Du bist nicht eingeloggt! Möglicherweise kannst du deswegen nicht alles sehen.
  (Noch kein mods.de-Account? / Passwort vergessen?)
Zur Übersichtsseite
Hallo anonymer User.
Bitte logge dich ein
oder registriere dich!
 Moderiert von: Irdorath, statixx, Teh Wizard of Aiz


 Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt )
« erste « vorherige 1 ... 17 18 19 20 [21] 22 23 24 25 ... 42 nächste » letzte »
erste ungelesene Seite | letzter Beitrag 
Snowblind1911

Arctic
Die Antwort ist: Teils-Teils.

https://www.google.de/analytics/terms/us.html

Punkt "7: Privacy"
19.07.2016 17:55:07  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
statixx

AUP statixx 14.11.2023
Könnte für manchen hier interessant sein: http://www.heise.de/newsticker/meldung/Kritische-Luecke-in-Lastpass-Entwickler-arbeiten-an-Loesung-3279424.html
27.07.2016 13:17:45  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
Flash_

AUP FIash 26.01.2008
Tavis Ormandy

 
Are people really using this lastpass thing? I took a quick look and can see a bunch of obvious critical problems. I'll send a report asap.

peinlich/erstaunt
27.07.2016 14:20:55  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
Kaiman

AUP Kaiman 20.09.2021
So WhatsApp ändert die AGB und ich will versuchen, wieder ein paar Schäfchen zu einem alternativen messenger zu bewegen.

Nur welchen?
Ich hielt Telegram für tauglich.
Jedoch scheinbar keine Ende zu Ende Verschlüsselung zu Web und Handy gleichzeitig.

Ein Argument war unter anderem, dass es tolle Smileypacks für Telegram gibt. mit den Augen rollend
29.08.2016 18:07:29  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
-[Wicht1]-

Russe BF
Hat jemand ein Video das schnell und verständlich verdeutlicht warum man nicht all seine Daten veröffentlichen sollte?

Also auch dann, wenn man natürlich nichts zu verbergen hat. Konkret geht es um die neuen fehlenden Datenschutzbestimmungen von whatsapp.

Edit: genau darum geht's mir auch Augenzwinkern

Ich nutze Telegram als die meiner Meinung nach einfachste Alternative. Das es da keine Verschlüsselung gibt ist mir aber nicht bekannt. Ärgerlich... Aber da es sowieso nur handy zu handy genutzt wird passt es trotzdem.
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von -[Wicht1]- am 29.08.2016 18:16]
29.08.2016 18:13:48  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
theromi

AUP theromi 02.06.2020
 
Zitat von Kaiman

So WhatsApp ändert die AGB und ich will versuchen, wieder ein paar Schäfchen zu einem alternativen messenger zu bewegen.

Nur welchen?
Ich hielt Telegram für tauglich.
Jedoch scheinbar keine Ende zu Ende Verschlüsselung zu Web und Handy gleichzeitig.

Ein Argument war unter anderem, dass es tolle Smileypacks für Telegram gibt. mit den Augen rollend


Telegram ist scheisse. Das verschlüsselt nicht mal die Gruppenchats.

Nehmt Signal oder bleibt bei Whatsapp, alles andere ist eh der selbe Käse.
29.08.2016 18:18:21  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
hödyr

hödyr
Threema is gut.
29.08.2016 18:19:00  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
theromi

AUP theromi 02.06.2020
 
Zitat von hödyr

Threema is gut.


Keine Desktop-App. Und bei Signal ist wenigstens der Algorithmus offen. /e: Oh, die komplette App inzwischen auch.

Nehmt. Signal.
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von theromi am 29.08.2016 18:23]
29.08.2016 18:22:29  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
Kaiman

AUP Kaiman 20.09.2021
Quelloffen ist ja schön und gut.
Wurde denn mal drübergesehen?
Hat das eine WebApp?
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Kaiman am 29.08.2016 18:30]
29.08.2016 18:28:47  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
theromi

AUP theromi 02.06.2020
 
Zitat von Kaiman

Quelloffen ist ja schön und gut.
Wurde denn mal drübergesehen?


