|
|
|
|
|
|
|
|
|
|
|
|
Tavis Ormandy
| Are people really using this lastpass thing? I took a quick look and can see a bunch of obvious critical problems. I'll send a report asap. | |
|
|
|
|
|
|
|
So WhatsApp ändert die AGB und ich will versuchen, wieder ein paar Schäfchen zu einem alternativen messenger zu bewegen.
Nur welchen?
Ich hielt Telegram für tauglich.
Jedoch scheinbar keine Ende zu Ende Verschlüsselung zu Web und Handy gleichzeitig.
Ein Argument war unter anderem, dass es tolle Smileypacks für Telegram gibt.
|
|
|
|
|
|
|
Hat jemand ein Video das schnell und verständlich verdeutlicht warum man nicht all seine Daten veröffentlichen sollte?
Also auch dann, wenn man natürlich nichts zu verbergen hat. Konkret geht es um die neuen fehlenden Datenschutzbestimmungen von whatsapp.
Edit: genau darum geht's mir auch
Ich nutze Telegram als die meiner Meinung nach einfachste Alternative. Das es da keine Verschlüsselung gibt ist mir aber nicht bekannt. Ärgerlich... Aber da es sowieso nur handy zu handy genutzt wird passt es trotzdem.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von -[Wicht1]- am 29.08.2016 18:16]
|
|
|
|
|
|
| Zitat von Kaiman
So WhatsApp ändert die AGB und ich will versuchen, wieder ein paar Schäfchen zu einem alternativen messenger zu bewegen.
Nur welchen?
Ich hielt Telegram für tauglich.
Jedoch scheinbar keine Ende zu Ende Verschlüsselung zu Web und Handy gleichzeitig.
Ein Argument war unter anderem, dass es tolle Smileypacks für Telegram gibt.
| |
Telegram ist scheisse. Das verschlüsselt nicht mal die Gruppenchats.
Nehmt Signal oder bleibt bei Whatsapp, alles andere ist eh der selbe Käse.
|
|
|
|
|
|
|
|
|
|
|
| Zitat von hödyr
Threema is gut.
| |
Keine Desktop-App. Und bei Signal ist wenigstens der Algorithmus offen. /e: Oh, die komplette App inzwischen auch.
Nehmt. Signal.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von theromi am 29.08.2016 18:23]
|
|
|
|
|
|
Quelloffen ist ja schön und gut.
Wurde denn mal drübergesehen?
Hat das eine WebApp?
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Kaiman am 29.08.2016 18:30]
|
|
|
|
|
|
| Zitat von Kaiman
Quelloffen ist ja schön und gut.
Wurde denn mal drübergesehen?
| |
Es heisst erst kürzlich Signal, vorher Textsecure: https://eprint.iacr.org/2014/904.pdf
Aber es gibt je Menge Paper (die sich zumeist mit dem Axolotl-Protokoll auseinandersetzen)
|
|
|
|
|
|
|
Auch von mir ein klares "für Signal".
Windows Phone Nutzer sind halt ausgegrenzt, aber wer nutzt das schon
Signal hat die Desktop-App über Chrome, aber keine WebApp.
Dafür ist das aber dann auch in der App noch ordentlich verschlüsselt, statt wie Telegram sowieso standardmäßig unverschlüsselt zu sein, und bei mehreren Geräten gar keine Verschlüsselung anzubieten.
/edit
Und verschlüsselt telefonieren geht auch.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von FuSL am 29.08.2016 18:35]
|
|
|
|
|
|
|
|
|
|
Signal und bald(tm) vielleicht auch Qabel
Ich werd hier noch mal unauffällig Werbung machen, wenn die neue Version fertig ist. Sneak peek: Push-messages, also sofortiger Empfang von Nachrichten; Auf Wunsch nen Sync mit den Kontakten aus dem Adressbuch; Ein "möchten sie den Kontakt hinzufügen" wenn man von einem unbekannten Kontakt angeschrieben wird.
