehmen, beim anderen vertraue ich auf die Menschheit.
Ja, ich weiß, wir leben im Kapitalismus und ich müsste eigentlich jedem Unternehmen die Füße küssen und dankbar sein, dass sie existieren. Tue ich aber "leider" nicht

Bei einem Unternehmen sind nur ein paar wenige „gecastete“ Mitarbeiter, die einen Code bearbeiten, eine Sichtung findet oft nur sehr rudimentär statt … und dann müssen die auch noch wirtschaftlich agieren.

Das ist bei open source komplett anders. Es schauen (bei interessanten Projekten) zig Leute mit der unterschiedlichsten „Background“ und Sichtweisen auf den Quellcode. Sie tun es aus Interesse, Ideologie und teilweise auch um daraus für eigene Projekte zu lernen. Und das passiert immer wieder, ohne einen Anlass wie eine Programmänderung oder einen (vermuteten) Fehler an der Stelle. Ob die Sichtung mehr kostet als sie einbringt, ist nahezu irrelevant.

@Arzt:
Ich besitze meinen "Quellcode" und kann daher auch entscheiden was ich damit tue.
Ich kann auch über meinen "Quellcode" mit anderen Reden, die mir evtl erklären können, dass ich den "Quellcode" nochmal von einem anderen Arzt "auditieren" lassen soll.

 

[PuscHELL76]

... Aber ich vertrau den Schweizern...

#Crypto AG

 

[Forum-Fraggle]

@jonderson
Das Problem ist, Schwarmintelligenz gibt es eigentlich nicht, sondern die Masse ist dumm. Z.B. Papiermaskenkauf als Schutz gegen Coronavirus. Die helfen nur ein wenig, wenn man sie den Kranken aufstülpt.
Umd nein, keiner mit Verstand sagt, daß man Konzernen die Füsse küssen sollte. Das ist nur en Totschlagargument von Antikapitalisten der Kommunisten. Gesundes Mißtrauen ist immer angebracht. Wie auch immer, die Firma hinter Threema ist ein kleines Startup, weches ais ideologischen Gründen gegründet wurde.

Was die Arzt Metapher betrifft, machst Du zwei Fehler.
1. Ist der Vergleich nur dann richtig, wenn man den Quellcode der Fähigkeiten des Arztes nimmt, nicht Deinen.
2. Wenn Du kein Biologe oder Mediziner bist, wage ich zu behaupten, daß Du Deinen Quellcode nicht kennst, nicht einmal verstehst. Niemand wird schließlich zum KFZ Mechaniker, nur weil man den Führerschein gemacht hat.
Warum ich diese Aussage glaube treffen zu können? Weil ichals Biologe noch keinen Laien getroffen habe, der wirklich seinen Körper versteht.

 

[jonderson]

@jonderson
Das Problem ist, Schwarmintelligenz gibt es eigentlich nicht, sondern die Masse ist dumm. Z.B. Papiermaskenkauf als Schutz gegen Coronavirus.

Papiermasken helfen meines wissens nach als Schutz gegen Corona. Zwar nicht 100% und nur gegen eine weitere Verbreitung, wenn der Maskenträger infiziert ist, aber lass sie ruhig weiter kaufen

Was die Arzt Metapher betrifft, machst Du zwei Fehler.
1. Ist der Vergleich nur dann richtig, wenn man den Quellcode der Fähigkeiten des Arztes nimmt, nicht Deinen.

Wenn der Arzt der Quellcode ist, was bin ich dann und was ist dann mein Körper? oO

2. Wenn Du kein Biologe oder Mediziner bist, wage ich zu behaupten, daß Du Deinen Quellcode nicht kennst, nicht einmal verstehst. Niemand wird schließlich zum KFZ Mechaniker, nur weil man den Führerschein gemacht hat.
Warum ich diese Aussage glaube treffen zu können? Weil ichals Biologe noch keinen Laien getroffen habe, der wirklich seinen Körper versteht.

Da gebe ich dir auch vollkommen Recht, aber ich kann den Quellcode jederzeit einem Experten "vorzeigen".
Und das muss der Virus auch jederzeit fürchten. Es ist nicht so wie bei normalen Audits wo der Virus selber den Audit beaufragt und genau weiß wann alles Sauber zu sein hat

 

[the_whit]

Einfach Threema benutzen. Die 3€ bringen einen bestimmt nicht um.

OpenSource ist es nicht. Aber ich vertrau den Schweizern.

Da bekommt man eine ID und kann seine Nummer und/oder E-Mail damit verknüpfen.

Gute Funktionen sind auch schon eingebaut. Nutze nur noch Threema.