Es heisst erst kürzlich Signal, vorher Textsecure: https://eprint.iacr.org/2014/904.pdf

Aber es gibt je Menge Paper (die sich zumeist mit dem Axolotl-Protokoll auseinandersetzen)
29.08.2016 18:30:58  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
FuSL

AUP FuSL 22.06.2012
Auch von mir ein klares "für Signal".

Windows Phone Nutzer sind halt ausgegrenzt, aber wer nutzt das schon

Signal hat die Desktop-App über Chrome, aber keine WebApp.

Dafür ist das aber dann auch in der App noch ordentlich verschlüsselt, statt wie Telegram sowieso standardmäßig unverschlüsselt zu sein, und bei mehreren Geräten gar keine Verschlüsselung anzubieten.

/edit

Und verschlüsselt telefonieren geht auch.
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von FuSL am 29.08.2016 18:35]
29.08.2016 18:34:37  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
statixx

AUP statixx 14.11.2023
+1 für Signal.
29.08.2016 18:35:01  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
audax

AUP audax 03.12.2007
Signal und bald(tm) vielleicht auch Qabel Augenzwinkern

Ich werd hier noch mal unauffällig Werbung machen, wenn die neue Version fertig ist. Sneak peek: Push-messages, also sofortiger Empfang von Nachrichten; Auf Wunsch nen Sync mit den Kontakten aus dem Adressbuch; Ein "möchten sie den Kontakt hinzufügen" wenn man von einem unbekannten Kontakt angeschrieben wird.

Allerdings kein iOS, was es wohl als Standard-Messenger untauglich macht.
29.08.2016 18:46:59  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
FuSL

AUP FuSL 22.06.2012
Ich scheitere immernoch regelmäßig daran, Qabel unter Linux zum Funktionieren zu bewegen /o\
29.08.2016 18:49:44  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
audax

AUP audax 03.12.2007
Ui, das sollte aber eigentlich problemlos laufen. Schließlich wird es unter Linux entwickelt Breites Grinsen

Haste das fürchterliche OracleJRE 8?

Zum Testen gibt es hier die unsupported builds:
https://github.com/Qabel/qabel-desktop/releases

kleiner Disclaimer: Da ist gerade ein Mörderbug drin im aktuellen pre-release der zu Datenverlust führen wird. Du kannst damit rumtesten, aber die hochgeladenen Daten sind in der nächsten Version weg peinlich/erstaunt
https://github.com/Qabel/qabel-android/issues/628

War halt unser internes QA-Release das ganz offensichtlich durch die QA gefallen ist…

Du bist übrigens eingeladen, auch nen Ticket zu deinem Problem zu öffnen, da wird dir geholfen. Wenn du das nicht zum laufen bekommst, dann ist das ein Bug in der Doku! peinlich/erstaunt
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von audax am 29.08.2016 18:56]
29.08.2016 18:53:59  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
FuSL

AUP FuSL 22.06.2012
Oha, dann will ich mich nochmal dransetzen.

An ein Ticket hatte ich bisher nicht gedacht, weil ich das eher so in die "User Error"-Kategorie eingeordnet hatte Breites Grinsen

Übrigens OpenJDK.
29.08.2016 19:56:22  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
audax

AUP audax 03.12.2007
Leider läuft die App mit JavaFX als Gui, dass du dir als OpenJFX selbst kompilieren müsstest.