Allerdings kein iOS, was es wohl als Standard-Messenger untauglich macht.
|
|
|
|
|
|
|
Ich scheitere immernoch regelmäßig daran, Qabel unter Linux zum Funktionieren zu bewegen /o\
|
|
|
|
|
|
|
Ui, das sollte aber eigentlich problemlos laufen. Schließlich wird es unter Linux entwickelt
Haste das fürchterliche OracleJRE 8?
Zum Testen gibt es hier die unsupported builds:
https://github.com/Qabel/qabel-desktop/releases
kleiner Disclaimer: Da ist gerade ein Mörderbug drin im aktuellen pre-release der zu Datenverlust führen wird. Du kannst damit rumtesten, aber die hochgeladenen Daten sind in der nächsten Version weg
https://github.com/Qabel/qabel-android/issues/628
War halt unser internes QA-Release das ganz offensichtlich durch die QA gefallen ist…
Du bist übrigens eingeladen, auch nen Ticket zu deinem Problem zu öffnen, da wird dir geholfen. Wenn du das nicht zum laufen bekommst, dann ist das ein Bug in der Doku!
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von audax am 29.08.2016 18:56]
|
|
|
|
|
|
Oha, dann will ich mich nochmal dransetzen.
An ein Ticket hatte ich bisher nicht gedacht, weil ich das eher so in die "User Error"-Kategorie eingeordnet hatte
Übrigens OpenJDK.
|
|
|
|
|
|
|
Leider läuft die App mit JavaFX als Gui, dass du dir als OpenJFX selbst kompilieren müsstest.
Oder du schreibst eine neue GUI die mit OpenJDK läuft und wirst von uns gefeiert
|
|
|
|
|
|
|
Hmf, ich dachte, man könnte sich OpenJFX quasi als drop-in-replacement auf den Rechner werfen und dann liefe alles? /o\
Leider habe ich eine Java-Allergie, deshalb muss ich die Chance auf Ruhm leider vorüberziehen lassen
Allerhöchstens mittels JRubyFX oder sowas
|
|
|
|
|
|
|
| Zitat von FuSL
Hmf, ich dachte, man könnte sich OpenJFX quasi als drop-in-replacement auf den Rechner werfen und dann liefe alles? /o\
| |
Probiers halt aus…
Da wir als Target-Plattform natürlich zuerst mal Windows haben und die anderen GUI-Toolkits für Java noch schlimmer sind…blieb uns halt nichts anderes übrig
|
|
|
|
|
|
|
Wie schlau sind denn die Schäfchen?
Threema hat vor Signal vor Allem den Vorteil dass es auf Accountbasis (ohne Telefonnummer) läuft. Das heisst auf der einen Seite schwierigeres Tracking, auf der Anderen Seite hast du nicht automatisch alle Kontakte aus deinem Telefonbuch und musst sie erst "adden".
Der mit Abstand beste Messenger aus Aluhut-Sicht ist ChatSecure: Gemacht vom Guardianproject, abgehangene Crypto (XMPP mit TLS+OTR), dezentral, mit perfect forward secrecy, zuschaltbarer Passwortschutz, mit verschiedenen Serverkonfigurationen je nach gewünschtem Sicherheitslevel (TLS reqired, OTR req., Tor+OTR req.), entfernt EXIF-Daten aus Bildern und speichert sie nur mit PK-Encryption, diverse opensource Clients für alle Plattformen, optionale Authentifizierungsmethoden gegen MITM-Angriffe... Dummerweise ist das Teil recht anstrengend zu bedienen, weil die Verschlüsselung erst aktiviert werden und man wie bei Threema eine Kontaktliste pflegen muss. Ausserdem startet das Teil erst wenn man es ihm befiehlt, und wenn man es komplett beendet ("Shutdown & Lock") kriegt man auch keine Nachrichten mehr bis man es wieder startet.
|
|
|
|
|
|
|
| Zitat von indifferent Das heisst auf der einen Seite schwierigeres Tracking, auf der Anderen Seite hast du nicht automatisch alle Kontakte aus deinem Telefonbuch und musst sie erst "adden".
| |
https://qabel.github.io/docs/Qabel-Index/
Der Messenger bei uns keine Accounts die auf dem Server liegen, sondern Schlüsselpare die der Enduser erstellt, sowieso ne Adresse die der Enduser erstellt. Ein User kann mehrere Identitäten (= Schlüsselpaar und so) haben und er kann sie auf dem Index-Server mit einer Telefonnummer und Mailadresse verknüpfen.