Kann man machen, dann darf man sich hinterher halt nicht beschweren...

https://www.golem.de/news/schweizer...rschluesselungsfirma-hackten-2002-146567.html


Never trust, verify.

 

[duckycopper]

Oh mein Gott, dieser Messenger ist bestimmt bald auf der schwarzen Liste.
Erschwert die Überwachung von Personen staatlicher Institutionen bestimmt, wenn man keine Email- Adresse oder Telefonnnummer zur Nutzung braucht.
Und ein Free- Wifi ist ja oft vorhanden.
Ist einen Blick wert, sag ich ma so. Einfach mal auf meinem alten Phone ohne Sim- Karten antesten.

Welche Apps sind denn in Deutschland auf der schwarzen Liste?

 

[BoktorDodlaj]

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[cypeak]

die idee ist recht nett. zu usability der app kann ich nichts sagen, aber das händlichg der session id ist für den 0815 user ein graus.
bei icq hat man seinerzeit die 5-8 (?) stellige nummer runtergebetet und das wars - die sessionid werden sich die alllerwenigsten merken, falls überhaupt. auch triviale hemmschwellen sind hemmschwellen.
bei threema war es nicht die höhe des preises - das ding wwar günstig - aber die allerwenigsten waren bereit dafür im playstore ihre cc zu hinterlegen... "ich gebe doch goohle nicht meine kreditkarten nummer!!"
letztenendes nutzt das nur noch ein kleiner subset meiner kontakte.

einer schrieb es hier: die "unkritische masse" der user wird sich von der reichweite von whatsapp auf lange sicht nicht mehr lösen!

 

[Beelzebot]

Leider ist die Desktop App 1:1 von Signal übernommen, also ein greusliches Electron Trum. Da bleib ich lieber bei gajim am Desktop und Conversations am Phone.

Sicher?
Ich hab gerade mal in die AUR Desktop-Version geschaut und da findet sich keine Electron Abhängigkeit. Das ist allerdings auch noch Version 1.0.4-2

 

[Kdax]

Bei Jabber/XMPP bekommt man keine Offline-Nachrichten, gefällt mir vom Grundsatz eigentlich aber da bietet Riot mehr.

Abgesehen davon, dass Threema close-source ist bekommt man öfter die Nachrichten oft verspätet und keine Push-Nachrichten, bei Signal hat man das gleiche Problem.

 

[jonderson]

Bei Jabber/XMPP bekommt man keine Offline-Nachrichten, gefällt mir vom Grundsatz eigentlich aber da bietet Riot mehr.

Doch bekommst du, hängt aber vom server ab ob und wie lange. Ist eine Erweiterung, war früher tatsächlich so.
empfehle trashserver.net

 

[Kdax]

Ist eine Erweiterung, war früher tatsächlich so

Danke für die Info. Um welche Erweiterung handelt es sich? Ich habe früher meinen eigenen XMPP Server mit DynDNS gehostet. Wäre interessant, dann hätte ich wieder die Kontrolle über meine Kommunikation.

 

[Fred_VIE]

Ich habe mit 3 verschiedenen Browsern versucht das Teil von der Herstellerseite runterzuladen. Jedesmal lädt es 100 % herunter und dann sagt es "fehlgeschlagen".

edt.: Beim 4. Browser hat es dann gesagt, dass die Datei einen Virus enthält und gelöscht wurde.

Seltsamerweise gibt der Virenkiller verschiedene Daten an obwohl ich immer denselben Downloadlink versucht habe nur mit verschiedenen Browsern: PUA:Win32/CoinMiner, PUA:Win32/DownloadSponsor, PUA:Win32/CandyOpen.

Ausserdem wurde die 1.0.4 Version (für Windows) heruntergeladen und nicht 1.0.5.

Lt. SessionMessenger auf FB soll es eine "false positive" sein, aber irgendwie kommt mir das seltsam vor, dass beim download mit verschiedenen Browsern verschiedene Schädlinge erkannt wurden. Ich wart lieber mal auf die v1.0.5

 

[gaelic]

Sicher?
Ich hab gerade mal in die AUR Desktop-Version geschaut und da findet sich keine Electron Abhängigkeit. Das ist allerdings auch noch Version 1.0.4-2

Weils ein binary aur Paket (nutzt ein .deb) ist, hier ist das Repo:

https://github.com/loki-project/session-desktop

 

[AudioholicA]

Lt. SessionMessenger auf FB soll es eine "false positive" sein, aber irgendwie kommt mir das seltsam vor, dass beim download mit verschiedenen Browsern verschiedene Schädlinge erkannt wurden.

Tatsächlich findet der Defender einen Coinminer, nach Gegenprüfung auf Virustotal ist der Defender allerdings der einzige Scanner der etwas findet. Wird ein False Positive sein.