Oder du schreibst eine neue GUI die mit OpenJDK läuft und wirst von uns gefeiert Augenzwinkern
29.08.2016 20:33:16  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
FuSL

AUP FuSL 22.06.2012
Hmf, ich dachte, man könnte sich OpenJFX quasi als drop-in-replacement auf den Rechner werfen und dann liefe alles? /o\

Leider habe ich eine Java-Allergie, deshalb muss ich die Chance auf Ruhm leider vorüberziehen lassen Breites Grinsen

Allerhöchstens mittels JRubyFX oder sowas
29.08.2016 21:22:30  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
audax

AUP audax 03.12.2007
 
Zitat von FuSL

Hmf, ich dachte, man könnte sich OpenJFX quasi als drop-in-replacement auf den Rechner werfen und dann liefe alles? /o\


Probiers halt aus…

Da wir als Target-Plattform natürlich zuerst mal Windows haben und die anderen GUI-Toolkits für Java noch schlimmer sind…blieb uns halt nichts anderes übrig peinlich/erstaunt
29.08.2016 22:03:36  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
indifferent

AUP indifferent 21.03.2021
Wie schlau sind denn die Schäfchen?

Threema hat vor Signal vor Allem den Vorteil dass es auf Accountbasis (ohne Telefonnummer) läuft. Das heisst auf der einen Seite schwierigeres Tracking, auf der Anderen Seite hast du nicht automatisch alle Kontakte aus deinem Telefonbuch und musst sie erst "adden".

Der mit Abstand beste Messenger aus Aluhut-Sicht ist ChatSecure: Gemacht vom Guardianproject, abgehangene Crypto (XMPP mit TLS+OTR), dezentral, mit perfect forward secrecy, zuschaltbarer Passwortschutz, mit verschiedenen Serverkonfigurationen je nach gewünschtem Sicherheitslevel (TLS reqired, OTR req., Tor+OTR req.), entfernt EXIF-Daten aus Bildern und speichert sie nur mit PK-Encryption, diverse opensource Clients für alle Plattformen, optionale Authentifizierungsmethoden gegen MITM-Angriffe... Dummerweise ist das Teil recht anstrengend zu bedienen, weil die Verschlüsselung erst aktiviert werden und man wie bei Threema eine Kontaktliste pflegen muss. Ausserdem startet das Teil erst wenn man es ihm befiehlt, und wenn man es komplett beendet ("Shutdown & Lock") kriegt man auch keine Nachrichten mehr bis man es wieder startet.
05.09.2016 21:33:41  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
audax

AUP audax 03.12.2007
 
Zitat von indifferent
Das heisst auf der einen Seite schwierigeres Tracking, auf der Anderen Seite hast du nicht automatisch alle Kontakte aus deinem Telefonbuch und musst sie erst "adden".


https://qabel.github.io/docs/Qabel-Index/

Der Messenger bei uns keine Accounts die auf dem Server liegen, sondern Schlüsselpare die der Enduser erstellt, sowieso ne Adresse die der Enduser erstellt. Ein User kann mehrere Identitäten (= Schlüsselpaar und so) haben und er kann sie auf dem Index-Server mit einer Telefonnummer und Mailadresse verknüpfen.
Nachrichten-Empfang läuft auf per Push Notification, Polling ist aber auch eingebaut. Nen Websocket-Interface ist geplant für irgendwann und wird dann vom Desktop-Client genutzt der momentan wie blöde pollt. peinlich/erstaunt

Bedienbarkeit und Security und Metadatenvermeidung unter einem Hut ist unfassbar nervig. Zum Glück hab ich gerade Urlaub Breites Grinsen

Sry für den Spam, aber sonst ist ja sowieso nichts los hier.
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von audax am 05.09.2016 21:57]
05.09.2016 21:55:06  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
indifferent

AUP indifferent 21.03.2021
Das klingt ja alles sehr schoen, aber erstens war es ein gigantischer Painintheass zumindest ein paar Leute zu XMPP zu bekommen und zweitens hab ich zu viel vom Bubcon Messenger gesehen um irgendwas zu benutzen was nicht schon bewaehrt und auseinandergenommen wurde. Nicht dass ich euch mit den Voegeln auf eine Stufe stellen will Breites Grinsen aber du weißt was ich meine.