Nachrichten-Empfang läuft auf per Push Notification, Polling ist aber auch eingebaut. Nen Websocket-Interface ist geplant für irgendwann und wird dann vom Desktop-Client genutzt der momentan wie blöde pollt.
Bedienbarkeit und Security und Metadatenvermeidung unter einem Hut ist unfassbar nervig. Zum Glück hab ich gerade Urlaub
Sry für den Spam, aber sonst ist ja sowieso nichts los hier.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von audax am 05.09.2016 21:57]
|
|
|
|
|
|
Das klingt ja alles sehr schoen, aber erstens war es ein gigantischer Painintheass zumindest ein paar Leute zu XMPP zu bekommen und zweitens hab ich zu viel vom Bubcon Messenger gesehen um irgendwas zu benutzen was nicht schon bewaehrt und auseinandergenommen wurde. Nicht dass ich euch mit den Voegeln auf eine Stufe stellen will aber du weißt was ich meine.
Und naja, besser als Chatsecure gehts halt auch einfach nicht. Du kannst sogar sogar deine Metadaten verschleiern (wenn es dir beliebt, mir ist das zu krass) und es gibt fertig aufgesetzte Hidden Services (z.B. von jabber.otr.im oder dukgo.com) die auf jeder Seite 10 Proxies zwischen dich und den Chatserver schieben. Ja, Tor-Integration habt ihr auch, aber nicht auf diesem Level, was Transparenz und Cover angeht.
Ich bin durchaus beeindruckt von eurem Projekt und hab mir den ganzen Kram auch durchgelesen, aber ich hab schon etliche Stunden damit verbracht Leuten andere Kommunikationswege (ChatSecure und PGP Mails v.a.) zu erklaeren, und bin ganz froh dass das jetzt einigermaßen laeuft. Wenn ihr wollt dass sich das verbreitet, braucht ihr v.a. mal nen knackigen, kurzen, mehrsprachigen (!) Text in dem ihr in simplen Worten abhandelt was euch besser macht als die Alternativen. Also die Großen jetzt.
|
|
|
|
|
|
|
Der Text ist sogar in Arbeit, ich hab ihn schon gesehen
Ich bin ja froh, dass der Großteil meiner Kontakte über Signal läuft, das ist halbwegs zuverlässing und die Crypto ist gut. Wenn wir allerdings soweit sind, dass unser momentaner Haufen an Tickets abgearbeitet ist, dann werde ich auch mal im Bekanntenkreis eine Verbreitung fördern.
Deine Bedenken gegenüber der Security kann ich durchaus nachvollziehen. Das Ding ist sicher noch nicht bereit, in Tails oder so integriert zu werden
|
|
|
|
|
|
|
|
|
|
|
Hey, Snowblind ist wieder da!
|
|
|
|
|
|
|
Ein Freund schrieb gerade, dass er jetzt allen StartCom root certs das Vertrauen entzogen hat, nachdem die von WoSign aufgekauft wurden.
Ich habe jetzt mal WoSign aus dem Trust Store gekickt, nachdem er mir diese tolle Geschichte gezeigt hat:
Kostenlos-CA WoSign in der Kritik, Mozilla erwägt Schritte
Oder im Original in diesem Google Topic: https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/k9PBmyLCi8I%5B1-25%5D
Ein tl;dr:
Bei WoSign war es für längere Zeit möglich, relativ leicht Zertifikate für Domains zu bekommen, obwohl man gerade nicht Seitenbetreiber war. Z.B. indem man eine große Portnummer zum Validieren verwendet hat (> 50.000, keine Adminrechte notwendig) oder wenn man nur im Besitz einer Subdomain war (eignet sich super, um Zertifikate für github.com oder github.io zu bekommen).
WoSign hat wohl auch den Überblick darüber verloren, wie viele falsche Zertifikate genau ausgestellt wurden. U.a. liegt das daran, dass sie einfach viele Zertifikate mit der gleichen Seriennummer ausgegeben haben (hier z.B. 313 certs auf einer Nummer).
Sie revoken jetzt auch nicht so wirklich die Zertifikate, von denen sie wissen, sondern warten darauf, dass die Kunden an sie herantreten. Im Laufe der Unterhaltung schreibt Richard Wang (= CEO von WoSign) auch, dass jetzt alle nur deswegen auf WoSign rumhacken, weil sie Chinesen seien und sowas.
Da mein Freund den jetzt für einen Trottel hält, hat er vorsorglich auch StartCom entsorgt.
Aber WoSign wegnehmen scheint schon nicht so schlecht zu sein. Deren Zertifikate eignen sich jetzt supergut, um Fake-Webseiten einzurichten.
|
|
|
|
|
|
|
Hm, und darueber regen sich jetzt alle so auf oder was? Ich faende ja schoen wenn selbstsignierte Certs bei jeder kleinen Kackseite Usus waeren, immer noch besser als z.B. nen Space zu kaufen und sich dann ueber Cloudflare reverse Proxys mit SSL versorgen zu muessen.
So hab ich vielleicht nen Man-In-The-Middle, aber bei http-Fallback hab ich auf jeden Fall die Hosen unten vor allen Mitbewohnern/Arbeitgebern/ISPs/Behoerden/Hackern/Trackern zwischen mir und meinem Zielserver. Goennt euch mal "Intercepter-NG" fuer Windows und lasst euch live alle Dateien rekonstruieren die ihr aus euren http/ftp/usw-Verbindungen so entgegengekotzt bekommt. Selbst mit Adblock. Da faellt euch nackter Code vor die Fuesse, in den mehr Leute reingespritzt haben als in Verona Feldbusch.
Das Leben koennte auch einfacher sein, z.B. so wie bei Hidden Services: Jeder der einen aufmacht, kriegt automatisch nen ordentlichen Schluessel aus dem Netz zugeschickt den alle Directory Server (Quasi DNS) signieren und wer ihn verliert oder verbreitet, der verliert seine Domain direkt mit. Jeder (Endpunkt) kann so viele Schluessel haben wie er will, aber jeder Schluessel ist transparent an eine Domain gebunden. Fuer die Relays gilt ausserdem: Wer mit dem Schluessel von jemand Anderem hantiert, der wird rausgeschmissen.
Schoene Welt oder? Ginge auch ohne das boese Tornetz: Jeder der ne Domain kauft, kriegt nen Schluessel dazu und das Cert wird ueberall auf allen bereits bestehenden Keyservern registriert und in jedem Browser hinterlegt. Subdomains haben diesen gleichen Schluessel einfach auch, und wenn er revoked wird gibts nen Neuen vom Bereitsteller der Domain. Bei Verlust hat der Kaeufer das Problem (was er jetzt eh schon hat, nur in Zeitaufwaendiger, teurer und peinlicher) und der Domain-Haendler ist nur im dran wenn der Key kaputt generiert bzw. sabotiert wurde. Formale Strafe egal, das raecht sich von alleine sobald es auffliegt.
Aja, schon gut. Fortschritt waere schon, wenn ich endlich in jedem (v.a. mobilen) Browser selber Keys mit einem Klick annehmen koennte. Dann kann ich wenigstens meine eigene verdammte Seite verschluesselt besuchen ohne jedes Mal 10 "ZOMGWTF BETRUG" Warnungen wegzufummeln.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von indifferent am 06.09.2016 17:20]
|
|
|
|
|
|
Hm, da hast du nicht unrecht. Viel mehr als "SSL ist eh doof" steht da auch ehrlich gesagt nicht drin.
|
|
|
|
|
|
|
| Zitat von Siglo_1
Wenn hier Interesse besteht kann ich mal etwas berichten in Zukunft. Sei es über das Librem, PureOS oder QubesOS.
| |
Was ist egtl damit?
|
|
|
|
|
|
|
(Semi-)Sensible Daten per USB Stick.
VeraCrypt Container mit AES oder reicht WinRAR5 Container.
|
|
|
|
|
|
Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt ) |