Und naja, besser als Chatsecure gehts halt auch einfach nicht. Du kannst sogar sogar deine Metadaten verschleiern (wenn es dir beliebt, mir ist das zu krass) und es gibt fertig aufgesetzte Hidden Services (z.B. von jabber.otr.im oder dukgo.com) die auf jeder Seite 10 Proxies zwischen dich und den Chatserver schieben. Ja, Tor-Integration habt ihr auch, aber nicht auf diesem Level, was Transparenz und Cover angeht.

Ich bin durchaus beeindruckt von eurem Projekt und hab mir den ganzen Kram auch durchgelesen, aber ich hab schon etliche Stunden damit verbracht Leuten andere Kommunikationswege (ChatSecure und PGP Mails v.a.) zu erklaeren, und bin ganz froh dass das jetzt einigermaßen laeuft. Wenn ihr wollt dass sich das verbreitet, braucht ihr v.a. mal nen knackigen, kurzen, mehrsprachigen (!) Text in dem ihr in simplen Worten abhandelt was euch besser macht als die Alternativen. Also die Großen jetzt.
05.09.2016 22:36:52  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
audax

AUP audax 03.12.2007
Der Text ist sogar in Arbeit, ich hab ihn schon gesehen Augenzwinkern

Ich bin ja froh, dass der Großteil meiner Kontakte über Signal läuft, das ist halbwegs zuverlässing und die Crypto ist gut. Wenn wir allerdings soweit sind, dass unser momentaner Haufen an Tickets abgearbeitet ist, dann werde ich auch mal im Bekanntenkreis eine Verbreitung fördern.

Deine Bedenken gegenüber der Security kann ich durchaus nachvollziehen. Das Ding ist sicher noch nicht bereit, in Tails oder so integriert zu werden Augenzwinkern
05.09.2016 23:47:48  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
Becks_und_so

Arctic
http://www.mydealz.de/deals/threema-50-billiger-0-99-bis-1-29-euro-mit-oder-ohne-googleplay-apple-amazon-im-threema-818873
06.09.2016 3:40:28  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
statixx

AUP statixx 14.11.2023
Hey, Snowblind ist wieder da!
06.09.2016 7:51:32  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
Armag3ddon

AUP Armag3ddon 04.01.2011
Ein Freund schrieb gerade, dass er jetzt allen StartCom root certs das Vertrauen entzogen hat, nachdem die von WoSign aufgekauft wurden.

Ich habe jetzt mal WoSign aus dem Trust Store gekickt, nachdem er mir diese tolle Geschichte gezeigt hat:

Kostenlos-CA WoSign in der Kritik, Mozilla erwägt Schritte

Oder im Original in diesem Google Topic: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/k9PBmyLCi8I%5B1-25%5D

Ein tl;dr:

Bei WoSign war es für längere Zeit möglich, relativ leicht Zertifikate für Domains zu bekommen, obwohl man gerade nicht Seitenbetreiber war. Z.B. indem man eine große Portnummer zum Validieren verwendet hat (> 50.000, keine Adminrechte notwendig) oder wenn man nur im Besitz einer Subdomain war (eignet sich super, um Zertifikate für github.com oder github.io zu bekommen).
WoSign hat wohl auch den Überblick darüber verloren, wie viele falsche Zertifikate genau ausgestellt wurden. U.a. liegt das daran, dass sie einfach viele Zertifikate mit der gleichen Seriennummer ausgegeben haben (hier z.B. 313 certs auf einer Nummer).

Sie revoken jetzt auch nicht so wirklich die Zertifikate, von denen sie wissen, sondern warten darauf, dass die Kunden an sie herantreten. Im Laufe der Unterhaltung schreibt Richard Wang (= CEO von WoSign) auch, dass jetzt alle nur deswegen auf WoSign rumhacken, weil sie Chinesen seien und sowas.

Da mein Freund den jetzt für einen Trottel hält, hat er vorsorglich auch StartCom entsorgt. Breites Grinsen

Aber WoSign wegnehmen scheint schon nicht so schlecht zu sein. Deren Zertifikate eignen sich jetzt supergut, um Fake-Webseiten einzurichten.
06.09.2016 14:55:00  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
indifferent

AUP indifferent 21.03.2021
Hm, und darueber regen sich jetzt alle so auf oder was? Ich faende ja schoen wenn selbstsignierte Certs bei jeder kleinen Kackseite Usus waeren, immer noch besser als z.B. nen Space zu kaufen und sich dann ueber Cloudflare reverse Proxys mit SSL versorgen zu muessen.

So hab ich vielleicht nen Man-In-The-Middle, aber bei http-Fallback hab ich auf jeden Fall die Hosen unten vor allen Mitbewohnern/Arbeitgebern/ISPs/Behoerden/Hackern/Trackern zwischen mir und meinem Zielserver. Goennt euch mal "Intercepter-NG" fuer Windows und lasst euch live alle Dateien rekonstruieren die ihr aus euren http/ftp/usw-Verbindungen so entgegengekotzt bekommt. Selbst mit Adblock. Da faellt euch nackter Code vor die Fuesse, in den mehr Leute reingespritzt haben als in Verona Feldbusch.


Das Leben koennte auch einfacher sein, z.B. so wie bei Hidden Services: Jeder der einen aufmacht, kriegt automatisch nen ordentlichen Schluessel aus dem Netz zugeschickt den alle Directory Server (Quasi DNS) signieren und wer ihn verliert oder verbreitet, der verliert seine Domain direkt mit. Jeder (Endpunkt) kann so viele Schluessel haben wie er will, aber jeder Schluessel ist transparent an eine Domain gebunden. Fuer die Relays gilt ausserdem: Wer mit dem Schluessel von jemand Anderem hantiert, der wird rausgeschmissen.

Schoene Welt oder? Ginge auch ohne das boese Tornetz: Jeder der ne Domain kauft, kriegt nen Schluessel dazu und das Cert wird ueberall auf allen bereits bestehenden Keyservern registriert und in jedem Browser hinterlegt. Subdomains haben diesen gleichen Schluessel einfach auch, und wenn er revoked wird gibts nen Neuen vom Bereitsteller der Domain. Bei Verlust hat der Kaeufer das Problem (was er jetzt eh schon hat, nur in Zeitaufwaendiger, teurer und peinlicher) und der Domain-Haendler ist nur im dran wenn der Key kaputt generiert bzw. sabotiert wurde. Formale Strafe egal, das raecht sich von alleine sobald es auffliegt.



Aja, schon gut. Fortschritt waere schon, wenn ich endlich in jedem (v.a. mobilen) Browser selber Keys mit einem Klick annehmen koennte. Dann kann ich wenigstens meine eigene verdammte Seite verschluesselt besuchen ohne jedes Mal 10 "ZOMGWTF BETRUG" Warnungen wegzufummeln.
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von indifferent am 06.09.2016 17:20]
06.09.2016 17:16:23  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
indifferent

AUP indifferent 21.03.2021
Hm, da hast du nicht unrecht. Viel mehr als "SSL ist eh doof" steht da auch ehrlich gesagt nicht drin.
06.09.2016 20:38:35  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
MartiniMoe

AUP MartiniMoe 02.02.2019
 
Zitat von Siglo_1

Wenn hier Interesse besteht kann ich mal etwas berichten in Zukunft. Sei es über das Librem, PureOS oder QubesOS.


Was ist egtl damit? Breites Grinsen
07.09.2016 17:49:12  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
Raster

AUP Raster 26.12.2008
(Semi-)Sensible Daten per USB Stick.

VeraCrypt Container mit AES oder reicht WinRAR5 Container.
14.09.2016 13:44:43  Zum letzten Beitrag
[ zitieren ] [ pm ] [ diesen post melden ]
 Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt )
« erste « vorherige 1 ... 17 18 19 20 [21] 22 23 24 25 ... 42 nächste » letzte »

mods.de - Forum » Public Offtopic » 

Hop to:  

Thread-Tags:
Mod-Aktionen:
30.01.2019 13:16:03 Atomsk hat diesen Thread repariert.

| tech | impressum